[转帖]flash新漏洞的PoC...
参照这篇文章可以更多了解到漏洞，可以通过跳转的地址和shellcode来辨别

http://www.avertlabs.com/research/blog/index.php/2009/07/22/new-0-day-attacks-using-pdf-documents/

样本网上找找，应该能找到了。

[转帖]flash新漏洞的PoC...
[QUOTE=dayang;661527]41.89]
>>
endobj
5 0 obj
<</Type /Font
/BaseFont /Helvetica
/Subtype /Type1
/Encoding /WinAnsiEncoding
>>
endobj
2 0 obj
<<
/ProcSet [/PDF...[/QUOTE]

不是。是有2个FWS开头的swf文件片段。会drop文件SUCHOST.EXE

[转帖]flash新漏洞的PoC...
我想真的移除的原因应该是这个PoC并非22日的这个0day,最新的是应该是PDF中嵌入swf文件。当然不排除a do be 不爽:))

这个其实是一个老的getIcon的exploit.

shellcode 中
URLMON.DLL, URLDownloadToFileA, update.exe, crash.php, http://viorfjoj-2.com/2/update.php?id=0

不过http://viorfjoj-2.com貌似已经关闭

[转帖]flash新漏洞的PoC...
堆栈写入大量0c0c最终导致访问内存出错，激发SEH栈溢出

[注意]网页木马，进来小心！
哇。都蛮新的嘛。与时俱进啊

[推荐]介绍一位朋友，希望在成都工作-从事嵌入式开发或安全开发或逆向工程相关工作（工作已找到！谢谢大家支持！）
楼主是博士。。
不过感觉确实很像楼主本人。

[求助]Microsoft Office Web Components. CVE-2009-1136
在等待owc10.dll加载后，75c62e76 断点 直接F9貌似2次就到了。
谢谢楼上，有详细的造成漏洞的缘故么？谢谢分享。

[求助]Microsoft Office Web Components. CVE-2009-1136
如果是同样的mshtml.dll,同样的加载基址的话，这个跳转的目标堆那就是是一致的。把一句指令的位置感觉像当做了一个函数虚表的地址。匪夷所思啊。
同期待MJ。

[求助]Microsoft Office Web Components. CVE-2009-1136
MJ都开口了。哈哈，能否再指明一点，比如在哪个位置。小弟不才，不才

[求助]Microsoft Office Web Components. CVE-2009-1136
这个漏洞还原容易，但由于其中涉及的数据结构不熟悉，很繁冗，究其导致错误根本原因异常困难。如果楼主搞清楚原因了，希望发来看雪与大家分享。帮顶

[原创]MPEG-2 0day漏洞：缓冲区溢出覆盖SEH
用windbg下载到符号文件即可

[翻译]新的Symbian OS 9 可执行文件格式（E32Image）
占领沙发顶，这个方面相信未来非常前途

[新闻]熊猫安全软件成立中国研发中心
北京果然是工作机会多

[原创]发布IDA Pro 5.4 中文帮助手册
当之无愧的加精，狂顶。
加百力大哥无私奉献的精神让人佩服

10年毕业，想找份c++或者逆向方面的工作（已找到实习机会，谢谢大家的支持）
支持加恭喜一个。

[求助][求助]病毒文件调式中的问题[高手进来看看]
个人意见 仅供参考
这算一种thread hijack, 这种方法是不需要调用createremotethread的。就像你说的 提升权限，suspend打开一个进程，然后writeprocessmemory代码过去，然后调整EIP到这段代码。
OD attach，至少要等这个进程运行起来。要不就dump出write过去的代码然后自己分析

[原创]夏至未至 发份简历寻求工作 拉(工作已经找到！谢谢大家支持)
你的简历在哪里可以找到？你的就业意向或者说目前在什么地方？

[原创]基于注册表Hive格式的解析/删除/增加, 程序界面+完整源码
有码。。学习，谢谢

[分享]基于Windows内核层的Anti-Rootkits研究及其实现
第8页。。赛门特克公司，看来是打字错误呢。

好的老师呢就好好的学习下。不好的老师呢就到处挑刺，什么图片不规范啊，论文结构不行啊。

支持。

[求助].h文件怎样在ida中自动生成结构
http://www.debugman.com/read.php?tid=2834
http://www.debugman.com/read.php?tid=3002

试试