[求助]第五章API定位-《0day:软件漏洞分析技术》-看雪-安全社区|安全招聘|kanxue.com

最新回复 (7)
hkai 雪币： 237 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 19 回帖 48 粉丝 0 关注私信	hkai 2009-4-8 12:22 2 楼 0 xchg eax, ebp ; save current hash call [edi - 0x8] ; LoadLibraryA xchg eax, ebp ; restore current hash, and update ebp ; with base address of user32.dll call [edi-0x8] 这里面edi-0x8里面是什么啊,里面不是应该是shellcode的内容吗,这个call怎么是LoadLiberary呢
bestor 雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 12 粉丝 0 关注私信	bestor 2009-4-8 14:31 3 楼 0 人家注释的很明白了哦~~~~· 建议你学习一下 PE文件结构吧~~~ 另，给你解释一下这个程序，我个人的理解，不一定准确： find_functions: pushad ; 寄存器压栈 mov eax, [ebp + 0x3c] ; 这里的EBP是文件的起始位置，eax中存放的是“PE”签名 mov ecx, [ebp + eax + 0x78] ; 从PE签名处开始偏移第0x78的地方存放的是导出表的偏移，把它放在ECX中 add ecx, ebp ; ecx = 文件头+输出表的偏移就来到PE的输出表了下面的都不做注释了，是同一个问题，至于LoadLiberary我感觉，LZ好好学下编程基础吧~~~ 莫在浮沙筑高台，希望与LZ共同学习
hkai 雪币： 237 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 19 回帖 48 粉丝 0 关注私信	hkai 2009-4-8 17:08 4 楼 0 谢谢哦,能不能给我解释下 push a pointer to "user32" onto stack 和 LoadLiberary那2处地方啊,实在是搞不明白汇编我还是能看懂大概的,多谢啊,急着想知道原因呢
bestor 雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 12 粉丝 0 关注私信	bestor 2009-4-8 17:20 5 楼 0 一般的，要使用一个API函数，需要先知道它是从那个DLL库中导出的！而LoadLibraryA 就是取得这个DLL的模块句柄的函数，它的参数是DLL的名字！ xchg eax, ebp ; save current hash call [edi - 0x8] ; LoadLibraryA xchg eax, ebp ; restore current hash, and update ebp ; with base address of user32.dll 上述代码中[edi - 0x8]的值就是LoadLibraryA 函数的首地址，你可以把它理解成一个BYTE类型的数组就成~~~ 直接调用这个函数，就可以得到这个模块的句柄了，然后在用GetProcAddress等获取你需要的函数的首地址，然后使用就成~~~ 我知道的也就这么多，再不明白，你可以自己百度·~~
csacer 雪币： 191 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 6 回帖 16 粉丝 0 关注私信	csacer 2009-4-8 22:39 6 楼 0 这个建议你去把PE格式弄清楚就明白了就是偏移量的问题偏移+基址就是虚拟地址了
hkai 雪币： 237 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 19 回帖 48 粉丝 0 关注私信	hkai 2009-4-9 17:08 7 楼 0 谢谢大家啊 mov bx, 0x3233 ; rest of ebx is null push ebx push 0x72657375 push esp 这几个是call [edi - 0x8] 的参数是吧,这个0x72657375 是LoadLiberary的地址啊?是固定的啊?所有平台都是这个地址啊?
