# 來拆一拆__libc_start_main ###### tags: `Reverse` 1. 從entry point(start)開始 - start ![](https://i.imgur.com/ckFQKnp.png) :::info 1. 在剛開始執行時,會把參數以倒序+argc push到stack上 ex. gdb> r aaa 會依序push aaa, binary_path, 0x2(2個arg) (0x4009d0是entry pt) ![](https://i.imgur.com/GMxjXvf.png) 因此第三行的pop rsi就相當於把stack頂的argc pop給rsi 第四行的mov rdx, rsp相當於把binary_path傳給rdx 第五行對rsp & 0xFF...F0是為了要確保stack是0x10對齊 ::: 2. __libc_start_main ```c= int __libc_start_main(int (*main) (int, char **, char **), int argc, char ** ubp_av, void (*init) (void), void (*fini) (void), void (*rtld_fini) (void), void (*stack_end)); ``` :::info 參數有7個+1個多餘的,分別為 ![](https://i.imgur.com/rUkUJv9.png =1000x250) Note: 如果是x86,直接用stack傳所有參數(也要多一個唷) Note: 無論是x86或x64,都要從**最後一個**參數開始處理 ::: call __libc_start_main時的狀況 ![](https://i.imgur.com/dY8RW0B.png)
Last changed by  
許瓈方
409

Read more

SOLACE PubSub+

Introduction 整合跨廠、Data center、Cloud Server及IoT,作為設備之間即時通訊的管理平台Event Management支援EDA (Event-Driven Architecture)偵測特定Event Event Streaming 建立Event mesh以共享數據Event Mesh是一個由事件代理系統(Event Broker)所組成的網路架構層,可以將某應用程式產生的event動態route到其他應用程式(無論他部屬在哪裡) Event Broker接收從Producers產生的事件訊息,並將事件訊息route給事件訂閱者(Consumers) Event Broker可以部屬在Cloud (包含公有雲&私有雲,etc) Software (各類Container或虛擬機管理平台) Appliance

12/28/2022
常用協定及網路相關整理

OSI vs TCP/IP OSI(7層) TCP/IP(4層) 用途 ex Protocol 7 Application應用層

1/16/2022
Linux system call呼叫 & `fork()`

fork System Call如何呼叫 早期(v3.7及之前): sys_fork()呼叫do_fork() asmlinkage long sys_fork(struct pt_regs regs) { return do_fork(SIGCHLD, regs.rsp, &regs, 0); } 後期(~v5.9): SYS_DEFINEx()(x代表參數個數)呼叫do_fork()

11/5/2021
惡意程式分析 (ColdLock)

結論 :::info 這是一隻ColdLock變種的勒索軟體 他會檢查自己是否在win10系統,並關閉通知及Windows Defender 只會在每天的11點11分後發作 利用檢查%System Root%\ProgramData\readme.tmp判斷是否系統已被感染 勒索訊息寫在How To Unlock Files.txt,包含personalID,會在多個路徑下產生 <all drive path>\

9/28/2021
Read more from 許瓈方
Published on HackMD