首页
社区
课程
招聘
问答 CTF 排行榜 知识库 工具下载 峰会 看雪商城 证书查询
  1. 社区
  2. 软件逆向
    3. 发新帖
[求助]怎么分析word漏洞
发表于: 2012-2-29 09:03 5398

[求助]怎么分析word漏洞

chtq 活跃值
2012-2-29 09:03
5398
有word样本,怎么找到shellcode位置呢?

[注意]APP应用上架合规检测服务,协助应用顺利上架!

收藏
免费 0
支持
分享
最新回复 (6)
古河
雪    币: 822
活跃值: (380)
能力值: ( LV12,RANK:310 )
在线值:
发帖
回帖
粉丝
私信
2
你有没有能够触发样本的环境?如果有这个环境的话,会比较方便

安装EMET工具,http://www.microsoft.com/download/en/details.aspx?id=1677
用这个工具开启word的DEP保护

EMET的部分原理可以参见这篇帖子: http://bbs.pediy.com/showthread.php?t=125470

运行样本,只要样本没有做ROP(做了ROP也是有可能在遍历导出表时crash的),应该有很大几率会crash在shellcode入口处

如果没有触发环境就比较麻烦了,可能要先定位具体漏洞,可以用virustotal扫一下,看看有没有漏洞名
2012-2-29 10:05
0
chtq
雪    币: 68
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
私信
3
我是想问怎么用OD 设置断点找到shellcode的位置!!
2012-2-29 10:21
0
badboynt
雪    币: 692
活跃值: (25)
能力值: ( LV3,RANK:20 )
在线值:
发帖
回帖
粉丝
私信
4
2l已经说的很详细了。。。
2012-2-29 11:14
0
老纳
雪    币: 105
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
私信
5
其实这个和脱壳过程类似的。
2012-2-29 11:58
0
chtq
雪    币: 68
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
私信
6
你装个鸟!我会还用问吗。
2012-2-29 16:07
0
ilovehuhu
雪    币: 54
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
私信
7
同求,同问,有漏洞分析的高手请教教菜鸟。
2012-3-1 18:52
0
游客
登录 | 注册 方可回帖
回帖 表情 雪币赚取及消费
高级回复
返回
// // 统计代码