能力值:
( LV12,RANK:310 )
|
-
-
2 楼
你有没有能够触发样本的环境?如果有这个环境的话,会比较方便
安装EMET工具,098K9s2c8@1M7q4)9K6b7g2)9J5c8W2)9J5c8Y4N6%4N6#2)9J5k6h3#2A6j5%4u0G2M7$3!0X3N6q4)9J5k6h3y4G2L8g2)9J5c8X3c8G2N6$3&6D9L8$3q4V1i4K6u0r3k6h3&6Q4x3V1k6V1k6i4c8S2K9h3I4K6i4K6u0W2j5i4y4H3P5q4)9K6c8X3W2V1i4K6y4p5x3e0j5%4y4H3`.`.
用这个工具开启word的DEP保护
EMET的部分原理可以参见这篇帖子: http://bbs.pediy.com/showthread.php?t=125470
运行样本,只要样本没有做ROP(做了ROP也是有可能在遍历导出表时crash的),应该有很大几率会crash在shellcode入口处
如果没有触发环境就比较麻烦了,可能要先定位具体漏洞,可以用virustotal扫一下,看看有没有漏洞名
|
能力值:
( LV2,RANK:10 )
|
-
-
3 楼
我是想问怎么用OD 设置断点找到shellcode的位置!!
|
能力值:
( LV3,RANK:20 )
|
-
-
4 楼
2l已经说的很详细了。。。
|
能力值:
( LV2,RANK:10 )
|
-
-
5 楼
其实这个和脱壳过程类似的。
|
能力值:
( LV2,RANK:10 )
|
-
-
6 楼
你装个鸟!我会还用问吗。
|
能力值:
( LV2,RANK:10 )
|
-
-
7 楼
同求,同问,有漏洞分析的高手请教教菜鸟。
|
|
|
|
