首页
社区
课程
招聘
[求助]漏洞战争 CVE-2010-2883调试分析时中途退出
发表于: 2017-5-9 16:01 5258

[求助]漏洞战争 CVE-2010-2883调试分析时中途退出

2017-5-9 16:01
5258

近日根据漏洞战争第2章,调试分析CVE-2010-2883时OD中途退出,无法继续跟踪。

环境:windows XP SP3; OD v1.1;VMware workstation 9.0.1; Adobe Reader 9.3.4

首先,用OD attach到Adobe reader,在0803DDAB处设置断点,F9执行,然后在adobe reader中打开样本文件msf.pdf,断点断下。

然而,F8执行到0803DEAF call 0816BDE时,程序退出。

退出现场为

有谁能告诉我是什么原因造成的吗?谢谢。



[招生]科锐逆向工程师培训(2024年11月15日实地,远程教学同时开班, 第51期)

收藏
免费 0
支持
分享
最新回复 (5)
雪    币: 4357
活跃值: (979)
能力值: ( LV8,RANK:142 )
在线值:
发帖
回帖
粉丝
2
明白原因了,后续ROP链的调用其实都是从0803DEAF  call    8016BDE引起的。由于执行内存访问断点一直到不了
0808B308        FF10                        call        dword  ptr  [eax]                                    ;  icucnv36.4A80CB38
索性用最笨且最有效的办法,不断F8,F8  到程序退出,就记下该处地址,然后重启程序再F7步入该函数。
调试结果记录如下:
0803DEAF    call  8016BDE    --> 
08016C56        E8  C64E0000          call        0801BB21  -->
0801BB41        FF10                        call        dword  ptr  [eax]                                    ;  CoolType.0808B116    -->
0808B308        FF10                        call        dword  ptr  [eax]                                    ;  icucnv36.4A80CB38
最终到达4A80CB38。
2017-5-10 11:42
0
雪    币: 30
活跃值: (216)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
3
楼主,你的adobe  reader  9.3.4是在配套资料里的还是自己下的?我在网上搜的漏洞战争的配套资料里没有这个,自己下了个adobe  reader  9.3.0的
2017-5-23 15:21
0
雪    币: 229
活跃值: (130)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
4
配套资料没有这些,只能在网上下
2017-7-30 18:43
0
雪    币: 1
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
5
楼主,劳烦能把Adobe  Reader  9.3.4的包发一份吗?我找了一早上硬是没找到个能下载的网站,邮箱947062514@qq.com
2017-7-31 10:08
0
雪    币: 333
活跃值: (37)
能力值: ( LV4,RANK:50 )
在线值:
发帖
回帖
粉丝
6
wx_Mars_929995 楼主,劳烦能把Adobe Reader 9.3.4的包发一份吗?我找了一早上硬是没找到个能下载的网站[em_5],邮箱947062514@qq.com
adobe  reader  9.3.0就可以重现,刚刚试过了。
2017-8-1 20:07
0
游客
登录 | 注册 方可回帖
返回
//