首页
社区
课程
招聘
问答 CTF 排行榜 知识库 工具下载 看雪峰会 看雪商城 证书查询
  1. 社区
  2. 二进制漏洞
    3. 发新帖
[求助]关于TK教主所讲的0x7ffe0350 LdrHotPatchRoutine的问题
发表于: 2013-3-9 16:24 4639

[求助]关于TK教主所讲的0x7ffe0350 LdrHotPatchRoutine的问题

MRShi 活跃值
2013-3-9 16:24
4639
TK的PPT中说0x77eff350总是指向LdrHotPatchRoutine的,但是我在调试的过程中发现该地址并没有指向,全都是0,为什么呢?求指教!
0:016> dds 0x7ffe0000+0x340
7ffe0340  00000000
7ffe0344  00000000
7ffe0348  00000000
7ffe034c  00000000
7ffe0350  00000000
7ffe0354  00000000
7ffe0358  00000000
7ffe035c  00000000
7ffe0360  00000000
7ffe0364  00000000
7ffe0368  00000000
7ffe036c  00000000
7ffe0370  00000000
7ffe0374  00000000
7ffe0378  00000000
7ffe037c  00000000
7ffe0380  00000000
7ffe0384  00000000
7ffe0388  00000000
7ffe038c  00000000
7ffe0390  00000000
7ffe0394  00000000
7ffe0398  00000000
7ffe039c  00000000
7ffe03a0  00000000
7ffe03a4  00000001
7ffe03a8  00000000
7ffe03ac  00000000
7ffe03b0  000d5d79
7ffe03b4  00000000
7ffe03b8  0d8aea01
7ffe03bc  00000000

[课程]Android-CTF解题方法汇总!

