首页
论坛
专栏
课程

2018-5-8 13:04 5393

2018-5-8 13:04
5393



2020安全开发者峰会(2020 SDC)议题征集 中国.北京 7月!

最后于 2018-8-3 12:42 被ktkitty编辑 ,原因:
最新回复 (21)
辣白菜牛肉面 2018-5-8 14:09
2
0
牛逼牛逼
niuzuoquan 2018-5-8 14:31
3
0
感谢分享
沭阳 3 2018-5-8 15:30
4
0
学习学习
Vuler 2018-5-8 15:54
5
0
多谢分享。。期待更多...fuzzzzzzzzzzzzzzzzzzzzzzzzz 
无名侠 10 2018-5-9 22:23
6
0
学习学习。
聖blue 2018-5-10 00:50
7
0
fengyunabc 1 2018-5-10 01:20
8
0
感谢分享。
古月亮 2018-5-10 09:00
9
0
神奇的污点分析。
GeneBlue 2 2018-5-10 10:24
10
0
cvcvxk 10 2018-5-10 15:56
11
0
古月亮 神奇的污点分析。
BinCAT出来的时候,就喜欢上作IDA的污点分析
地狱怪客 2 2018-5-10 19:21
12
0
学习思路
Flyour 2018-5-12 23:37
13
0
良心好帖,通俗易懂
holing 15 2018-5-13 19:11
14
0
厉害了
niexinming 2018-5-13 19:16
15
0
厉害
柒小苦瓜 2018-5-16 21:01
16
0
厉害了,前来学习。
Angelxf 7 2018-5-21 16:23
17
0
求教两次说到:控制复制次数的ecx来自2B6A偏移处,这个偏移是怎么看出来的?
QQ小助手 2018-5-21 16:27
18
0
良心好帖啊,通俗易懂
ktkitty 2018-5-21 19:17
19
0
Angelxf 求教两次说到:控制复制次数的ecx来自2B6A偏移处,这个偏移是怎么看出来的?
如果是一般动态调试的话,用内存断点之类的方法,可以一路跟踪0x2B6A处的内容在内存中的转移,然后一直到那条指令那里。
污点分析的话,ReadFile之后,把相对于原文件偏移为0x2B6A处的那个字节,标记为污点数据,然后一路传播,其实也就相当于离线内存断点了,收集得到受影响的指令,添加到一个列表里。然后那个指令列表里面,出现了那条rep  mov指令。
大概就是这么个流程。
smartdon 1 2018-5-22 10:17
20
0
厉害厉害,楼主收徒吗,带我一个
Angelxf 7 2018-5-22 10:47
21
0
ktkitty 如果是一般动态调试的话,用内存断点之类的方法,可以一路跟踪0x2B6A处的内容在内存中的转移,然后一直到那条指令那里。 污点分析的话,ReadFile之后,把相对于原文件偏移为0x2B6A处的那个字 ...
感谢大神回复,感觉是事先已经确定好0x2b6a偏移再去手工分析或者污点分析的?而不是污点分析跑出来之后确认的0x2b6a?
ktkitty 2018-5-22 18:53
22
0
Angelxf 感谢大神回复,感觉是事先已经确定好0x2b6a偏移再去手工分析或者污点分析的?而不是污点分析跑出来之后确认的0x2b6a?
不需要事先确定好啊。
我那个样本也是随便用word生成的,是哪个字节我也不知道。。。
按顺序,把每一个字节都检查一遍就好了。。。(实际上是用程序自动检查的,不过我这里为了演示,人工检查而已
当然了,就是比较吃cpu资源
游客
登录 | 注册 方可回帖
返回