首页
社区
课程
招聘
问答 CTF 排行榜 知识库 工具下载 峰会 看雪商城 证书查询
  1. 社区
  2. CTF对抗
    3. 发新帖
1
[看雪CTF2016]第二十二题分析
发表于: 2016-12-15 10:05 5666

[看雪CTF2016]第二十二题分析

风间仁 活跃值
19
2016-12-15 10:05
5666

双进程, 父进程负责处理子进程的异常(除0异常, 访问异常, int3, 单步异常)

子进程:单步异常

1
2
3
4
5
6
7
8
9
10
11
12
13
.text:0040102C                 pushf
.text:0040102D                 or      dword ptr [esp], 100h
.text:00401034                 popf
 
id=0x12
.text:00401814                 pushf
.text:00401815                 or      dword ptr [esp], 100h
.text:0040181C                 popf
 
id=0x10
.text:0040197B                 pushf
.text:0040197C                 or      dword ptr [esp], 100h
.text:00401983                 popf
1
2
3
4
5
6
7
8
9
10
11
12
13
.text:00401AF3                 push    ecx             ; lpNumberOfBytesWritten
.text:00401AF4                 push    24h             ; nSize
.text:00401AF6                 push    offset fns      ; lpBuffer
.text:00401AFB                 push    edx             ; lpBaseAddress
.text:00401AFC                 push    ebx             ; hProcess
.text:00401AFD                 call    ds:WriteProcessMemory
.text:00401B03                 mov     eax, [esi+0A0h]
.text:00401B09                 pop     ebp
.text:00401B0A                 mov     g_child_4050ED, eax
.text:00401B0F                 mov     ecx, [esi+9Ch]
.text:00401B15                 pop     edi
.text:00401B16                 pop     esi
.text:00401B17                 mov     g_child_40407A, ecx

[培训]内核驱动高级班,冲击BAT一流互联网大厂工作,每周日13:00-18:00直播授课

收藏
免费 1
支持
分享
赞赏记录
参与人
雪币
留言
时间
PLEBFE
为你点赞~
2023-2-19 01:46
最新回复 (1)
伊邪那美
雪    币: 112
活跃值: (37)
能力值: ( LV7,RANK:110 )
在线值:
发帖
回帖
粉丝
私信
2
楼主势头很猛,有可能会反超……
2016-12-16 16:26
0
游客
登录 | 注册 方可回帖
回帖 表情 雪币赚取及消费
高级回复
返回

账号登录
验证码登录

忘记密码?
没有账号?立即免费注册
我已同意 《看雪服务条款》 《看雪课程免责声明》 《看雪隐私政策》