漏洞分析----非常给力的方法----虚拟机快照

大家都知道在进行漏洞分析时，对于内存破坏或者其他很难定位类型的漏洞分析中，

一个很难解决的就是数据的逆向溯源，等找到源头之后，大都就知道漏洞触发的原因了

 

可以用虚拟机快照来解决这个问题，发现无论是r3下面的漏洞分析还是内核的漏洞，

都非常给力啊

 

在分析的开始，就保存一个虚拟机快照，每次重新分析时，就直接恢复快照，因为知道了

 

堆的地址，可以直接下堆的访问断点等，就算当前堆还没分配也没关系的。这样堆的地址

 

就是固定的了  在固定的数据流中要溯源是很容易的了 。。。。