[讨论]漏洞分析如何确定出错的函数-二进制漏洞-看雪-安全社区|安全招聘|kanxue.com

[讨论]漏洞分析如何确定出错的函数

发表于: 2009-7-15 15:27 4110

[讨论]漏洞分析如何确定出错的函数

dcbeyond

2009-7-15 15:27

4110

以《0day》中十四章提到的MS06-055（IE组件vgx.dll）分析为例。
在书中，failwest直接指出了错误函数_IE5_SHADETYPE_TEXT::text（），但是如果他不给出错误函数呢？怎么确定出错函数。
还有像这个例子，怎样断在加载一个dll之后啊。

书中failwes结合IDA使用，先用IDA确定_IE5_SHADETYPE_TEXT::text（）的地址，这时能够保证IDA中该函数的地址可以用作Ollydbg的断点吗？毕竟IDA是静态分析，Ollydbg是动态分析，装载dll时地址不变化吗？
我调试的时候是没有变化的，感觉应该变化的。那就是可能变化，也可能不变化？

谢谢了！

[注意]传递专业知识、拓宽行业人脉——看雪讲师团队等你加入！

收藏・0

免费・0

支持

最新回复 (2)
北流浪子雪币： 5 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 4 回帖 24 粉丝 0 关注私信	北流浪子 2 楼怎样断在加载一个dll之后啊。这个问题嘛在OD里点“选项菜单”，点“调试设置”，点事件选项卡。在“中断于新模块（DLL）”前打个钩就行。对于，这是能够保证IDA中该函数的地址可以用作Ollydbg的断点吗？这个是不一定行的。看OD载入这个DLL的基址，然后加上RVA得到的地址就可以作为在OD下断的地址了。 2009-7-15 16:15 0
dcbeyond 雪币： 192 活跃值： (15) 能力值： ( LV2，RANK：10 ) 在线值：发帖 16 回帖 41 粉丝 1 关注私信	dcbeyond 3 楼谢谢。一个小小的选项，调试时可方便太多了。 2009-7-15 17:09 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复

dcbeyond

发帖

回帖

RANK

关注

私信

他的文章

关于我们

联系我们

企业服务

看雪公众号

专注于PC、移动、智能设备安全研究及逆向工程的开发者社区

最新回复 (2)
北流浪子雪币： 5 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 4 回帖 24 粉丝 0 关注私信	北流浪子 2 楼怎样断在加载一个dll之后啊。这个问题嘛在OD里点“选项菜单”，点“调试设置”，点事件选项卡。在“中断于新模块（DLL）”前打个钩就行。对于，这是能够保证IDA中该函数的地址可以用作Ollydbg的断点吗？这个是不一定行的。看OD载入这个DLL的基址，然后加上RVA得到的地址就可以作为在OD下断的地址了。 2009-7-15 16:15 0
dcbeyond 雪币： 192 活跃值： (15) 能力值： ( LV2，RANK：10 ) 在线值：发帖 16 回帖 41 粉丝 1 关注私信	dcbeyond 3 楼谢谢。一个小小的选项，调试时可方便太多了。 2009-7-15 17:09 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复