2024-11-04 22:37 点击次数:86
这似乎又是一个0 day误差(?)av快播影院
这个误差与pif文献规划,是我在参议pif文献的手艺发现的,对于pif文献的一些贵府我整理到我方的博客里了:https://qfwfq.top/2023/07/08/some-fact-about-pif/后头会用到内部的一些本质。
实验环境
Microsoft Windows 2000 5.00.2195 Service Pack 4
用到的软件用具
010Editor
ollydbg
IDA pro
率先,win 2000系统里存在一个文献_default.pif,它的结构如下:
我在这个文献的基础上添加了一个名为WINDOWS VMM 4.0的块,如下图:
把这个文献放在U盘根目次下,插入win 2000系统后,浏览U盘时,资源搞定器崩溃闪退。
咱们不错笃定的是,崩溃的出现是由于咱们构造的pif文献里新的本质,况兼应该出面前对文献本质的处理的流程中。
而把柄pif文献的花样:
不错看到每个数据块齐有一个名字,揣测在对这些数据块处理的代码里可能包含这些名字的字符串常量,也许不错由此定位到数据块处理干系代码。
于是在explorer.exe和其调用的动态麇集库中搜索这些字符串,最终发现只好系统shell32.dll中存在这些字符串:
然后在ollydbg里追踪崩溃
由于windows系统只允许存在一个explorer.exe程度实例,咱们用ollydbg掀开新的explorer.exe程度进看成态调试时,系统会自动关闭该程度,从而终结了调试的延续进行。是以需要通过File ->Attach菜单项将系统面前的explorer.exe程度附加ollydbg中的样子进行调试。
在调用这些字符串常量的函数里下大齐断点,通过函数实施后崩溃是否发生判断溢出点的八成位置:
临了追踪到这个函数:
也即是函数sub_7909062B
总共追踪流程如下:
[持重]传递专科学问、拓宽行业东说念主脉——看雪讲师团队等你加入!av快播影院