[求助]Win7 x64下一个诡异的蓝屏-软件逆向-看雪-安全社区|安全招聘|kanxue.com

最新回复 (11)
zplusplus 雪币： 689 活跃值： (422) 能力值： ( LV11，RANK：190 ) 在线值：发帖 14 回帖 146 粉丝 29 关注私信	zplusplus 1 2 楼恭喜你,很可能发现了一个内核服务或者驱动程序缓冲区溢出漏洞,rax=004700450052005C这一看就是UNICODE啊(用010看了一下是'GER\') 2016-7-19 20:09 0
轩辕之风雪币： 2281 活跃值： (963) 能力值： ( LV8，RANK：130 ) 在线值：发帖 34 回帖 322 粉丝 69 关注私信	轩辕之风 1 3 楼我也发现了是这个字符串，但不知道它是如何跑到rax中去的 2016-7-19 20:20 0
myqqi 雪币： 324 活跃值： (60) 能力值： ( LV4，RANK：50 ) 在线值：发帖 29 回帖 161 粉丝 4 关注私信	myqqi 1 4 楼会不会是498前没有加0x 2016-7-20 08:23 0
轩辕之风雪币： 2281 活跃值： (963) 能力值： ( LV8，RANK：130 ) 在线值：发帖 34 回帖 322 粉丝 69 关注私信	轩辕之风 1 5 楼首先，直接加498结果正不正确你从最后那个图的地址都可以看出来。其次，Windbg默认就是十六进制，如果用十进制需要前面加0n。 2016-7-20 08:36 0
ghostway 雪币： 581 活跃值： (215) 能力值： ( LV8，RANK：130 ) 在线值：发帖 9 回帖 168 粉丝 4 关注私信	ghostway 1 6 楼这很明显啊，你怎么能保证你现在看到的ETHREAD内容就是当时崩溃时的ETHREAD内容呢？你思路就错了。当然觉得问题奇怪。 2016-7-20 09:39 0
woshidc 雪币： 0 活跃值： (143) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 77 粉丝 1 关注私信	woshidc 7 楼菜鸟飘过，感觉楼上说的有道理 2016-7-20 18:34 0
mydh 雪币： 5 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 5 粉丝 0 关注私信	mydh 8 楼只能告诉你这是个循环...所以你错了，上面那位说得对 2016-7-20 19:23 0
luskyc 雪币： 248 活跃值： (3789) 能力值： ( LV2，RANK：10 ) 在线值：发帖 25 回帖 938 粉丝 11 关注私信	luskyc 9 楼只是dump而已，rdx+498里面的数值是蓝屏时候的数值吗？莫非lz能让时光倒流不成？ 2016-7-20 21:03 0
IDGHOST 雪币： 115 活跃值： (46) 能力值： ( LV4，RANK：40 ) 在线值：发帖 16 回帖 197 粉丝 1 关注私信	IDGHOST 10 楼 You are not alone 722K9s2c8@1M7q4)9K6b7g2)9J5c8W2)9J5c8X3q4F1M7%4N6W2M7Y4y4Q4x3X3g2E0K9h3y4J5L8%4y4G2k6Y4c8Q4x3X3g2U0L8$3#2Q4x3V1k6W2L8W2)9J5k6s2g2K6i4K6u0r3N6$3W2F1k6r3!0%4M7#2)9J5c8X3k6G2M7Y4g2E0i4K6u0r3N6$3W2F1k6r3!0%4M7#2)9#2k6U0N6Q4x3X3c8#2M7r3c8S2N6r3g2Q4x3V1k6%4K9h3&6V1L8%4N6K6i4K6u0V1y4#2)9J5k6r3y4J5j5i4y4Z5k6i4y4Q4x3X3c8K6K9r3!0J5N6r3I4&6i4K6u0V1j5h3k6@1k6i4u0Q4x3X3c8K6N6r3q4J5N6s2g2H3i4K6u0r3x3o6p5&6y4e0x3#2z5e0y4Q4x3X3b7@1k6U0j5^5i4K6u0V1y4o6q4S2k6W2)9J5k6o6V1H3k6o6N6Q4x3X3b7^5y4U0R3#2y4e0l9#2y4$3f1$3x3K6W2Q4x3@1k6S2N6i4c8Z5i4K6y4p5x3b7`.`. 另外rax的值不一定就是[rdx+0498h]的值，流程里有遍历CmCallBackList，那么rax可能本该指向位于其他ETHREAD的空间。 2016-7-20 22:46 0
轩辕之风雪币： 2281 活跃值： (963) 能力值： ( LV8，RANK：130 ) 在线值：发帖 34 回帖 322 粉丝 69 关注私信	轩辕之风 1 11 楼多谢指出，竟然没留意到这里循环的问题！不过顺着链表走了一趟，也没有这个004700450052005c 出现 2016-7-21 09:44 0
hulucc 雪币： 81 活跃值： (115) 能力值： ( LV3，RANK：20 ) 在线值：发帖 22 回帖 469 粉丝 2 关注私信	hulucc 12 楼直接s搜索004700450052005c反推看看呗 2016-7-21 12:36 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复

