当2010年都过了大半的时候，以2008年和2009年的看雪论坛精华帖为内容的看雪论坛精华10终于出了在线版，详情请点击看雪论坛精华10在线WEB版。CHM版还在测试中，正式版还要等一段时间。本来这是旧闻了，只是当时出来的时候我在北京窝在招待所里，没有第一时间看到，这次就提一下。

一直盼着这个精华10，从09盼到10年。原因是我的文章终于第一次能够被看雪论坛精华集所收录了。回想以

学校使用的锐捷客户端在WIN7上安装的版本是3.95，在我的Thinkpad R400笔记本的WIN7系统上安装后，运行提示“重启计算机后才能使用锐捷认证客户端，是否立即重启？”，重启之后再次运行，仍然弹出该提示，重启N遍亦不能解决。

上网搜索发现早有人反映这个问题，在锐捷网络技术服务论坛上有用户发帖反映（http://support.ruijie.com.cn/showtopic-20473.aspx），该用户已找到症结，即锐捷认证客户端更新服务与Lenovo ThinkpadVantage System Up

关于KAVSafe.sys的内核权限提升漏洞，在exploit-db.com上写的提交者是Xuanyuan Smart，由于Xuanyuan正好是“轩辕”的拼音，而Smart又可以翻译为“聪明”，于是有一些网友据此认为这是我的网名“轩辕小聪”的英文翻译；另外在sebug.net中提交者又署名yicong2010，其邮箱为yicong2010_at_yahoo.com，而我在一些安全论坛上注册使用的邮箱也是yicong后面加上年份（yicong是我名字的拼音），从而使某些网友更确认我与那个提交者有某种联系。

为免不明真相的网友误会，我声明一下，我不知道这位X

摘要：新版Office正版增值计划通知程序组件OGAEXEC.exe在读取odataext.dat文件的安全描述符及其中的DACL内容的过程中，在调用GetSecurityDescriptorDacl后的判断中，忽略了lpbDaclPresent为TRUE而pDacl为NULL的情况，导致直接使用NULL的pDacl指针调用GetAclInformation，从而触发了一个access violation(0xC0000005)，导致程序出错退出。

国庆回来，打开电脑，Windows Update更新了OGA通知（KB949810）的一个新版本。

系统环境：XP sp3 简体中文版

源起http://bbs.pediy.com/showthread.php?p=686228
如果该帖楼主的问题是这样表述的：

“Intel或AMD的CPU情况下，系统内核文件应分别为ntoskrnl.exe和ntkrnlpa.exe，为什么我通过PsLoadedModuleList读取到的永远是ntoskrnl.exe？”

那么我可能很快就理解，然而楼主错误地把问题指向单核与双核的区别，说出了“内核文件名字ntkrnlmp.exe或者 ntoskrnl.exe”的话，结果我也就停留在告诉他

阳光在阅读《脱壳的艺术》，其中阐述某些壳修改程序流程的方法，是使用CreateProcess(CREATE_SUSPENDED)创建新的被挂起的进程，此时其初始化线程上下文中，ebx即为其PEB指针。

于是阳光找我讨论这是为什么。我相信大家在用OD的过程中也早已发现，如果不使用CREATE_SUSPENDED，初始化线程在跑到入口点后，其ebx同样指向PEB结构。

显然，我们必须进入Win32系统新进程创建的过程来找这个真相。由于我们知道初始化线程被创建后（尚未Resume）ebx就已经指向PEB了，所以要不然就

昨天想往我新买的手机上装Opera Mobile浏览器。Google了一下注册机，发现了网上提供的“Opera Mobile 8.65 for Symbian60 v3 注册机”程序。该程序用UPX加壳，使用Delphi编写，由于其FormCreate例程中有使用Indy组件进行后台联网行为，杀毒软件至今仍将其认定为病毒。

虽然该注册机可以照常使用，计算出来的注册码也是正确的，但是即使不算病毒，至少也算有AD行为，搜索过程中看到网友们慨叹“找到的注册机都是病毒”，实在有点不爽。

于是我逆向了该注册机程序，了解了它的注册码算法，发现

http://bbs.pediy.com/showthread.php?t=92912帖子发出后，得到了MJ0011和云砉生等人的指正，特别是最后弄清楚了这个漏洞产生的原因：代码编写者犯了一个程序员经常犯的错误（感谢云砉生指出这一点），即将保存缓冲区指针的堆栈地址当成缓冲区指针本身传入（将传入参数buff误写为&buff），从而导致了溢出。

弄清楚了原因，漏洞补丁就很简单了，正如pshpan的blog中提到的方法：

.text:59

考完一个期末考回来，发现自己很多事情火星了。昨晚jun跟我说起最近出了个MPEG-2 0day的洞。Google一搜索，果然一大把新闻。于是在新闻里提到的被挂马网页中找了一个，实机触发了一下这个漏洞。搞着搞着越搞越上瘾，把这个玩意的来龙去脉粗略搞清了，结果通宵了

blog里字数限制太烦人，等以后有空再全文搬上来，先给个看雪帖子链接：

http://bbs.pediy.com/showthread.php?t=92912

我在看雪

本本上装的WinMount在把一个有密码的压缩包Mount到新驱动器的时候，我输完密码按确定之后，BSOD了。搞得我深夜分析dump。

dump加载后windbg产生的信息摘要：

DRIVER_IRQL_NOT_LESS_OR_EQUAL (d1)
An attempt was made to access a pageable (or completely invalid) address at an
interrupt request level (IRQL) that is too high. This is usually
caused by drivers using improper addresses.
If kernel debugger is available get stack backtrace.
Arguments:
Arg1: ff116000, me