上課Vedio (youtube)
1) 要看thread目前用的stack 範圍要用那二個值夾擠?
.teb的stack base 和 register 的 esp
2)x86下, Q1中要用什麼指令來方便找ebp chain
dps
3) 如果手動找到ebp, 要怎麼下k 指令來重建stack
k = ebp esp eip
4) Q3中, 要檢查什麼?
1.Start Function是不是 BaseThreadStart
2. 看stack frame 合不合理
5) 切回exception 前的context 要用什麼指令
.cxr
6) x64 有幾種Calling convention
只有一種fastcall
7)x64 的fastcall 是用那幾個register 傳
cd89
8)試解釋homing 是什麼
雖然參數用register 傳 但是也會把參數放在stack中, 方便debug
9)Reverse 時, memory 視窗打@$csp的目的是
保持memory 視窗show 出目前用到的stack
沒有留言:
張貼留言