[求助]拿到一个漏洞样本，怎样找到里面的shellcode？-二进制漏洞-看雪-安全社区|安全招聘|kanxue.com

最新回复 (16)
误码率雪币： 40 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 7 回帖 66 粉丝 0 关注私信	误码率 2 楼什么类型的样本。 2012-10-9 15:16 0
jpy 雪币： 35 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 5 回帖 29 粉丝 0 关注私信	jpy 3 楼 word文档类型的 2012-10-9 15:17 0
promsied 雪币： 589 活跃值： (119) 能力值： ( LV11，RANK：190 ) 在线值：发帖 11 回帖 94 粉丝 3 关注私信	promsied 4 4 楼本版以前有不少人问过同样的问题 2012-10-9 15:21 0
误码率雪币： 40 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 7 回帖 66 粉丝 0 关注私信	误码率 5 楼这个。。直接看二进制文件，看到一块全部是乱码的地方，一般就是shellcode。。文档末尾的地方应该就是捆绑的exe 2012-10-9 15:22 0
jpy 雪币： 35 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 5 回帖 29 粉丝 0 关注私信	jpy 6 楼在本版找了找，没找到啊能给些链接吗？谢谢 2012-10-9 15:27 0
jpy 雪币： 35 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 5 回帖 29 粉丝 0 关注私信	jpy 7 楼直接看有难度啊我是想学习下，怎样找到shellcode的开始位置 2012-10-9 15:29 0
误码率雪币： 40 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 7 回帖 66 粉丝 0 关注私信	误码率 8 楼是POC的话，直接双击就行了。 2012-10-9 15:42 0
jpy 雪币： 35 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 5 回帖 29 粉丝 0 关注私信	jpy 9 楼我现在正在学习的CVE-2012-0158，用Windbg调试，断GetFileSize之后，知道已经在Shellcode里了，但是怎样找到Shellcode的开头呢？ 2012-10-9 15:47 0
关为名雪币： 16 活跃值： (20) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 28 粉丝 0 关注私信	关为名 10 楼 CVE-2012-0158的话，从windbg进入，bp kernel32!WinExec断下，dd esp+4的位置进行反汇编，就能找到shellcode的开头 2012-10-9 16:00 0
dEARMoON 雪币： 106 活跃值： (40) 能力值： ( LV3，RANK：20 ) 在线值：发帖 3 回帖 95 粉丝 0 关注私信	dEARMoON 11 楼 1、用监控工具检查shellcode行为，根据行为猜测相应API，对API地址下断 2、使用安全性高的操作系统版本，配合反溢出等工具，阻止shellcode执行，断在shellcode处 3、winhex查看16进制，修改可以数据CC测试等等。。。。 2012-10-9 16:41 0
promsied 雪币： 589 活跃值： (119) 能力值： ( LV11，RANK：190 ) 在线值：发帖 11 回帖 94 粉丝 3 关注私信	promsied 4 12 楼你不是已经找到shellcode了吗，实在不行就Trace记录每条指令，往前翻一下就是开头了 2012-10-9 17:10 0
lookzo 雪币： 6 活跃值： (1125) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 526 粉丝 1 关注私信	lookzo 13 楼看是哪种漏洞和怎么利用的，比如堆喷射，u 0x0c0c0c0c就可以了啊 2012-10-9 18:26 0
jpy 雪币： 35 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 5 回帖 29 粉丝 0 关注私信	jpy 14 楼谢谢各位老师！ 2012-10-10 09:40 0
不高兴了雪币： 7 活跃值： (49) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 40 粉丝 0 关注私信	不高兴了 15 楼哈哈，菜鸟膜拜 2013-4-28 17:10 0
marbles 雪币： 7 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 8 回帖 28 粉丝 0 关注私信	marbles 16 楼貌似还是没有比较理想的结果啊 2013-5-6 10:15 0
FthPku 雪币： 107 活跃值： (36) 能力值： ( LV3，RANK：20 ) 在线值：发帖 2 回帖 75 粉丝 2 关注私信	FthPku 17 楼试下OfficeMalScanner 2013-12-17 15:06 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复

