2013年10月16日 星期三

Pop Quiz of Dump Sharing (5) – x64 platform introduction

 

上課Vedio (youtube)

1) 要看thread目前用的stack 範圍要用那二個值夾擠?

.teb的stack base 和 register 的 esp

2)x86下, Q1中要用什麼指令來方便找ebp chain

dps

3) 如果手動找到ebp, 要怎麼下k 指令來重建stack

k = ebp esp eip

4) Q3中, 要檢查什麼?

1.Start Function是不是 BaseThreadStart

2. 看stack frame 合不合理

5) 切回exception 前的context 要用什麼指令

.cxr

6) x64 有幾種Calling convention

只有一種fastcall

7)x64  的fastcall 是用那幾個register 傳

cd89

8)試解釋homing 是什麼

雖然參數用register 傳 但是也會把參數放在stack中, 方便debug

9)Reverse 時, memory 視窗打@$csp的目的是

保持memory 視窗show 出目前用到的stack

 

沒有留言: