摘要：新版Office正版增值计划通知程序组件OGAEXEC.exe在读取odataext.dat文件的安全描述符及其中的DACL内容的过程中，在调用GetSecurityDescriptorDacl后的判断中，忽略了lpbDaclPresent为TRUE而pDacl为NULL的情况，导致直接使用NULL的pDacl指针调用GetAclInformation，从而触发了一个access violation(0xC0000005)，导致程序出错退出。

国庆回来，打开电脑，Windows Update更新了OGA通知（KB949810）的一个新版本。

系统环境：XP sp3 简体中文版

源起http://bbs.pediy.com/showthread.php?p=686228
如果该帖楼主的问题是这样表述的：

“Intel或AMD的CPU情况下，系统内核文件应分别为ntoskrnl.exe和ntkrnlpa.exe，为什么我通过PsLoadedModuleList读取到的永远是ntoskrnl.exe？”

那么我可能很快就理解，然而楼主错误地把问题指向单核与双核的区别，说出了“内核文件名字ntkrnlmp.exe或者 ntoskrnl.exe”的话，结果我也就停留在告诉他

阳光在阅读《脱壳的艺术》，其中阐述某些壳修改程序流程的方法，是使用CreateProcess(CREATE_SUSPENDED)创建新的被挂起的进程，此时其初始化线程上下文中，ebx即为其PEB指针。

于是阳光找我讨论这是为什么。我相信大家在用OD的过程中也早已发现，如果不使用CREATE_SUSPENDED，初始化线程在跑到入口点后，其ebx同样指向PEB结构。

显然，我们必须进入Win32系统新进程创建的过程来找这个真相。由于我们知道初始化线程被创建后（尚未Resume）ebx就已经指向PEB了，所以要不然就

昨天想往我新买的手机上装Opera Mobile浏览器。Google了一下注册机，发现了网上提供的“Opera Mobile 8.65 for Symbian60 v3 注册机”程序。该程序用UPX加壳，使用Delphi编写，由于其FormCreate例程中有使用Indy组件进行后台联网行为，杀毒软件至今仍将其认定为病毒。

虽然该注册机可以照常使用，计算出来的注册码也是正确的，但是即使不算病毒，至少也算有AD行为，搜索过程中看到网友们慨叹“找到的注册机都是病毒”，实在有点不爽。

于是我逆向了该注册机程序，了解了它的注册码算法，发现

http://bbs.pediy.com/showthread.php?t=92912帖子发出后，得到了MJ0011和云砉生等人的指正，特别是最后弄清楚了这个漏洞产生的原因：代码编写者犯了一个程序员经常犯的错误（感谢云砉生指出这一点），即将保存缓冲区指针的堆栈地址当成缓冲区指针本身传入（将传入参数buff误写为&buff），从而导致了溢出。

弄清楚了原因，漏洞补丁就很简单了，正如pshpan的blog中提到的方法：

.text:59

考完一个期末考回来，发现自己很多事情火星了。昨晚jun跟我说起最近出了个MPEG-2 0day的洞。Google一搜索，果然一大把新闻。于是在新闻里提到的被挂马网页中找了一个，实机触发了一下这个漏洞。搞着搞着越搞越上瘾，把这个玩意的来龙去脉粗略搞清了，结果通宵了

blog里字数限制太烦人，等以后有空再全文搬上来，先给个看雪帖子链接：

http://bbs.pediy.com/showthread.php?t=92912

我在看雪

本本上装的WinMount在把一个有密码的压缩包Mount到新驱动器的时候，我输完密码按确定之后，BSOD了。搞得我深夜分析dump。

dump加载后windbg产生的信息摘要：

DRIVER_IRQL_NOT_LESS_OR_EQUAL (d1)
An attempt was made to access a pageable (or completely invalid) address at an
interrupt request level (IRQL) that is too high. This is usually
caused by drivers using improper addresses.
If kernel debugger is available get stack backtrace.
Arguments:
Arg1: ff116000, me

原帖http://bbs.duba.net/viewthread.php?tid=22035421，25楼回复

在铁军blog上看到这一系列金山客服内部考试题，其中这一题，我认为大家比较容易犯错。

以下哪个修改过的userinit键值的数据会导致用户开机反复注销
A.%systemroot%\system32\userinit.exe
B.userinit.exe
C.c:\windows\system32\userinit.exe,virus.exe
D.c:\windows\system32\userinit.exe

答案是A。这是一个极具迷惑性的题目。迷惑项目主要是C。因为一般

剑盟原帖http://bbs.janmeng.com/viewthread.php?tid=856992&extra=page%3D1，第5楼回复
hmily发了一个Conficker，为了便于会员测试修改了可能影响的跳转。
未修改时：
0041B6A4     8D45 F0        

前面已经知道call进shellcode的代码位于mshtml!CFunctionPointer::PrivateAddRef

用IDA加载mshtml.dll，找到mshtml!CFunctionPointer::PrivateAddRef函数：
.text:42AF7811 public: virtual unsigned long __stdcall CFunctionPointer::PrivateAddRef(void) proc near
.text:42AF7811