radiohail 雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 3 粉丝 0 关注私信	radiohail 2009-4-11 09:45 8 楼 0 [QUOTE=hkai;604122]谢谢大家啊 mov bx, 0x3233 ; rest of ebx is null push ebx push 0x72657375 push esp 这几个是call [edi - 0x8] 的参数是吧,这个0x72657375 是LoadLiberary的地址啊?...[/QUOTE] 我的理解： call [edi -0x8]就是call LoadLibraryA("user32"), 已经找到的LoadLibraryA函数的地址就存在[edi-0x8] 对于函数调用来说，调用之前必须将其参数压栈，这就是上面几个push的作用，具体如下： #1,先要明白，0x3233,还有0x72657375是user32的ASCII码，先将"user32"这个字符串压到栈里，就是 mov bx, 0x3233 push ebx ;压入0x3233 "32" push 0x72657375 ;压入"user" #2,此时的esp指向"user32"字符串，所以把esp压栈就相当于把"user32"的地址压栈，即 push esp #3,此时就可以呼叫LoadLibraryA函数了，即之后调用函数处的 call [edi - 0x8]
	游客登录 \| 注册方可回帖　回帖　表情雪币赚取及消费高级回复

最新回复 (7)
hkai 雪币： 237 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 19 回帖 48 粉丝 0 关注私信	hkai 2009-4-8 12:22 2 楼 0 xchg eax, ebp ; save current hash call [edi - 0x8] ; LoadLibraryA xchg eax, ebp ; restore current hash, and update ebp ; with base address of user32.dll call [edi-0x8] 这里面edi-0x8里面是什么啊,里面不是应该是shellcode的内容吗,这个call怎么是LoadLiberary呢
bestor 雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 12 粉丝 0 关注私信	bestor 2009-4-8 14:31 3 楼 0 人家注释的很明白了哦~~~~· 建议你学习一下 PE文件结构吧~~~ 另，给你解释一下这个程序，我个人的理解，不一定准确： find_functions: pushad ; 寄存器压栈 mov eax, [ebp + 0x3c] ; 这里的EBP是文件的起始位置，eax中存放的是“PE”签名 mov ecx, [ebp + eax + 0x78] ; 从PE签名处开始偏移第0x78的地方存放的是导出表的偏移，把它放在ECX中 add ecx, ebp ; ecx = 文件头+输出表的偏移就来到PE的输出表了下面的都不做注释了，是同一个问题，至于LoadLiberary我感觉，LZ好好学下编程基础吧~~~ 莫在浮沙筑高台，希望与LZ共同学习
hkai 雪币： 237 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 19 回帖 48 粉丝 0 关注私信	hkai 2009-4-8 17:08 4 楼 0 谢谢哦,能不能给我解释下 push a pointer to "user32" onto stack 和 LoadLiberary那2处地方啊,实在是搞不明白汇编我还是能看懂大概的,多谢啊,急着想知道原因呢
bestor 雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 12 粉丝 0 关注私信	bestor 2009-4-8 17:20 5 楼 0 一般的，要使用一个API函数，需要先知道它是从那个DLL库中导出的！而LoadLibraryA 就是取得这个DLL的模块句柄的函数，它的参数是DLL的名字！ xchg eax, ebp ; save current hash call [edi - 0x8] ; LoadLibraryA xchg eax, ebp ; restore current hash, and update ebp ; with base address of user32.dll 上述代码中[edi - 0x8]的值就是LoadLibraryA 函数的首地址，你可以把它理解成一个BYTE类型的数组就成~~~ 直接调用这个函数，就可以得到这个模块的句柄了，然后在用GetProcAddress等获取你需要的函数的首地址，然后使用就成~~~ 我知道的也就这么多，再不明白，你可以自己百度·~~
csacer 雪币： 191 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 6 回帖 16 粉丝 0 关注私信	csacer 2009-4-8 22:39 6 楼 0 这个建议你去把PE格式弄清楚就明白了就是偏移量的问题偏移+基址就是虚拟地址了
hkai 雪币： 237 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 19 回帖 48 粉丝 0 关注私信	hkai 2009-4-9 17:08 7 楼 0 谢谢大家啊 mov bx, 0x3233 ; rest of ebx is null push ebx push 0x72657375 push esp 这几个是call [edi - 0x8] 的参数是吧,这个0x72657375 是LoadLiberary的地址啊?是固定的啊?所有平台都是这个地址啊?
radiohail 雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 3 粉丝 0 关注私信	radiohail 2009-4-11 09:45 8 楼 0 [QUOTE=hkai;604122]谢谢大家啊 mov bx, 0x3233 ; rest of ebx is null push ebx push 0x72657375 push esp 这几个是call [edi - 0x8] 的参数是吧,这个0x72657375 是LoadLiberary的地址啊?...[/QUOTE] 我的理解： call [edi -0x8]就是call LoadLibraryA("user32"), 已经找到的LoadLibraryA函数的地址就存在[edi-0x8] 对于函数调用来说，调用之前必须将其参数压栈，这就是上面几个push的作用，具体如下： #1,先要明白，0x3233,还有0x72657375是user32的ASCII码，先将"user32"这个字符串压到栈里，就是 mov bx, 0x3233 push ebx ;压入0x3233 "32" push 0x72657375 ;压入"user" #2,此时的esp指向"user32"字符串，所以把esp压栈就相当于把"user32"的地址压栈，即 push esp #3,此时就可以呼叫LoadLibraryA函数了，即之后调用函数处的 call [edi - 0x8]
	游客登录 \| 注册方可回帖　回帖　表情雪币赚取及消费高级回复