能力值:
( LV4,RANK:40 )
26 楼
那你当初也是因为程序的报错无意中发现的?
能力值:
( LV13,RANK:520 )
27 楼
不知道你所说的kd是指什么意思?
如果OD接管异常优先级较低的话.
你就试试加入VEH.
AddVectoredExceptionHandler Function
Registers a vectored exception handler.
PVOID WINAPI AddVectoredExceptionHandler(
__in ULONG FirstHandler,
__in PVECTORED_EXCEPTION_HANDLER VectoredHandler
);
Parameters
FirstHandler
The order in which the handler should be called. If the parameter is nonzero, the handler is the first handler to be called. If the parameter is zero, the handler is the last handler to be called.
VectoredHandler
A pointer to the handler to be called. For more information, see VectoredHandler.
能力值:
( LV13,RANK:520 )
28 楼
是的,我的是无意中发现的.
你说你是发现IE的崩溃问题.
那你不能只在你电脑上测试,
你首先要找一个同样平台的,裸机(没装其他无关的软件)来测试,
如果仍然能重现崩溃的现象,你才能确定他是真的BUG.
否则的话,有可能只是你现在的环境,或者其他的软件 冲突 排斥 或者一些不可预料的原因,
导致的 崩溃.
所以,第一时间,发现程序崩溃了,不能说明什么的.要换个同样平台的裸机测试,才能确定.
能力值:
( LV4,RANK:40 )
29 楼
kd即是Kernel Detective,每次异常它先提示异常
能力值:
( LV4,RANK:40 )
30 楼
每浏览到看雪高手的那些文章,熟练用着调试器,哪里不对断哪里
能力值:
( LV13,RANK:520 )
31 楼
IE的话,估计你要装上所有的补丁才测试.我对漏洞挖掘这块不怎么了解.但是我还是知道,IE经常出漏洞的.所以你要是想挖掘最新的漏洞,个人觉得应该装上所有的补丁,再做测试.
能力值:
( LV2,RANK:140 )
32 楼
我看了下这个.
是在edit控件的EM_SETHANDLE和EM_GETHANDLE消息上触发漏洞的.
触发是先发EM_SETHANDLE然后再发EM_GETHANDLE就成了.
使用SendMessage向Edit控件消息,会调用ComCtl32.dll的EditML_WndProc进程
处理方式如下:
LRESULT MLEditWndProc(
HWND hwnd,
PED ped,
UINT message,
WPARAM wParam,
LPARAM lParam)
{
switch (message) {
....
case EM_SETHANDLE:
EditML_SetHandle(ped, (HANDLE)wParam);
break;
case EM_GETHANDLE:
if (ped->fAnsi)
*(ECLock(ped) + ped->cch) = 0;
else
[COLOR="Red"]*((LPWSTR)ECLock(ped) + ped->cch) = 0;[/COLOR]
ECUnlock(ped);
return ((LRESULT)ped->hText);
...
}
}
漏洞触发后断在上面红色的代码处.
EditML_SetHandle 如下:
void __stdcall EditML_SetHandle(PED ped, HLOCAL hNewText)
{
*(_DWORD *)ped = hNewText;
...
if (ped->fAnsi)
ped->cch = strlen(ECLock(ped));
else
ped->cch = wcslen((LPWSTR)ECLock(ped));
ECUnlock(ped);
....
}
ECLock 如下:
LPVOID __stdcall Edit_Lock(PED ped)
{
v1 = LocalLock(*(HLOCAL *)ped);
...
return v1;
}
先Send EM_SETHANDLE消息.comctl32.dll会将wParam当做一个Heap存放到*(_DWORD *)ped 中也就是ped->hText.然后再发送EM_GETHANDLE消息会将ped->hText的末尾赋0也就是字符串结束.
所以转化成ring3下任意地址写0的漏洞.
但必须保证:
1, LocalLock(地址) == 地址;
2, 地址必须是可写的.
能力值:
( LV13,RANK:520 )
33 楼
赞一个.
分析的好透切.
不过不仅仅是 em_sethandle em_gethandle
我分析的时候,有的时候, em_getrecv 等 消息,有时也会崩溃的.
不同的控件,崩溃的地址不一样的.
所以我都是从 0xb0 开始发消息.
能力值:
( LV4,RANK:40 )
34 楼
用od调试完全无法断下异常
这是windbg下的异常
This exception may be expected and handled.
eax=fffffff8 ebx=00000001 ecx=7ffdf000 edx=000002dc esi=00180000 edi=00000000
eip=776064d0 esp=0014f584 ebp=0014f5b4 iopl=0 nv up ei pl zr na pe nc
cs=001b ss=0023 ds=0023 es=0023 fs=003b gs=0000 efl=00010246
ntdll!RtlpNtMakeTemporaryKey+0x4b8c:
776064d0 80780705 cmp byte ptr [eax+7],5 //eax<0,error
ds:0023:ffffffff=??
好像与你希望异常的地方不一样
而且用易语言的程序来实验,attact后居然无反应,真的逆天了
能力值:
( LV13,RANK:520 )
35 楼
你说的OD无反映是指没有效果?还是UI卡住了?
OD全是自绘的,没有用控件,所以没有效果是正常的.
能力值:
( LV4,RANK:40 )
36 楼
用od调试记事本完全无法断下异常
能力值:
( LV13,RANK:520 )
37 楼
我测试的时候是在xp上测试的,可以断下.
能力值:
( LV7,RANK:110 )
38 楼
好厉害哟哟。。。
能力值:
( LV4,RANK:40 )
39 楼
的确是个严重bug,广播个Msg如果没hook保护估计几乎全死了
能力值:
( LV2,RANK:10 )
40 楼
这个bug要收下,大有用处
能力值:
( LV3,RANK:30 )
41 楼
楼主分析下能不能干掉杀软?
能力值:
( LV2,RANK:10 )
42 楼
不能, 杀软基本都是自绘+HOOK消息保护, 都不在这个漏洞的出发条件之内;
能力值:
( LV2,RANK:10 )
43 楼
高级玩意儿!
能力值:
( LV2,RANK:10 )
44 楼
这样的好像只是好玩。。。没有多在作用吧。
能力值:
( LV4,RANK:50 )
45 楼
哦, 有这情况哟.
能力值:
( LV5,RANK:75 )
46 楼
Console_Src .c .h都加密了
能力值:
( LV13,RANK:520 )
47 楼
不好意思,那个是在公司里面写的,
公司有透明加密,我给忘了.
25L的就是源码了,
你可以看25L的.
能力值:
( LV5,RANK:75 )
48 楼
25 2013-05-07, 11:40:03
能力值:
( LV2,RANK:10 )
49 楼
刚微软中国给的售后服务人员金某反馈了, 我复制下原文
能力值:
( LV2,RANK:10 )
50 楼
刚微软中国给的售后服务人员金某反馈了, 我复制下原文
