01 2016 档案
摘要:描述: Microsoft Windows Kernel 'Win32k.sys' CVE 2014 4113 Local Privilege Escalation Vulnerability 漏洞简介说这个CVE是由于win32k.sys驱动模块漏洞,造成本地提权。 成因+分析 拿到一个crash
阅读全文
摘要:按照时间新到旧的顺序 "【原创】自建调试体系框架Od插件,自己改改可以过TP,HS,PP,NP,HP免费视频教程,附带源码" 有码还不算,还要有视频哦 "基于VT技术的OllyDbg插件Ddvp" "丢一套Bin源码,过HP,稍微改改还可以过PP和TP" 接下来的日子里,要指定一个计划,好好的看一看
阅读全文
摘要:调试遇到的一个问题:某一个函数的参数是通过寄存器传递的,要想搞明白寄存器的值从哪里来,在IDA里就要去找上面的赋值操作,但是遇到一个复杂的流程就不想看了,懒人写了脚本监控一小段代码段的寄存器变化,然后输出寄存器的EIP,效果如下图
阅读全文
摘要:维基百科很良心,学习一个新的名词可以找到很权威的解释 "Memory corruption内存修改" "use after free"
阅读全文
摘要:问题描述 用VC2013编译了一个程序,在Windows 8、Windows 7(64位、32位)下都能正常运行。但在Win XP,Win2003下运行时,却报错不能运行,具体错误信息为“指定的可执行文件不是有效的 Win32 应用程序”。 1).在“Solution Explorer”中选...
阅读全文
摘要:由于没有找到网上对于这个漏洞的分析(估计是太简单了吧),我独立分析一下这个漏洞,是一次寻求通解思考的过程 0x1 "看微软的公告" 得知漏洞的一般信息,漏洞造成的危害是什么?漏洞影响的系统的版本是什么?(利于执行POC复现漏洞)漏洞利用的条件是什么?(本地 or 远程)漏洞的补丁文件?(可以...
阅读全文
摘要:快捷键 Ctrl+6 Java环境 1.7以上 需FQ "bindiff使用说明" Diff Database Diff Database Filtered 在上面的基础上可以选择地址范围 Load Results 加载比较的结果 Save Results 保存diff的...
阅读全文
摘要:使用windbg进行调试时,我的习惯是先看看符号路径 如果路径配置正确,那么才会有相应的pdb符号文件,给我们更多的信息,例如函数名(xxxdispatch),变量名(xxxtable)等等。通过这些符号信息能给我们指引分析。 如果不正确 设置符号的路径更为常用的方法: ctrl...
阅读全文
摘要:IDA不提示下载PDB 用IDA对dll进行静态分析是调试漏洞必不可少的步骤,今天在windwos上安装了IDA 6.8,分析wind32k.sys时,发现IDA不会自动去微软的服务器下载pdb文件了,导致整个dll只能识别出DriverEntry函数。最后找到解决办法是:修改ida安装目录下的...
阅读全文
摘要:漏洞成因
这是一个windows内核漏洞,漏洞的触发需要开启Routing and Remote Access服务,影响windowsxp,windows2003. 注意 :这个POC是运行的结果是蓝屏,请在虚拟机下运行! 在XP下编译好POC代码,然后运行编译出来的EXE,双机调试,...
阅读全文
浙公网安备 33010602011771号