首页
社区
课程
招聘
[求助]拿到一个漏洞样本,怎样找到里面的shellcode?
发表于: 2012-10-9 15:14 4859

[求助]拿到一个漏洞样本,怎样找到里面的shellcode?

2012-10-9 15:14
4859
最近在学习漏洞分析,从网上下载了一些漏洞样本,
求教各位老师:有没有什么好办法快速找到里面的Shellcode?
我现在正在学习的CVE-2012-0158,
用Windbg调试,
断GetFileSize之后,
知道已经在Shellcode里了,
怎样找到Shellcode的开头呢?
谢谢。

[注意]传递专业知识、拓宽行业人脉——看雪讲师团队等你加入!

收藏
免费 0
支持
分享
最新回复 (16)
雪    币: 40
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
2
什么类型的样本。
2012-10-9 15:16
0
雪    币: 35
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
jpy
3
word文档类型的
2012-10-9 15:17
0
雪    币: 589
活跃值: (119)
能力值: ( LV11,RANK:190 )
在线值:
发帖
回帖
粉丝
4
本版以前有不少人问过同样的问题
2012-10-9 15:21
0
雪    币: 40
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
5
这个。。直接看二进制文件,看到一块全部是乱码的地方,一般就是shellcode。。文档末尾的地方应该就是捆绑的exe
2012-10-9 15:22
0
雪    币: 35
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
jpy
6
在本版找了找,没找到啊
能给些链接吗?
谢谢

2012-10-9 15:27
0
雪    币: 35
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
jpy
7
直接看有难度啊
我是想学习下,怎样找到shellcode的开始位置

2012-10-9 15:29
0
雪    币: 40
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
8
是POC的话,直接双击就行了。
2012-10-9 15:42
0
雪    币: 35
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
jpy
9
我现在正在学习的CVE-2012-0158,
用Windbg调试,
断GetFileSize之后,
知道已经在Shellcode里了,
但是怎样找到Shellcode的开头呢?
2012-10-9 15:47
0
雪    币: 16
活跃值: (20)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
10
CVE-2012-0158的话,从windbg进入,bp kernel32!WinExec断下,dd esp+4的位置进行反汇编,就能找到shellcode的开头
2012-10-9 16:00
0
雪    币: 106
活跃值: (40)
能力值: ( LV3,RANK:20 )
在线值:
发帖
回帖
粉丝
11
1、用监控工具检查shellcode行为,根据行为猜测相应API,对API地址下断
2、使用安全性高的操作系统版本,配合反溢出等工具,阻止shellcode执行,断在shellcode处
3、winhex查看16进制,修改可以数据CC测试等等
。。。。
2012-10-9 16:41
0
雪    币: 589
活跃值: (119)
能力值: ( LV11,RANK:190 )
在线值:
发帖
回帖
粉丝
12
你不是已经找到shellcode了吗,实在不行就Trace记录每条指令,往前翻一下就是开头了
2012-10-9 17:10
0
雪    币: 6
活跃值: (1125)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
13
看是哪种漏洞和怎么利用的,比如堆喷射,u 0x0c0c0c0c就可以了啊
2012-10-9 18:26
0
雪    币: 35
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
jpy
14
谢谢各位老师!
2012-10-10 09:40
0
雪    币: 7
活跃值: (49)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
15
哈哈,菜鸟膜拜
2013-4-28 17:10
0
雪    币: 7
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
16
貌似还是没有比较理想的结果啊
2013-5-6 10:15
0
雪    币: 107
活跃值: (36)
能力值: ( LV3,RANK:20 )
在线值:
发帖
回帖
粉丝
17
试下OfficeMalScanner
2013-12-17 15:06
0
游客
登录 | 注册 方可回帖
返回
//