上传的附件:
收藏
免费 0
支持
分享
最新回复 (6)
boywhp
雪    币: 1233
活跃值: (907)
能力值: ( LV12,RANK:750 )
在线值:
发帖
回帖
粉丝
私信
2
kd> dt !_KUSER_SHARED_DATA  0x7ffe0000
nt!_KUSER_SHARED_DATA
   +0x000 TickCountLowDeprecated : 0
   +0x004 TickCountMultiplier : 0xa03afb7
   +0x008 InterruptTime    : _KSYSTEM_TIME
   +0x014 SystemTime       : _KSYSTEM_TIME
   +0x020 TimeZoneBias     : _KSYSTEM_TIME
   +0x02c ImageNumberLow   : 0x14c
   +0x02e ImageNumberHigh  : 0x14c
   +0x030 NtSystemRoot     : [260]  "C:\Windows"
   +0x238 MaxStackTraceDepth : 0
   +0x23c CryptoExponent   : 0
   +0x240 TimeZoneId       : 0
   +0x244 LargePageMinimum : 0x200000
   +0x248 Reserved2        : [7] 0
   +0x264 NtProductType    : 1 ( NtProductWinNt )
   +0x268 ProductTypeIsValid : 0x1 ''
   +0x26c NtMajorVersion   : 6
   +0x270 NtMinorVersion   : 1
   +0x274 ProcessorFeatures : [64]  ""
   +0x2b4 Reserved1        : 0x7ffeffff
   +0x2b8 Reserved3        : 0x80000000
   +0x2bc TimeSlip         : 0
   +0x2c0 AlternativeArchitecture : 0 ( StandardDesign )
   +0x2c4 AltArchitecturePad : [1] 0
   +0x2c8 SystemExpirationDate : _LARGE_INTEGER 0x0
   +0x2d0 SuiteMask        : 0x110
   +0x2d4 KdDebuggerEnabled : 0x1 ''
   +0x2d5 NXSupportPolicy  : 0x2 ''
   +0x2d8 ActiveConsoleId  : 1
   +0x2dc DismountCount    : 0
   +0x2e0 ComPlusPackage   : 0xffffffff
   +0x2e4 LastSystemRITEventTickCount : 0x351f
   +0x2e8 NumberOfPhysicalPages : 0x1ff8e
   +0x2ec SafeBootMode     : 0 ''
   +0x2ed TscQpcData       : 0 ''
   +0x2ed TscQpcEnabled    : 0y0
   +0x2ed TscQpcSpareFlag  : 0y0
   +0x2ed TscQpcShift      : 0y000000 (0)
   +0x2ee TscQpcPad        : [2]  ""
   +0x2f0 SharedDataFlags  : 0xe
   +0x2f0 DbgErrorPortPresent : 0y0
   +0x2f0 DbgElevationEnabled : 0y1
   +0x2f0 DbgVirtEnabled   : 0y1
   +0x2f0 DbgInstallerDetectEnabled : 0y1
   +0x2f0 DbgSystemDllRelocated : 0y0
   +0x2f0 DbgDynProcessorEnabled : 0y0
   +0x2f0 DbgSEHValidationEnabled : 0y0
   +0x2f0 SpareBits        : 0y0000000000000000000000000 (0)
   +0x2f4 DataFlagsPad     : [1] 0
   +0x2f8 TestRetInstruction : 0xc3
   +0x300 SystemCall      : 0x76e070b0
   +0x304 SystemCallReturn : 0x76e070b4
   +0x308 SystemCallPad    : [3] 0
   +0x320 TickCount        : _KSYSTEM_TIME
   +0x320 TickCountQuad    : 0x703
   +0x320 ReservedTickCountOverlay : [3] 0x703
   +0x32c TickCountPad     : [1] 0
   +0x330 Cookie           : 0x61fb14e5
   +0x334 CookiePad        : [1] 0
   +0x338 ConsoleSessionForegroundProcessId : 0n752
   +0x340 Wow64SharedInformation : [16] 0
   +0x380 UserModeGlobalLogger : [16] 0
   +0x3a0 ImageFileExecutionOptions : 0
   +0x3a4 LangGenerationCount : 1
   +0x3a8 Reserved5        : 0
   +0x3b0 InterruptTimeBias : 0
   +0x3b8 TscQpcBias       : 0
   +0x3c0 ActiveProcessorCount : 1
   +0x3c4 ActiveGroupCount : 1
   +0x3c6 Reserved4        : 0
   +0x3c8 AitSamplingValue : 0
   +0x3cc AppCompatFlag    : 1
   +0x3d0 SystemDllNativeRelocation : 0xfef00000
   +0x3d8 SystemDllWowRelocation : 0
   +0x3dc XStatePad        : [1] 0
   +0x3e0 XState           : _XSTATE_CONFIGURATION

windows 7 x86

0x340 -> Wow64SharedInformation 要64位系统才会有啊
2013-3-9 17:28
0
ProgmBoy
雪    币: 402
活跃值: (342)
能力值: ( LV2,RANK:140 )
在线值:
发帖
回帖
粉丝
私信
3
64位上才有值
2013-3-9 18:23
0
MRShi
雪    币: 17
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
私信
4
嗯嗯看明白了!
2013-3-9 21:47
0
MRShi
雪    币: 17
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
私信
5
thx!看到啦!
2013-3-9 21:48
0
MRShi
雪    币: 17
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
私信
6
我在64位机器上专门试了一下,自己做了一个dll,里面就一句MessageBox(NULL,"hi","hi",MB_OK),为什么利用LdrHotPatchRoutine 载入不了呢?在ProcessExplorer里面也没见到这个dll载入。纯小白一个啊。。。是不是我哪里做的不对?其他的环境都是按照TK说的,包括IP,目录都是一样的
上传的附件:
2013-3-14 14:43
0
king少
雪    币: 5
活跃值: (369)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
私信
7
必须是32位程序在X64上面的。。。。。

一直在调64位的。。。
2013-3-18 15:21
0
游客
登录 | 注册 方可回帖
回帖 表情 雪币赚取及消费
高级回复
返回
//