-
-
CVE-2012-4792分析遇到的问题
-
发表于: 2013-6-6 00:29
-
在查看对CVE-2012-4792的分析过程中发现如下问题不是很明白。原谅我这个弱菜吧。
(1)对于CButton的构造函数地址和析构函数的偏移地址的获取不知道怎么获取(也就是说不知道CButton的构造和析构函数在哪里)。在回复的第一个里面作者回答是通过找到CButton的构造和析构函数的地址。
ps:正因为不知道偏移地址,所以无法打印出正确的日志。
下面是作者自己找到的偏移,在我机器上偏移可能不一样,所以打印出来的结果很郁闷,竟然没构造函数就直接析构了,所以猜测可能是偏移搞错了,不能照搬作者的偏移。
1:025> bp !mshtml + 0x414c27 “.printf \”Created CButton at %p\”, eax;.echo;g”
1:025> bp !mshtml + 0x414ae1 “.printf \”Deleting CButton at %p\”, eax;.echo;g”
(2)在sxe ld:mshtml过程中发现该模块已经加载,如何才能在这个模块加载之前下断点呢。。
我是先打开windbg,然后打开ie,然后windbg attach上去,但是一附加上去就已经加载好了mshtml了,所以就很尴尬啊。。哎,弱菜的悲哀。
http://blog.exodusintel.com/2013/01/02/happy-new-year-analysis-of-cve-2012-4792/
(1)对于CButton的构造函数地址和析构函数的偏移地址的获取不知道怎么获取(也就是说不知道CButton的构造和析构函数在哪里)。在回复的第一个里面作者回答是通过找到CButton的构造和析构函数的地址。
ps:正因为不知道偏移地址,所以无法打印出正确的日志。
下面是作者自己找到的偏移,在我机器上偏移可能不一样,所以打印出来的结果很郁闷,竟然没构造函数就直接析构了,所以猜测可能是偏移搞错了,不能照搬作者的偏移。
1:025> bp !mshtml + 0x414c27 “.printf \”Created CButton at %p\”, eax;.echo;g”
1:025> bp !mshtml + 0x414ae1 “.printf \”Deleting CButton at %p\”, eax;.echo;g”
(2)在sxe ld:mshtml过程中发现该模块已经加载,如何才能在这个模块加载之前下断点呢。。
我是先打开windbg,然后打开ie,然后windbg attach上去,但是一附加上去就已经加载好了mshtml了,所以就很尴尬啊。。哎,弱菜的悲哀。
http://blog.exodusintel.com/2013/01/02/happy-new-year-analysis-of-cve-2012-4792/
[培训]内核驱动高级班,冲击BAT一流互联网大厂工作,每周日13:00-18:00直播授课
|
|
|---|---|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
