首页
社区
课程
招聘
word木马如何调试?
发表于: 2006-8-31 10:50 5853

word木马如何调试?

2006-8-31 10:50
5853
收藏
免费 0
支持
分享
最新回复 (9)
雪    币: 207
活跃值: (40)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
2
顶一下啊!
2006-9-1 08:12
0
雪    币: 200
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
3
哦  不知道你说的是 有WORD的图标的EXE文件  还是word 的溢出  前者 直接分析就可以  后者 可提取 sellcode
2006-9-1 11:00
0
雪    币: 207
活跃值: (40)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
4
我指的是后者,方法是什么,如何提取呢?谢谢!
2006-9-1 17:25
0
雪    币: 0
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
5
强烈关注!!!
2006-9-1 18:08
0
雪    币: 200
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
6
shellcode可能比较难直接看出来把
word溢出得程序一般会导致程序异常
这种估计要调试一下,看看异常出在什么地方,然后再做进一步分析
2006-9-2 10:21
0
雪    币: 200
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
7
讨论这个问题的时候,我还想起一个问题:
为什么一个word exploit文件,正常打开的时候可以触发
但是用od加载word,再打开doc文件的时候,却触发不了呢?我把所有的异常都忽略了.

如果这个问题可以解决的话,我觉得打开run跟踪应该可以解决shellcode定位的问题.
2006-9-3 10:23
0
雪    币: 200
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
8
木马也敢调试,小心中毒哦
2006-9-3 21:53
0
雪    币: 200
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
9
昨天发现,有些别的文件溢出是可以跟踪的
直接开启run跟踪就可以了
2006-9-4 12:17
0
雪    币: 200
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
10
这个问题基本上可以用下面的方法解决.
1.考虑触发方式的问题.有些是直接双击打开触发的,有些是启动关联程序,后面以winword.exe为例,然后再打开指定exploit(也就是楼主所说的word木马)的,调试的时候需要区别对待.
2.对于可以启动关联程序再打开指定exploit来触发的,直接用od加载winword.exe,然后打开指定exploit文件,开启run跟踪,然后找出代码执行的异常之处,一般最后在触发完毕之后,你可以在堆栈上发现很多东西.
3.另一种就是双击打开触发的.这种你直接修改winword.exe的oep为CC(int3)指令,然后把od设置为默认调试器,这样直接双击doc文件的时候,就可以在od中开始调试了,后面的操作和前面的一样.
2006-9-5 13:37
0
游客
登录 | 注册 方可回帖
返回
//