注册 登录  
 加关注
   显示下一条  |  关闭
温馨提示!由于新浪微博认证机制调整,您的新浪微博帐号绑定已过期,请重新绑定!立即重新绑定新浪微博》  |  关闭

且行且记录

点滴记录,行的更远!

 
 
 

日志

 
 

XP的SMB反射测试程序估计可以做成通用的  

2015-07-20 09:43:01|  分类: 原理分析 |  标签: |举报 |字号 订阅

  下载LOFTER 我的照片书  |
前两天无聊看了下去年的SMB反射测试程序,发现XP版的估计可以做成通用的。
XP的5个地址往下的调用就可以看到通用的导出函数了,只不过
调用这些函数的地方太多,如何判断是来自我们要求的地方比较棘手。
一个可能的方法是判断返回地址属于msv1_0.dll模块范围,并且是该模块的第几个调用。
因为我们要求的地方在msv1_0.dll模块里的调用次序上应该相对固定(只是推测)。

77C45B13   msv1_0     call    77C41DFA  第2个调用该函数的地方 -> call    <jmp.&ADVAPI32.SystemFunction036>
77C48E4E   msv1_0     call    77C48BA0 第1个调用该函数的地方 -> call    <jmp.&cryptdll.MD5Init> 第7个调用该函数的地方
77C48E62   msv1_0     call    <jmp.&ADVAPI32.SystemFunction009> 第1个调用该函数的地方
77C4D8B8   msv1_0     call    77C48BA0 第3个调用该函数的地方 -> call    <jmp.&cryptdll.MD5Init> 第7个调用该函数的地方
77C4F9A0   msv1_0     call    dword ptr [<&ntdll.RtlCompareMemory>] 第4个调用该函数的地方

  评论这张
 
阅读(36)| 评论(0)
推荐 转载

历史上的今天

在LOFTER的更多文章

评论

<#--最新日志,群博日志--> <#--推荐日志--> <#--引用记录--> <#--博主推荐--> <#--随机阅读--> <#--首页推荐--> <#--历史上的今天--> <#--被推荐日志--> <#--上一篇,下一篇--> <#-- 热度 --> <#-- 网易新闻广告 --> <#--右边模块结构--> <#--评论模块结构--> <#--引用模块结构--> <#--博主发起的投票-->
 
 
 
 
 
 
 
 
 
 
 
 
 
 

页脚

网易公司版权所有 ©1997-2017