malloc _malloc 0037E8C0 8B FF mov edi,edi 0037E8C2 55 push ebp 0037E8C3 8B EC mov ebp,esp 0037E8C5 6A 00 push 0 0037E8C7 6A 00 push 0 0037E8C9 6A 01 p ...
分类:
编程语言 时间:
2020-01-08 22:38:07
阅读次数:
89
Uefi→guid(gpt)要进行guid分区、支持2TB以上的硬盘、uefibios也要设置uefi启动(guid(gpt)分区会产生esp和msr分区)不支持32位的WIN7以及WIN7之前的系统版本,支持64位所有的系统,支持32位的WIN8、WIN10。Legaug→mbr传统bios启动、不支持2TB以上的硬盘。uefibios转legacybios设置legacy启动注意下面几项:1禁
分类:
其他好文 时间:
2020-01-05 00:12:49
阅读次数:
301
程序:UnPackMe_PELock1.06.d.exe 需要知道的:KiUserExceptionDispatcher的领空的当前堆栈地址ESP+0x14就是异常触发地址,这个函数是系统派发异常函数,也就是说所有异常都要经过该函数来派发,那么该函数中的参数也就会指向异常的位置,也就是ESP+0x1 ...
分类:
其他好文 时间:
2019-12-28 16:34:40
阅读次数:
95
一、IPsec简介IPSec ( IP Security )是IETF(Internet Engineering Task Force,Internet工程任务组)的IPSec小组建立的一组IP安全协议集。IPSec定义了在网络层使用的安全服务,其功能包括数据加密、对网络单元的访问控制、数据源地址验... ...
分类:
其他好文 时间:
2019-12-25 23:49:19
阅读次数:
102
1、在 core/mobile 中添加对应的文件夹和文件 2、访问的路由 : 举个栗子: 当访问链接为: https://wx.yuchan.cn/app/index.php?i=2&c=entry&m=ewei_shopv2&do=mobile&r=member.esp 的时候, 对应的控制器为 ...
分类:
移动开发 时间:
2019-12-23 15:24:17
阅读次数:
562
1.查壳2.LoradPE工具检查一方面可以用LoradPE工具查看重定位,另一方面也可获取一些详细信息3.查找OEP①未发现pushad开始未发现pushad,进行单步步入,很快就能找到pushad②使用ESP定律这里要注意如果是有守护进程的话,需要使用【Crtl+G】,在输入框中输入“Creat... ...
分类:
其他好文 时间:
2019-12-05 22:45:14
阅读次数:
134
1.查壳2.找到OEP对第二个Call使用ESP定律,再跳转后的位置进入第一个Call,这里就是OEP了,在这里直接dump的话会失败,那是因为MoleBox壳对IAT进行二次跳转,我们先在OEP位置设置软件断点;3.手动修复IAT我们数据窗口跟随到这个加载系统函数的地址就是IAT;我们看到有部分I... ...
分类:
其他好文 时间:
2019-12-04 10:35:28
阅读次数:
143
stack pivoting 翻为堆栈旋转 操作是利用' jmp esp' 控制程序流程 X-CTF Quals 2016 - b0verfl0w 可以溢出并且没有开启NX 但是这里只允许溢出14位 很难进行rop 那么可以在栈上布置shelcode 现在的目标就是让eip跳到栈上shelcode位 ...
分类:
其他好文 时间:
2019-11-24 11:38:41
阅读次数:
96
今天在逆向时看到一个指令 "and esp, 0FFFFFFF8",则自然为 "111····1000",将末尾置位0. 考虑到应该是栈对齐,但是感觉二进制数基础不太好,有些欠缺,这不会破坏原来栈中的数据么? 我们继续来思考,这样进行的结果如何?结尾只能是8或0,如果为8则变为0.只有这一种情况能破 ...
分类:
其他好文 时间:
2019-11-16 10:49:02
阅读次数:
65
一、esp即EFI系统分区 1、全称EFI system partition,简写为ESP。msr分区本身没有做任何工作,是名副其实的保留分区。ESP虽然是一个FAT16或FAT32格式的物理分区,但是其分区标识是EF(十六进制) 而非常规的0E或0C。 因此,该分区在 Windows 操作系统下一 ...
分类:
其他好文 时间:
2019-11-12 12:39:08
阅读次数:
81
