從entry point(start)開始start :::info在剛開始執行時,會把參數以倒序+argc push到stack上 ex. gdb> r aaa 會依序push aaa, binary_path, 0x2(2個arg) (0x4009d0是entry pt) 因此第三行的pop rsi就相當於把stack頂的argc pop給rsi 第四行的mov rdx, rsp相當於把binary_path傳給rdx 第五行對rsp & 0xFF...F0是為了要確保stack是0x10對齊 :::
2/5/2023OSI vs TCP/IP OSI(7層) TCP/IP(4層) 用途 ex Protocol 7 Application應用層
1/16/2022fork System Call如何呼叫 早期(v3.7及之前): sys_fork()呼叫do_fork() asmlinkage long sys_fork(struct pt_regs regs) { return do_fork(SIGCHLD, regs.rsp, ®s, 0); } 後期(~v5.9): SYS_DEFINEx()(x代表參數個數)呼叫do_fork()
11/5/2021結論 :::info 這是一隻ColdLock變種的勒索軟體 他會檢查自己是否在win10系統,並關閉通知及Windows Defender 只會在每天的11點11分後發作 利用檢查%System Root%\ProgramData\readme.tmp判斷是否系統已被感染 勒索訊息寫在How To Unlock Files.txt,包含personalID,會在多個路徑下產生 <all drive path>\
9/28/2021or
By clicking below, you agree to our terms of service.
New to HackMD? Sign up