MS09-002,刚刚触发了一下…… 在有漏洞的系统中(或者你主动先把补丁给卸载了)要把对shellcode的调用拦截住很简单。 找个实际的漏洞利用网页,把其中的shellcode的声明语句中的shellcode的内容前面加上"%uCCCC%uCCCC%uCCCC",也就是加上几字节int 3代码。保存网页。如果找不到实际的网页,直接上milw0rm把那个示例扒下来就行。 用IE7打开网页,允许ActiveX对象的执行。当IE7进到shellcode开头的时候会触发其中一个int 3断点(说“其中一个”是因为这个有“或然性”,因为不是直接call进shellcode开头,而是call进前面的"%uODOD"序列,因此哪个int 3被当成int 3要看几率)。这时由于SEH没有处理这个软断点,程序会报错,这时就轮到JIT调试器出场了。 在报错的框里点“调试”(或者实时调试器设置好了自动选项,那么没有提供框直接启动)启动你设置的实时调试器,使IE进程中断到调试器中。 为了方便加载符号和看栈回溯,这里我用了windbg作为JIT调试器。用OD也是一样的。 中断到windbg时的信息(省略N行加载模块的信息): (f28.460): Break instruction exception - code 80000003 (!!! second chance !!!) eax=0f6fbffd ebx=00000000 ecx=0b0bffff edx=00000002 esi=039953f0 edi=80020003 eip=0d18ea06 esp=01e6ef0c ebp=01e6ef18 iopl=0 nv up ei pl nz na po nc cs=001b ss=0023 ds=0023 es=0023 fs=003b gs=0000 efl=00000202 0d18ea06 cc int 3 看看中断时的代码位置: 0:005> u eip l10 0d18ea06 cc int 3 0d18ea07 cc int 3 0d18ea08 cc int 3 0d18ea09 cc int 3 0d18ea0a cc int 3 0d18ea0b cc int 3 0d18ea0c d9e1 fabs 0d18ea0e d93424 fnstenv [esp] 0d18ea11 58 pop eax 0d18ea12 58 pop eax 0d18ea13 58 pop eax 0d18ea14 58 pop eax 0d18ea15 33db xor ebx,ebx 0d18ea17 b31c mov bl,1Ch 0d18ea19 03c3 add eax,ebx 0d18ea1b 31c9 xor ecx,ecx 可以看到确实是断在shellcode头部了 进行栈回溯,看看是哪个函数call进shellcode里的: 0:005> kv ChildEBP RetAddr Args to Child
打开软件,挑选U盘/电话卡/照相机卡,点一下逐渐扫描仪,等候扫描仪进行,挑选修复的基本数据类型,启用要修复的文档,点一下逐渐修复,设定好修复途径,点一下逐渐修复就可以。 知名品牌型号规格:想到Ge...
No.1 概? ? 况 近日,全国各地多省大中小型公司不断遭受勒索病毒攻击,经美创室验室剖析清查,均为一款名叫“Sodinokibi”的勒索病毒作怪。该勒索病毒大家族的经营犯罪团伙最近出现异常活跃...
本文导读目录: 1、《黑客与画家》这本书怎么样? 值得一看吗? 2、跪求《黑客与画家》高清电子书百度云网盘下载 3、如何评价《黑客与画家》 4、保罗·格雷厄姆(Paul Graham)的《...
新闻通稿 中国移动通信(新浪微博 中国移动通信集团公司观众:367618人 接听已接听最新动态 2011年7月31日 21:48#信息内容快递公司#仅2010年1月2日迄今中国移动通信就...
自青岛市疫情爆发至今,肺炎疫情的根源一直是全社会发展关心的关键点,本次肺炎疫情的暴发地址是在青岛胸科医院,大伙儿当然把眼光集中化在这儿,10月16日青岛市疾病控制中心公布最新动态,青岛市本次肺炎疫情由...
真正能够切进消费者脑海,占领一块永久心智资源的,绝对不是一个产品差异化的利益点,而是一个动人的价值观;差异化的产品利益点只会让人暂时喜欢,却不会永远爱上。 ——叶明桂 提起跨界营销,不得不说起品牌...