• 堆结构

    堆结构

    堆与栈的区别:

    1. 栈空间是在程序设计时已经规定好怎么使用,使用多少内存空间的。
    2. 堆是一种在程序运行时动态分配的内存。
    3. 堆是需要程序员自己通过malloc、new等函数自己申请的,根据程序的运行环境和申请的大小也有可能申请失败。
    4. 一般我们通过一个堆指针来使用所申请到的堆内存,进行读、写、释放等操作。
    5. 使用完成后需要把堆指针传给释放函数(free、delete)来回收这片内存,否则会造成内存泄漏。

    堆的数据结构与管理策略

      2021-05-20    
    阅读全文堆结构 

  • mm木马分析

    0x00 样本信息

    • 文件名称:mm.exe

    • MD5:37eec1a29d316ed1e5e766b599dc32a1

    • SHA-1:75f098d6b3f217aba4c068b12896c332216fc6b3

    • Authentihash:1b17d4d13c65fed36321aec54f2dc9b214308bbc82821659f83e445b93d1962e

    • Imphash:9e932de2e1e9ccfc4eacc3a16a8c9ab4

    • 文件类型:Win32 EXE

    • 文件大小:63.08 KB

    • 哈勃扫描结果:https://habo.qq.com/file/showdetail?pk=ADIGYV1qB2IIOls1

    0x01 主要行为:

    1. 劫持系统进程msiexec.exe创建远程线程(将url读入缓冲区修复为一个可以使用的PE文件)

    2. 修复改文件夹属性

    3. 将自身复制到系统目录下,自删除

    4. 设置注册表启动项

      2021-05-19    
    阅读全文mm木马分析 

  • CVE-2010-2883 Adobe Reader TTF字体SING表栈溢出漏洞

    0x1:漏洞描述

    ​ CVE-2010-2883是Adobe Reader和Acrobat中的CoolType.dll库在解析字体文件SING表中的uniqueName项时存在的栈溢出漏洞,用户受骗打开了特制的PDF文件就有可能导致执行任意代码。

    0x2:分析环境

    推荐使用的环境 备注
    操作系统 Windows XP SP3 简体中文版
    虚拟机 VMware
    调试器 OD
    反汇编器 IDA Pro 6.8
    漏洞软件 Adobe Reader 9.3.4
      2021-05-19    
    阅读全文CVE-2010-2883 Adobe Reader TTF字体SING表栈溢出漏洞 

  • CVE-2012-0158

    一、漏洞信息

    1. 漏洞简述

    • 漏洞编号:CVE-2012-0158
    • 漏洞类型:栈溢出
    • 漏洞影响:信息泄露
    • 该漏洞一直是office漏洞史上的经典案例。该漏洞首次发现于2015年6月,目标主要为东南亚国家和地区,此次攻击事件被命名为“Lotus Blossom”行动。该行动从2012~2015持续了三年之久。
    • 黑客组织在此次间谍行动中,主要通过构造恶意Office文档诱使目标上钩,从而在对方的计算机上植入木马,窃取机密信息。

    2. 组件概述

    2012-0158是一个经典的栈溢出漏洞,成因在于office在解析activeX控件时调用系统的MSCOMCTL.OCX库中存在栈溢出漏洞,导致可被用于执行任意代码。

    3. 漏洞影响

    操作系统:XP SP3 ~ WIN7

    office版本:2003 ~ 2010

      2021-05-19    
    阅读全文CVE-2012-0158 
18910