[求助][求助]关于“Starting a Process from KernelMode” 的问题-软件逆向-看雪-安全社区|安全招聘|kanxue.com

[求助][求助]关于“Starting a Process from KernelMode” 的问题

发表于: 2008-11-11 20:55 4302

[求助][求助]关于“Starting a Process from KernelMode” 的问题

adwardwang 活跃值

2008-11-11 20:55

4302

弱弱地问，Starting a Process from KernelMode采用apc方式时，loadlibrary的参数是放在0xabcd中，代码如下，

__asm
  {
mov eax,0x7C86114D//loadlibrary的地址
push 1
nop
push 0xabcd
call eax
jmp end
........
}

一直不明白为何是0xabcd，好像是通过下面代码实现把地址放到0xabcd的，是怎么实现的呢，我用softice调试的时候发现data_addr也不是0xabcd啊

//copy the path to the executable
memcpy ((unsigned char*)pMappedAddress + 0x14,
      lpProcess,
      strlen (lpProcess));

data_addr = (ULONG*)((char*)pMappedAddress+0x9);//address pushed on the stack
                                             //(originally 0xabcd)...
*data_addr = dwMappedAddress+0x14; //gets changed to point to our exe's path

[培训]内核驱动高级班，冲击BAT一流互联网大厂工作，每周日13:00-18:00直播授课

#系统底层

收藏・0

免费・0

支持

最新回复 (2)
adwardwang 雪币： 236 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 11 回帖 47 粉丝 0 关注私信	adwardwang 2 楼有人有放置当前变量到某个固定地址的方法说说也行啊 2008-11-11 21:48 0
twoseconds 雪币： 112 活跃值： (51) 能力值： ( LV2，RANK：10 ) 在线值：发帖 13 回帖 152 粉丝 0 关注私信	twoseconds 3 楼可以下个内在段点试试看。可能可以看到什么写入的。 2008-11-12 23:55 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复

adwardwang

发帖

回帖

RANK

关注

私信

他的文章

关于我们

联系我们

企业服务

看雪公众号

专注于PC、移动、智能设备安全研究及逆向工程的开发者社区

最新回复 (2)
adwardwang 雪币： 236 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 11 回帖 47 粉丝 0 关注私信	adwardwang 2 楼有人有放置当前变量到某个固定地址的方法说说也行啊 2008-11-11 21:48 0
twoseconds 雪币： 112 活跃值： (51) 能力值： ( LV2，RANK：10 ) 在线值：发帖 13 回帖 152 粉丝 0 关注私信	twoseconds 3 楼可以下个内在段点试试看。可能可以看到什么写入的。 2008-11-12 23:55 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复