大家都知道在进行漏洞分析时,对于内存破坏或者其他很难定位类型的漏洞分析中,
一个很难解决的就是数据的逆向溯源,等找到源头之后,大都就知道漏洞触发的原因了
可以用虚拟机快照来解决这个问题,发现无论是r3下面的漏洞分析还是内核的漏洞,
都非常给力啊
在分析的开始,就保存一个虚拟机快照,每次重新分析时,就直接恢复快照,因为知道了
堆的地址,可以直接下堆的访问断点等,就算当前堆还没分配也没关系的。这样堆的地址
就是固定的了 在固定的数据流中要溯源是很容易的了 。。。。
大家都知道在进行漏洞分析时,对于内存破坏或者其他很难定位类型的漏洞分析中,
一个很难解决的就是数据的逆向溯源,等找到源头之后,大都就知道漏洞触发的原因了
可以用虚拟机快照来解决这个问题,发现无论是r3下面的漏洞分析还是内核的漏洞,
都非常给力啊
在分析的开始,就保存一个虚拟机快照,每次重新分析时,就直接恢复快照,因为知道了
堆的地址,可以直接下堆的访问断点等,就算当前堆还没分配也没关系的。这样堆的地址
就是固定的了 在固定的数据流中要溯源是很容易的了 。。。。