[求助]这是什么结构？-软件逆向-看雪-安全社区|安全招聘|kanxue.com

cheating

2019-5-30 19:52

3361

//获得KTHREAD

DbgPrint("curProc:%p\n", curProc);

pRet = (PULONGLONG)((ULONGLONG)curProc + 0x308);

pThread = (PETHREAD)(*pRet - 0x428);

DbgPrint("pThread:%p\n", pThread);

//获得KTRAP_FRAME结构

pX64TrapFrame = (PULONGLONG)((ULONGLONG)pThread + 0x1d8);

DbgPrint("pX64TrapFrame:%p\n", pX64TrapFrame);

//获得pRsi寄存器

pRsi = (PULONGLONG)(*pX64TrapFrame + 0x150);

//获得OEP

pRsi = (PULONGLONG)(*pRsi + 0x7B0); // 这个加上7B0等于OEP是什么意思？

DbgPrint("pRsi:%p\n", pRsi);

pOEP = (PULONGLONG)*pRsi;

DbgPrint("pOEP:%p\n", pOEP);

*pRsi = (ULONGLONG)pBuf;

DbgPrint("pBuf:%p\n", pBuf);

这个加上7B0等于OEP（这个是入口）是什么结构？哪位大神能说一下吗？

最后于 2019-5-30 19:54 被cheating编辑，原因：

收藏・0

免费・0

支持

最新回复 (1)
palkiver 雪币： 203 活跃值： (1144) 能力值： ( LV9，RANK：195 ) 在线值：发帖 1 回帖 115 粉丝 2 关注私信	palkiver 2 楼 KTRAP_FRAME这就是保存寄存器状态用的结构体，具体当时RSI是啥状态，我们一帮吃瓜群众如何得知。你也不告诉我们你是在什么状态陷入TRAP的，为什么会TRAP，总之KTRAP_FRAME这个就是你陷入TRAP时所保存的状态，至于RSI是啥，鬼才知道。 2019-6-3 19:13 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复

cheating

发帖

回帖

RANK

他的文章

看雪公众号

专注于PC、移动、智能设备安全研究及逆向工程的开发者社区

最新回复 (1)
palkiver 雪币： 203 活跃值： (1144) 能力值： ( LV9，RANK：195 ) 在线值：发帖 1 回帖 115 粉丝 2 关注私信	palkiver 2 楼 KTRAP_FRAME这就是保存寄存器状态用的结构体，具体当时RSI是啥状态，我们一帮吃瓜群众如何得知。你也不告诉我们你是在什么状态陷入TRAP的，为什么会TRAP，总之KTRAP_FRAME这个就是你陷入TRAP时所保存的状态，至于RSI是啥，鬼才知道。 2019-6-3 19:13 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复