CVE-2021-1647样本分析

最新推荐文章于 2024-07-17 14:22:02 发布
最新推荐文章于 2024-07-17 14:22:02 发布
阅读量929 收藏 1
点赞数
分类专栏: CVE漏洞分析 文章标签: 安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/AhRMo_WK/article/details/114068727
版权

**

CVE-2021-1647

**
概要
CVE-2021-167是微软系统中自带的杀毒软件,该漏洞在野利用被安全厂商发现并进行通报。本文是对样本所使用的技巧进行分析。笔者分析的样本MD5值为:db0e53c9db41d4de21f4bbf1f60d977f5d935239d3fce8b902e8ef0082796cc7

漏洞原理
Windows Defender采用模拟执行的策略,对可执行文件进行黑白判定,模拟执行总共分为两个层面,一是指令模拟,二是运行环境模拟。
每个厂商的杀毒程序都会有自己的平台中间指令,指令模拟部分负责将相应平台指令(包括 arm/x86/x64等)转为中间指令(IL),然后通过自己平台的jit/ 解释执行的方式运行相应的中间指令。运行环境模拟则包括内存系统模拟/文件系统模拟/api模拟/DLL模拟。
如果杀软在指令模拟执行的过程中,遇到一些市场上常用的压缩壳子怎么办?
当然,杀毒软件也会模拟执行解压过程,内置一些解壳方式。当前 defender 支持的压缩方式有:Upxw64/Upxw/WExtract/NSPacker/Shrinker/PECompact2/Area51/Crypter1337/Aspack/PKLite/SfxCab/Asprotect 等。
本次漏洞出现在 Asprotect 模拟解压过程中(CAsprotectDLLAndVersion::RetrieveVersionInfoAndCreateObjects 函数):

