tag:blogger.com,1999:blog-5190877782491799334.post8177908766882751048..comments2020-01-09T01:25:06.259-08:00Comments on 0vercl0k's blog.: Sudami KillMe PoC.0vercl0khttp://www.blogger.com/profile/04851747716024429465noreply@blogger.comBlogger2125tag:blogger.com,1999:blog-5190877782491799334.post-66584290653678523872008-07-18T05:21:00.000-07:002008-07-18T05:21:00.000-07:00Salut à toi,Si on regarde la définition de la stru...Salut à toi,<BR/>Si on regarde la définition de la structure ETHREAD :<BR/><BR/>lkd> dt nt!_ETHREAD<BR/> +0x000 Tcb : _KTHREAD<BR/> +0x1c0 CreateTime : _LARGE_INTEGER<BR/> +0x1c0 NestedFaultCount : Pos 0, 2 Bits<BR/> +0x1c0 ApcNeeded : Pos 2, 1 Bit<BR/> +0x1c8 ExitTime : _LARGE_INTEGER<BR/> +0x1c8 LpcReplyChain : _LIST_ENTRY<BR/> +0x1c8 KeyedWaitChain : _LIST_ENTRY<BR/> +0x1d0 ExitStatus : Int4B<BR/> +0x1d0 OfsChain : Ptr32 Void<BR/> +0x1d4 PostBlockList : _LIST_ENTRY<BR/> +0x1dc TerminationPort : Ptr32 _TERMINATION_PORT<BR/> +0x1dc ReaperLink : Ptr32 _ETHREAD<BR/> +0x1dc KeyedWaitValue : Ptr32 Void<BR/> +0x1e0 ActiveTimerListLock : Uint4B<BR/> +0x1e4 ActiveTimerListHead : _LIST_ENTRY<BR/> +0x1ec Cid : _CLIENT_ID<BR/> +0x1f4 LpcReplySemaphore : _KSEMAPHORE<BR/> +0x1f4 KeyedWaitSemaphore : _KSEMAPHORE<BR/> +0x208 LpcReplyMessage : Ptr32 Void<BR/> +0x208 LpcWaitingOnPort : Ptr32 Void<BR/> +0x20c ImpersonationInfo : Ptr32 _PS_IMPERSONATION_INFORMATION<BR/> +0x210 IrpList : _LIST_ENTRY<BR/> +0x218 TopLevelIrp : Uint4B<BR/> +0x21c DeviceToVerify : Ptr32 _DEVICE_OBJECT<BR/> +0x220 ThreadsProcess : Ptr32 _EPROCESS<BR/> +0x224 StartAddress : Ptr32 Void<BR/> +0x228 Win32StartAddress : Ptr32 Void<BR/> +0x228 LpcReceivedMessageId : Uint4B<BR/> +0x22c ThreadListEntry : _LIST_ENTRY<BR/> +0x234 RundownProtect : _EX_RUNDOWN_REF<BR/> +0x238 ThreadLock : _EX_PUSH_LOCK<BR/> +0x23c LpcReplyMessageId : Uint4B<BR/> +0x240 ReadClusterSize : Uint4B<BR/> +0x244 GrantedAccess : Uint4B<BR/> +0x248 CrossThreadFlags : Uint4B<BR/> +0x248 Terminated : Pos 0, 1 Bit<BR/> +0x248 DeadThread : Pos 1, 1 Bit<BR/> +0x248 HideFromDebugger : Pos 2, 1 Bit<BR/> +0x248 ActiveImpersonationInfo : Pos 3, 1 Bit<BR/> +0x248 SystemThread : Pos 4, 1 Bit<BR/> +0x248 HardErrorsAreDisabled : Pos 5, 1 Bit<BR/> +0x248 BreakOnTermination : Pos 6, 1 Bit<BR/> +0x248 SkipCreationMsg : Pos 7, 1 Bit<BR/> +0x248 SkipTerminationMsg : Pos 8, 1 Bit<BR/> +0x24c SameThreadPassiveFlags : Uint4B<BR/> +0x24c ActiveExWorker : Pos 0, 1 Bit<BR/> +0x24c ExWorkerCanWaitUser : Pos 1, 1 Bit<BR/> +0x24c MemoryMaker : Pos 2, 1 Bit<BR/> +0x250 SameThreadApcFlags : Uint4B<BR/> +0x250 LpcReceivedMsgIdValid : Pos 0, 1 Bit<BR/> +0x250 LpcExitThreadCalled : Pos 1, 1 Bit<BR/> +0x250 AddressSpaceOwner : Pos 2, 1 Bit<BR/> +0x254 ForwardClusterOnly : UChar<BR/> +0x255 DisablePageFaultClustering : UChar<BR/><BR/>L'on voit en effet que le premier membre est une structure de type KTHREAD.<BR/>Par abus de language, j'ai donc dis <BR/>que ce champ était contenu dans ETHREAD.<BR/>Merci bien Taron, à plus.0vercl0khttps://www.blogger.com/profile/04851747716024429465noreply@blogger.comtag:blogger.com,1999:blog-5190877782491799334.post-84918182602138596852008-07-18T04:47:00.000-07:002008-07-18T04:47:00.000-07:00Salut 0verclock, j'ai pas encore lu l'article d'Iv...Salut 0verclock, j'ai pas encore lu l'article d'Ivan je le ferai cet aprem, mais juste une petite coquille : KernelApcDisable c'est dans KTHREAD, pas ETHREAD, si tu regardes le source du kernel tu vois qu'il manipule souvent que KTHREAD.<BR/><BR/>A+ je lirai ton poste aussiAnonymousnoreply@blogger.com