首页
论坛
课程
招聘
记一次逆向学习时碰到的错误
2021-7-4 21:58 2196

记一次逆向学习时碰到的错误

2021-7-4 21:58
2196

最近以学习为目的看了下360Hvm驱动,看到了这么一段逻辑代码


乍一看没问题,就是判断KTHREAD+0x78的第0x13位是否为1.然后决定要不要使用KeServiceDescriptorTableFilter


这一段大家应该都很熟悉,系统调用里比较关键的地方就是这么判断的。见下图(截自Win10 1909 KiSystemCall64Shadow)

两处一对比,就可以明显的发现一个问题,系统调用判断的是第21位,而hvm驱动判断的是0x13也就是第19位。


刚开始一度怀疑是版本不同。hvm判断的是大于10586也就是Windows 10(1511)


但是后来对比了多个系统的KTHREAD后得出一个结论,这里应该是写错了。。第21位才对。



算是发现了个小错误,请官方留意下,尽早修复。


技术有限,如有错误,请指出,谢谢。


恭喜ID[飞翔的猫咪]获看雪安卓应用安全能力认证高级安全工程师!!

收藏
点赞0
打赏
分享
最新回复 (0)
游客
登录 | 注册 方可回帖
返回