本文已参与「新人创作礼」活动,一起开启掘金创作之路。
百度网盘链接: 链接:pan.baidu.com/s/1DCOexRew… 提取码:814r
请直接下载t.html,下方内容仅为图片简记;如果无法404,则还未审核通过。
t.html
参考: [[blog.csdn.net/cyxvc/artic…]] [[www.geek-share.com/detail/2570…]] [[advdbg.org/blogs/advdb…]] [[cdmana.com/2021/04/202…]]
虚拟地址转换
前置条件:设置调试模式,即配置环境
在调试模式下,禁用PAE
DirBase: 3c3ae000
cr3=3c3ae000
题目中会给出
要转换的虚拟地址为:0017ddd0(该地址题目中会给定)
kd> .formats 0x17ddd0
Evaluate expression:
Hex: 0017ddd0
Decimal: 1564112
Octal: 00005756720
Binary: 00000000 00010111 11011101 11010000
Chars: ....
Time: Mon Jan 19 10:28:32 1970
Float: low 2.19179e-039 high 0
Double: 7.72774e-318
PDE:0000 0000 00 =0x0
PTE:0101 1111 01 =0x17d
页内:1101 11010000 =0xdd0
得到:3ba00867,舍去后三位,得到3ba00000,查看3ba00000+0x17d*4
得到:00ee5867,舍去后三位,得到00ee5867,查看00ee5000+0xdd0
验证:
此处为WinPE结构
0:008> lm vm notepad
Browse full module list
start end module name
00007ff6`c12f0000 00007ff6`c132a000 notepad (deferred)
代码块内为:有用的信息
+0x03c e_lfanew : 0n248
+0x018 OptionalHeader : _IMAGE_OPTIONAL_HEADER64
+0x070 DataDirectory : [16] _IMAGE_DATA_DIRECTORY
[0] [Type: _IMAGE_DATA_DIRECTORY]
[+0x000] VirtualAddress : 0x0 [Type: unsigned long]
[+0x004] Size : 0x0 [Type: unsigned long]
[1] [Type: _IMAGE_DATA_DIRECTORY]
[+0x000] VirtualAddress : 0x2f908 [Type: unsigned long]
[+0x004] Size : 0x230 [Type: unsigned long]
0代表导出表
1代表导入表
此处是Dll建立与使用
此处为远程线程插入
环境:win7 x86 关闭PAE