最低0.47元/天 解锁文章
AhRMo_WK
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
CVE-2021-3129 分析
KeJiGuaiKa的博客
09-01 230
构造phar文件,将phar文件经过编码后写入log文件,再通过 php://filter 特性还原phar文件,最后通过 phar://触发。当存在上传点时,直接上传 phar 文件进行反序列化即可,直接快进到第四步触发反序列化。由于 [[php phar#文件结构]] 特性,文件前后允许脏数据存在,所以思路为。的特性来构建 phar 文件,执行反序列化。,初步符合我们的要求,能够自由控制。的解码,来使得最终只出现一次。进行了过滤,防止伪协议等。引入的问题,直接查看。的错误修复界面,点击。...
CVE-2021-1647:Microsoft Defender远程代码执行漏洞通告
爱国小白帽
01-14 3244
报告编号:B6-2021-011301 报告来源:360CERT 报告作者:360CERT 更新日期:2021-01-13 0x01漏洞简述 2021年01月13日,360CERT监测发现Microsoft发布了Microsoft Defender 缓冲区溢出漏洞的风险通告,该漏洞编号为CVE-2021-1647,漏洞等级:高危,漏洞评分:7.8。 攻击者通过构造特殊的PE文件,可造成Microsoft Defender 远程代码执行。 该漏洞目前有在野利用 对此,360CERT建议广大用户及时将Micr.
Juniper Networks 修复开源操作系统 Junos OS 等中的多个严重漏洞
smellycat000的专栏
07-13 922
消息聚焦源代码安全,网罗国内外最新资讯!编译:奇安信代码卫士团队上周,Juniper通知客户称已修复产品中的多个漏洞,多数可被用于发动拒绝服务(DoS)攻击。该公司发布十几个安全...
【PoC公开】CVE-2021-27850: Tapestry 序列化漏洞通告
爱国小白帽
06-28 1418
** 赶紧点击上方话题进行订阅吧!** 报告编号:B6-2021-062803 报告来源:360CERT 报告作者:360CERT 更新日期:2021-06-28 1 漏洞简述 2021年06月28日,360CERT监测发现kahla-sec公开了CVE-2021-27850漏洞的利用程序,漏洞编号为CVE-2021-27850,漏洞等级:高危,漏洞评分:7.5。 对此,360CERT建议广大用户及时将``升级到最新版本。与此同时,请做好资产自查以及预防工作,以免遭受黑客攻击。 2 风险等级 360CERT
解压软件WRAR4.11 绿色破解版 无需注册
07-27
解压软件WRAR4.11 绿色破解版 无需注册
学生信息管理系统这个是一个小区物业管理系统,可以给大多数计算机系毕业的朋友作为参考
12-02
这个是一个信息管理系统,可以给大多数计算机系毕业的朋友作为参考
CVE-2017-12149JBOSSas6.X反序列化(反弹shell版)
08-08
在研究和分析`sevck-CVE-2017-12149-cdb08d5`这样的样本时,开发者和安全研究人员可以深入了解漏洞的工作原理,学习如何检测此类攻击,以及如何编写修复方案。通过深入理解这种攻击手法,我们可以更好地保护我们的...
沙虫(CVE-2014-4114)相关威胁综合分析报告1
08-04
相关样本分析: 报告详细分析了多个与沙虫相关的样本,包括它们的元数据、文件结构以及执行流程。关键载荷文件如"slide1.gif"被发现并非真正的图形文件,而是伪装的恶意代码。这种混淆技术使得安全软件更难检测到...
suricata-rules:Suricata针对新的严重漏洞制定规则
05-25
概念验证(PoC)或换句话说,是恶意有效载荷的样本 参考 文件.rules拥有Suricata规则本身。 笔记 许多服务都在HTTPS上运行,但是Suricata无法分析加密的数据。 如果要使用Suricata来检测HTTPS有效负载中的攻击者,则...
PoC:从其他来源收集各种碰撞样本
05-02
从其他来源收集各种崩溃样本,例如公共报告或模糊测试,包括(如果可能)由生成的崩溃分析报告。 CVE 类型 模块 功能 下载 OOBR gdi32.dll MRCREATECOLORSPACEW :: bCheckRecord | OOBR gdiplus.dll ...
kdevtmpfsi样本.zip
03-16
- **隔离分析**:在安全的环境中分析样本,以了解其行为和潜在危害。 - **报告和共享**:如果发现新的变种或攻击模式,应向安全社区报告,帮助其他人防御。 - **清除与修复**:一旦发现感染,立即停止受影响的...
CVE-2021-1647 Windows Defender缓冲区溢出导致的任意代码执行漏洞复现
m0_56642842的博客
05-31 701
0x01 漏洞概述 Windows Defender是Windows自带的防护软件,其在对可执行文件进行检测时采用模拟执行的策略进行黑白判定,模拟执行分为两个部分:指令模拟和运行环境模拟。其中指令模拟会将程序的响应平台指令(arm/mips/x86等)转换成Defender自己的中间指令,然后运行相应的中间指令来模拟执行该文件;而运行环境模拟则是对内存系统、文件系统、系统API、DLL等进行模拟。 Defender在进行指令模拟的时候遇到带壳的可执行文件会使用内置的一些方法尝试脱壳,目前支持脱壳的方式有Up
CVE-2020-16898: Windows TCP/IP远程执行代码漏洞通告
爱国小白帽
10-14 6678
原创 360CERT [三六零CERT](javascript:void(0)???? 今天 报告编号:B6-2020-101402 报告来源:360CERT 报告作者:360CERT 更新日期:2020-10-14 0x01 漏洞简述 2020年10月14日,360CERT监测发现 Microsoft 发布了 TCP/IP远程代码执行漏洞 的风险通告,该漏洞编号为CVE-2020-16875,漏洞等级:严重,漏洞评分:9.8。 远程攻击者通过构造特制的ICMPv6 Router Advertisemen
2021-01 补丁日: 微软多个高危漏洞通告
爱国小白帽
01-14 916
报告编号:B6-2021-011302 报告来源:360CERT 报告作者:360CERT 更新日期:2021-01-13 0x01事件简述 2021年01月13日,360CERT监测发现发布了的风险通告,事件等级:严重,事件评分:8.8。 此次安全更新发布了83个漏洞的补丁,主要涵盖了以下组件: Windows操作系统、Edge浏览器、Office办公套件、Windows 编解码器库、Visual Studio、SQL Server、反病毒引擎、.NET、Azure 。其中包括10个严重漏洞,73个高危.
CVE-2020-14364:QEMU USB模块越界读写漏洞通告
爱国小白帽
08-25 1502
360CERT [三六零CERT](javascript:void(0)???? 今天 报告编号:B6-2020-082502 报告来源:360CERT 报告作者:360CERT 更新日期:2020-08-25 0x01 漏洞简述 2020年08月25日,360CERT监测发现qemu 发布了 qemu 内存越界漏洞 的风险通告,该漏洞编号为 CVE-2020-14364 ,漏洞等级:严重,漏洞评分:10。 qemu 已发布安全补丁 攻击者通过 构造特殊的内存数据 ,可造成虚拟机逃逸并执行任意代码 的影响
CVE-2020-13671: Drupal 远程代码执行漏洞通告
爱国小白帽
11-19 1763
报告编号:B6-2020-111901 报告来源:360CERT 报告作者:360CERT 更新日期:2020-11-19 0x01 漏洞简述 2020年11月19日,360CERT监测发现 Drupal 发布了 Drupal 代码执行漏洞 的风险通告,该漏洞编号为 CVE-2020-13671 ,漏洞等级:高危 ,漏洞评分:8.1 。 未授权的远程攻击者通过 上传特定文件名的文件 ,可造成 任意代码执行 。 对此,360CERT建议广大用户及时将 Drupal 升级到最新版本。与此同时,请做.
CVE-2020-13699: TeamViewer 用户密码破解漏洞通告
爱国小白帽
08-11 2085
360CERT [三六零CERT](javascript:void(0)???? 昨天 报告编号:B6-2020-081002 报告来源:360CERT 报告作者:360CERT 更新日期:2020-08-10 0x01 漏洞简述 2020年08月10日,360CERT监测发现TeamViewer官方发布了TeamViewerURL处理的风险通告,该漏洞编号为CVE-2020-13699,漏洞等级:高危,漏洞评分:8.8分。 TeamViewer存在未引用的搜索路径或元素的安全缺陷,更具体地说,这是由于应
自建SMTP服务器:如何保障安全稳定的发信?
最新发布
danplus的博客
07-17 471
自建SMTP服务器虽然可以提供更高的灵活性和控制力,但也需要投入大量的时间和精力来保障其安全和稳定。AokSend,指导您自建SMTP服务器,结合API接口,高效稳定,让邮件营销更加自主可控!
CVE-2021-45105/CVE-2021-44228
07-29
CVE-2021-45105和CVE-2021-44228是两个与Apache HTTP Server(Apache Web服务器)相关的漏洞编号。这些漏洞可能会影响Apache HTTP Server的安全性。CVE-2021-45105是一个路径遍历漏洞,攻击者可以利用它来读取服务器上受限制的文件。CVE-2021-44228是一个HTTP请求解析漏洞,攻击者可以通过发送恶意的请求导致服务器崩溃或远程代码执行。 为了保护系统安全,建议及时升级Apache HTTP Server到最新版本,并遵循相关安全建议和最佳实践。如果你是系统管理员或开发人员,可以查看Apache官方发布的安全公告,获取更详细的信息和修复方法。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值