而 docker 镜像是根据配置文件 DockerFile 来创建的，分析 DockerFile 可知首先是拉取一个 Ubuntu16.04 的镜像并安装了相关的软件，由于安装了文件传输工具 curl ，因此可以考虑通过利用漏洞执行 curl 命令来将 flag 文件下载下来。根据 ARM 的函数调用约定，LR 寄存器存储返回地址，因此这条 gadget 中的 PC 决定 下一个函数的地址，而 L

实际上只能使用第二种方式，因为 PCI 设备内部会对访问的内存区域进行检查，不允许超过分配。的合法区间，因而我们只能通过第二种方式构造越界读写原语。上设置定时任务，不过时间设置为 -1 因此不会执行。函数定义如下，也就是说这里会将该定时任务时间设置为。位于 qemu 上，地址小于堆地址，而越界写。无法将下标设为负数，因此考虑其他方法。指向参数地址，从而实现任意命令执行。结构体的内容如下，其中。从前

QEMU 与 KVM 的完整架构如下图所示。其中 VMX root 和 VMX non-root 都是 CPU 引入了支持硬件虚拟化的指令集 VT-x 之后出现的概念。虚拟机在 VMX root 模式和 VMX non-root 模式下都有 ring 0 到 ring 3 四个特权级别。

项目源码什么是 LLVMLLVM 计划启动于2000年，开始由美国 UIUC 大学的 Chris Lattner 博士主持开展，后来 Apple 也加入其中。最初的目的是开发一套提供中间代码和编译基础设施的虚拟系统。LLVM 命名最早源自于底层虚拟机（Low Level Virtual Machine）的缩写，随着 LLVM 项目的不断发展，原先的全称已不再适用，目前 LLVM 就是该项目的全称。

环境搭建虚拟机安装镜像下载网站为了避免环境问题建议 22.04 ，20.04，18.04，16.04 等常见版本 ubuntu 虚拟机环境各准备一份。注意定期更新快照以防意外。虚拟机建议硬盘 256 G 以上，内存也尽量大一些。硬盘大小只是上界，256 G 不是真就占了 256 G，而后期如果硬盘空间不足会很麻烦。基础工具vimsudo apt install vimgedit不习惯 vim 的可

程序分析main 函数经典虚拟机__int64 __fastcall main(__int64 a1, char **a2, char **a3){__int16 f; // [rsp+1Ah] [rbp-246h]__int16 is_run; // [rsp+1Ch] [rbp-244h]unsigned __int16 t; // [rsp+20h] [rbp-240h]unsigned i

堆利用Unlink假设正常情况下，每申请一个 chunk 会保存一个指向该 chunk 内存块的指针。在 chunk1 中构造 fake chunk ，需要注意：为了绕过if (__builtin_expect(FD->bk != P || BK->fd != P, 0))malloc_printerr(check_action, "corrupted double-linked li

驱动程序设备驱动文件系统驱动内核拓展模块LKMs 的文件格式和用户态的可执行程序相同，Linux 下为 ELF ，Windows 下为 exe/dll ，mac 下为 MACH-O ，因此我们可以使用 IDA 等工具来分析内核模块。模块可以被单独编译，但不能单独运行，它在运行时被链接到内核作为内核的一部分在内核空间运行，这与运行在用户空间的进程不同。模块通常用来实现一种文件系统，一个驱动程序或者其

ptmalloc2 是目前 Linux 标准发行版中使用的堆分配器。malloc 函数返回对应大小字节的内存块的指针。此外，该函数还对一些异常情况进行了处理：用以扩展 chunk，相邻 chunk 闲置且空间充足则会进行合并，否则会重新分配 chunk。即通过 realloc 我们可以完成对一个 chunk 的 free，也就是说在特殊情况下 realloc 是可以当作 free 使用的，其中，在

输入一个正整数n，输出n!的值。其中n!=123*…*n。算法描述n!可能很大，而计算机能表示的整数范围有限，需要使用高精度计算的方法。使用一个数组A来表示一个大整数a，A[0]表示a的个位，A[1]表示a的十位，依次类推。将a乘以一个整数k变为将数组A的每一个元素都乘以k，请注意处理相应的进位。首先将a设为1，然后乘2，乘3，当乘到n时，即得到了n!的值。　　输入格式输入包含一个...