首页
社区
课程
招聘
[讨论]漏洞分析如何确定出错的函数
发表于: 2009-7-15 15:27 4140

[讨论]漏洞分析如何确定出错的函数

2009-7-15 15:27
4140
以《0day》中十四章提到的MS06-055(IE组件vgx.dll)分析为例。
在书中,failwest直接指出了错误函数_IE5_SHADETYPE_TEXT::text(),但是如果他不给出错误函数呢?怎么确定出错函数。
还有像这个例子,怎样断在加载一个dll之后啊。

书中failwes结合IDA使用,先用IDA确定_IE5_SHADETYPE_TEXT::text()的地址,这时能够保证IDA中该函数的地址可以用作Ollydbg的断点吗?毕竟IDA是静态分析,Ollydbg是动态分析,装载dll时地址不变化吗?
我调试的时候是没有变化的,感觉应该变化的。那就是可能变化,也可能不变化?

谢谢了!

[培训]内核驱动高级班,冲击BAT一流互联网大厂工作,每周日13:00-18:00直播授课

收藏
免费 0
支持
分享
最新回复 (2)
雪    币: 5
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
2
怎样断在加载一个dll之后啊。

这个问题嘛  在OD里点“选项菜单”,点“调试设置”,点事件选项卡。在“中断于新模块(DLL)”前打个钩就行。

对于,这是能够保证IDA中该函数的地址可以用作Ollydbg的断点吗?这个是不一定行的。
看OD载入这个DLL的基址,然后加上RVA得到的地址就可以作为在OD下断的地址了。
2009-7-15 16:15
0
雪    币: 192
活跃值: (15)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
3
谢谢。一个小小的选项,调试时可方便太多了。
2009-7-15 17:09
0
游客
登录 | 注册 方可回帖
返回
//