最新回复 (16)
误码率雪币： 40 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 7 回帖 66 粉丝 0 关注私信	误码率 2 楼什么类型的样本。 2012-10-9 15:16 0
jpy 雪币： 35 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 5 回帖 29 粉丝 0 关注私信	jpy 3 楼 word文档类型的 2012-10-9 15:17 0
promsied 雪币： 589 活跃值： (119) 能力值： ( LV11，RANK：190 ) 在线值：发帖 11 回帖 94 粉丝 3 关注私信	promsied 4 4 楼本版以前有不少人问过同样的问题 2012-10-9 15:21 0
误码率雪币： 40 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 7 回帖 66 粉丝 0 关注私信	误码率 5 楼这个。。直接看二进制文件，看到一块全部是乱码的地方，一般就是shellcode。。文档末尾的地方应该就是捆绑的exe 2012-10-9 15:22 0
jpy 雪币： 35 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 5 回帖 29 粉丝 0 关注私信	jpy 6 楼在本版找了找，没找到啊能给些链接吗？谢谢 2012-10-9 15:27 0
jpy 雪币： 35 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 5 回帖 29 粉丝 0 关注私信	jpy 7 楼直接看有难度啊我是想学习下，怎样找到shellcode的开始位置 2012-10-9 15:29 0
误码率雪币： 40 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 7 回帖 66 粉丝 0 关注私信	误码率 8 楼是POC的话，直接双击就行了。 2012-10-9 15:42 0
jpy 雪币： 35 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 5 回帖 29 粉丝 0 关注私信	jpy 9 楼我现在正在学习的CVE-2012-0158，用Windbg调试，断GetFileSize之后，知道已经在Shellcode里了，但是怎样找到Shellcode的开头呢？ 2012-10-9 15:47 0
关为名雪币： 16 活跃值： (20) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 28 粉丝 0 关注私信	关为名 10 楼 CVE-2012-0158的话，从windbg进入，bp kernel32!WinExec断下，dd esp+4的位置进行反汇编，就能找到shellcode的开头 2012-10-9 16:00 0
dEARMoON 雪币： 106 活跃值： (40) 能力值： ( LV3，RANK：20 ) 在线值：发帖 3 回帖 95 粉丝 0 关注私信	dEARMoON 11 楼 1、用监控工具检查shellcode行为，根据行为猜测相应API，对API地址下断 2、使用安全性高的操作系统版本，配合反溢出等工具，阻止shellcode执行，断在shellcode处 3、winhex查看16进制，修改可以数据CC测试等等。。。。 2012-10-9 16:41 0
promsied 雪币： 589 活跃值： (119) 能力值： ( LV11，RANK：190 ) 在线值：发帖 11 回帖 94 粉丝 3 关注私信	promsied 4 12 楼你不是已经找到shellcode了吗，实在不行就Trace记录每条指令，往前翻一下就是开头了 2012-10-9 17:10 0
lookzo 雪币： 6 活跃值： (1125) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 526 粉丝 1 关注私信	lookzo 13 楼看是哪种漏洞和怎么利用的，比如堆喷射，u 0x0c0c0c0c就可以了啊 2012-10-9 18:26 0
jpy 雪币： 35 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 5 回帖 29 粉丝 0 关注私信	jpy 14 楼谢谢各位老师！ 2012-10-10 09:40 0
不高兴了雪币： 7 活跃值： (49) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 40 粉丝 0 关注私信	不高兴了 15 楼哈哈，菜鸟膜拜 2013-4-28 17:10 0
marbles 雪币： 7 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 8 回帖 28 粉丝 0 关注私信	marbles 16 楼貌似还是没有比较理想的结果啊 2013-5-6 10:15 0
FthPku 雪币： 107 活跃值： (36) 能力值： ( LV3，RANK：20 ) 在线值：发帖 2 回帖 75 粉丝 2 关注私信	FthPku 17 楼试下OfficeMalScanner 2013-12-17 15:06 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复