- 1、本文档共23页,可阅读全部内容。
- 2、原创力文档(book118)网站文档一经付费(服务费),不意味着购买了该文档的版权,仅供个人/单位学习、研究之用,不得用于商业用途,未经授权,严禁复制、发行、汇编、翻译或者网络传播等,侵权必究。
- 3、本站所有内容均由合作方或网友上传,本站不对文档的完整性、权威性及其观点立场正确性做任何保证或承诺!文档内容仅供研究参考,付费前请自行鉴别。如您付费,意味着您自己接受本站规则且自行承担风险,本站不退款、不进行额外附加服务;查看《如何避免下载的几个坑》。如果您已付费下载过本站文档,您可以点击 这里二次下载。
- 4、如文档侵犯商业秘密、侵犯著作权、侵犯人身权等,请点击“版权申诉”(推荐),也可以打举报电话:400-050-0827(电话支持时间:9:00-18:30)。
查看更多
CVE-2012-0158 MSCOMCTL控件漏洞分析CVE-2012-0158 MSCOMCTL控件漏洞分析
CVE-2012-0158 MSCOMCTL 控件漏洞分析
作者:chence 时间:27/4/2012
引言:一个朋友给了我一个比较新的样本,用360 一扫,直接报了CVE-2012-0158 。一直都觉得360 对
于文件病毒不敏感,这回倒是给了我一个惊讶。看来360 也不能藐视。。。
网上搜了搜,没发现有分析这个漏洞的。论坛分析漏洞的文章比较少了,我下个决心自己试着分析一
下,一来努力提升一下我这个菜鸟的逆向分析能力,二来为论坛的发展贡献一点棉薄之力。大致分析完毕,
出拙文,与看雪坛友分享之~ 水平有限,错误之处,恳请牛人们批评指正!废话少说,下面开始行动:
分析环境:windows xp sp2 ,word 2007 版本:12.0.4518.1014
本次调试采用Windbg,原因有二:
1. 用OD 或者ImunityDBG 调试office 漏洞很卡,还经常运行的时候WORD 点击没反应。有时还会出现
一些奇怪的违反访问错误。这样你在调试时,可能调试了半天,漏洞却还没触发,却碰到一大堆的
违反访问,程序没奔溃,你已经奔溃了 ···
2. WinDBG 执行效率高,还会记录执行的路径,并且有强大的脚本做后盾,一些指令很好用哦,呵呵。
用Windbg 附加Winword 进程,给GetFileSize (这个函数是这种恶意文档释放木马和正常文档必调的一
个函数)下断点。每次中断,你都用kb 指令看下调用路径,如果发现调用路径不正常,则本次调用就处于
shellocde 当中。经过几次的中断之后,发现了踪迹,如下图所示:
0:000 kb
ChildEBP RetAddr Args to Child
0012277300122498 275c8b91 kernel32!GetFileSize
WARNING: Frame IP not in any known module. Following frames may be wrong.
001224a01005c48b c7000001 4d032400 0x122773
00000000000000000x122519
gu 执行至返回再单步,你就处于shellocde 的包围圈了。
8d45f8 lea eax,[ebp-8]
50 push eax
ff75fc push dword ptr [ebp-4]
e8bcfdffff call
0012276c 050d000000 add eax,0Dh
ff10 call dword ptr [eax] ds:0023:001224c7={kernel32!GetFileSize (7c810c8f)}
8945f4 mov dword ptr [ebp-0Ch],eax
83f8ff cmp eax,0FFFFFFFFh
7507 jne
0012277b e9be010000 jmp 0012293e
eb0b jmp 0012278d
看下该段代码处于那段空间:
0:000 !address eip
:- 0001c000
Type MEM_PRIVATE
1
Protect PAGE_READWRIT
您可能关注的文档
- CompTIA 证书申请指引手册CompTIA 证书申请指引手册.pdf
- COM技术COM技术.ppt
- ControlLogix控制系统在煤气加压站的应用实践ControlLogix控制系统在煤气加压站的应用实践.doc
- COOLMOS-超结场效应管产品表COOLMOS-超结场效应管产品表.pdf
- Coursera台大机器学习基础课程学习笔记1Coursera台大机器学习基础课程学习笔记1.doc
- CPA 《公司战略与风险管理》 张英奎 习题班 第一章 战略与战略管理 48页CPA 《公司战略与风险管理》 张英奎 习题班 第一章 战略与战略管理 48页.pdf
- CorelDRAW入门篇-21交互式变形和封套效果CorelDRAW入门篇-21交互式变形和封套效果.ppt
- CPA《会计》学习笔记-第二十章所得税03CPA《会计》学习笔记-第二十章所得税03.pdf
- CPA 《财务成本管理》刘成举 习题班 第十八章CPA 《财务成本管理》刘成举 习题班 第十八章.pdf
- CPA 《财务成本管理》 刘成举 习题班 第十四段CPA 《财务成本管理》 刘成举 习题班 第十四段.pdf
- 2024年江西省寻乌县九上数学开学复习检测模拟试题【含答案】.doc
- 2024年江西省省宜春市袁州区数学九上开学学业水平测试模拟试题【含答案】.doc
- 《GB/T 44275.2-2024工业自动化系统与集成 开放技术字典及其在主数据中的应用 第2部分:术语》.pdf
- 中国国家标准 GB/T 44275.2-2024工业自动化系统与集成 开放技术字典及其在主数据中的应用 第2部分:术语.pdf
- GB/T 44285.1-2024卡及身份识别安全设备 通过移动设备进行身份管理的构件 第1部分:移动电子身份系统的通用系统架构.pdf
- 《GB/T 44285.1-2024卡及身份识别安全设备 通过移动设备进行身份管理的构件 第1部分:移动电子身份系统的通用系统架构》.pdf
- 中国国家标准 GB/T 44285.1-2024卡及身份识别安全设备 通过移动设备进行身份管理的构件 第1部分:移动电子身份系统的通用系统架构.pdf
- GB/T 44275.11-2024工业自动化系统与集成 开放技术字典及其在主数据中的应用 第11部分:术语制定指南.pdf
- 中国国家标准 GB/T 44275.11-2024工业自动化系统与集成 开放技术字典及其在主数据中的应用 第11部分:术语制定指南.pdf
- 《GB/T 44275.11-2024工业自动化系统与集成 开放技术字典及其在主数据中的应用 第11部分:术语制定指南》.pdf
文档评论(0)