最新回复 (11)
zplusplus 雪币： 689 活跃值： (422) 能力值： ( LV11，RANK：190 ) 在线值：发帖 14 回帖 146 粉丝 29 关注私信	zplusplus 1 2 楼恭喜你,很可能发现了一个内核服务或者驱动程序缓冲区溢出漏洞,rax=004700450052005C这一看就是UNICODE啊(用010看了一下是'GER\') 2016-7-19 20:09 0
轩辕之风雪币： 2281 活跃值： (963) 能力值： ( LV8，RANK：130 ) 在线值：发帖 34 回帖 322 粉丝 69 关注私信	轩辕之风 1 3 楼我也发现了是这个字符串，但不知道它是如何跑到rax中去的 2016-7-19 20:20 0
myqqi 雪币： 324 活跃值： (60) 能力值： ( LV4，RANK：50 ) 在线值：发帖 29 回帖 161 粉丝 4 关注私信	myqqi 1 4 楼会不会是498前没有加0x 2016-7-20 08:23 0
轩辕之风雪币： 2281 活跃值： (963) 能力值： ( LV8，RANK：130 ) 在线值：发帖 34 回帖 322 粉丝 69 关注私信	轩辕之风 1 5 楼首先，直接加498结果正不正确你从最后那个图的地址都可以看出来。其次，Windbg默认就是十六进制，如果用十进制需要前面加0n。 2016-7-20 08:36 0
ghostway 雪币： 581 活跃值： (215) 能力值： ( LV8，RANK：130 ) 在线值：发帖 9 回帖 168 粉丝 4 关注私信	ghostway 1 6 楼这很明显啊，你怎么能保证你现在看到的ETHREAD内容就是当时崩溃时的ETHREAD内容呢？你思路就错了。当然觉得问题奇怪。 2016-7-20 09:39 0
woshidc 雪币： 0 活跃值： (143) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 77 粉丝 1 关注私信	woshidc 7 楼菜鸟飘过，感觉楼上说的有道理 2016-7-20 18:34 0
mydh 雪币： 5 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 5 粉丝 0 关注私信	mydh 8 楼只能告诉你这是个循环...所以你错了，上面那位说得对 2016-7-20 19:23 0
luskyc 雪币： 248 活跃值： (3789) 能力值： ( LV2，RANK：10 ) 在线值：发帖 25 回帖 938 粉丝 11 关注私信	luskyc 9 楼只是dump而已，rdx+498里面的数值是蓝屏时候的数值吗？莫非lz能让时光倒流不成？ 2016-7-20 21:03 0
IDGHOST 雪币： 115 活跃值： (46) 能力值： ( LV4，RANK：40 ) 在线值：发帖 16 回帖 197 粉丝 1 关注私信	IDGHOST 10 楼 You are not alone 722K9s2c8@1M7q4)9K6b7g2)9J5c8W2)9J5c8X3q4F1M7%4N6W2M7Y4y4Q4x3X3g2E0K9h3y4J5L8%4y4G2k6Y4c8Q4x3X3g2U0L8$3#2Q4x3V1k6W2L8W2)9J5k6s2g2K6i4K6u0r3N6$3W2F1k6r3!0%4M7#2)9J5c8X3k6G2M7Y4g2E0i4K6u0r3N6$3W2F1k6r3!0%4M7#2)9#2k6U0N6Q4x3X3c8#2M7r3c8S2N6r3g2Q4x3V1k6%4K9h3&6V1L8%4N6K6i4K6u0V1y4#2)9J5k6r3y4J5j5i4y4Z5k6i4y4Q4x3X3c8K6K9r3!0J5N6r3I4&6i4K6u0V1j5h3k6@1k6i4u0Q4x3X3c8K6N6r3q4J5N6s2g2H3i4K6u0r3x3o6p5&6y4e0x3#2z5e0y4Q4x3X3b7@1k6U0j5^5i4K6u0V1y4o6q4S2k6W2)9J5k6o6V1H3k6o6N6Q4x3X3b7^5y4U0R3#2y4e0l9#2y4$3f1$3x3K6W2Q4x3@1k6S2N6i4c8Z5i4K6y4p5x3b7`.`. 另外rax的值不一定就是[rdx+0498h]的值，流程里有遍历CmCallBackList，那么rax可能本该指向位于其他ETHREAD的空间。 2016-7-20 22:46 0
轩辕之风雪币： 2281 活跃值： (963) 能力值： ( LV8，RANK：130 ) 在线值：发帖 34 回帖 322 粉丝 69 关注私信	轩辕之风 1 11 楼多谢指出，竟然没留意到这里循环的问题！不过顺着链表走了一趟，也没有这个004700450052005c 出现 2016-7-21 09:44 0
hulucc 雪币： 81 活跃值： (115) 能力值： ( LV3，RANK：20 ) 在线值：发帖 22 回帖 469 粉丝 2 关注私信	hulucc 12 楼直接s搜索004700450052005c反推看看呗 2016-7-21 12:36 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复