CVE-2021-1647样本分析

最新推荐文章于 2023-06-27 10:08:48 发布
最新推荐文章于 2023-06-27 10:08:48 发布
阅读量929 收藏 1
点赞数
分类专栏: CVE漏洞分析 文章标签: 安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/AhRMo_WK/article/details/114068727
版权

**

CVE-2021-1647

**
概要
CVE-2021-167是微软系统中自带的杀毒软件,该漏洞在野利用被安全厂商发现并进行通报。本文是对样本所使用的技巧进行分析。笔者分析的样本MD5值为:db0e53c9db41d4de21f4bbf1f60d977f5d935239d3fce8b902e8ef0082796cc7

漏洞原理
Windows Defender采用模拟执行的策略,对可执行文件进行黑白判定,模拟执行总共分为两个层面,一是指令模拟,二是运行环境模拟。
每个厂商的杀毒程序都会有自己的平台中间指令,指令模拟部分负责将相应平台指令(包括 arm/x86/x64等)转为中间指令(IL),然后通过自己平台的jit/ 解释执行的方式运行相应的中间指令。运行环境模拟则包括内存系统模拟/文件系统模拟/api模拟/DLL模拟。
如果杀软在指令模拟执行的过程中,遇到一些市场上常用的压缩壳子怎么办?
当然,杀毒软件也会模拟执行解压过程,内置一些解壳方式。当前 defender 支持的压缩方式有:Upxw64/Upxw/WExtract/NSPacker/Shrinker/PECompact2/Area51/Crypter1337/Aspack/PKLite/SfxCab/Asprotect 等。
本次漏洞出现在 Asprotect 模拟解压过程中(CAsprotectDLLAndVersion::RetrieveVersionInfoAndCreateObjects 函数):

最低0.47元/天 解锁文章
AhRMo_WK
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
CVE-2021-1647 Windows Defender缓冲区溢出导致的任意代码执行漏洞复现
m0_56642842的博客
05-31 701
0x01 漏洞概述 Windows Defender是Windows自带的防护软件,其在对可执行文件进行检测时采用模拟执行的策略进行黑白判定,模拟执行分为两个部分:指令模拟和运行环境模拟。其中指令模拟会将程序的响应平台指令(arm/mips/x86等)转换成Defender自己的中间指令,然后运行相应的中间指令来模拟执行该文件;而运行环境模拟则是对内存系统、文件系统、系统API、DLL等进行模拟。 Defender在进行指令模拟的时候遇到带壳的可执行文件会使用内置的一些方法尝试脱壳,目前支持脱壳的方式有Up
CVE-2021-1647:Microsoft Defender远程代码执行漏洞通告
爱国小白帽
01-14 3244
报告编号:B6-2021-011301 报告来源:360CERT 报告作者:360CERT 更新日期:2021-01-13 0x01漏洞简述 2021年01月13日,360CERT监测发现Microsoft发布了Microsoft Defender 缓冲区溢出漏洞的风险通告,该漏洞编号为CVE-2021-1647,漏洞等级:高危,漏洞评分:7.8。 攻击者通过构造特殊的PE文件,可造成Microsoft Defender 远程代码执行。 该漏洞目前有在野利用 对此,360CERT建议广大用户及时将Micr.
CVE-2021-1732 分析
qq_41252520的博客
08-03 1194
文章目录CVE-2021-17320x0 漏洞描述0x1 受影响版本0x2 漏洞分析■ 环境■ 分析■ NtUserConsoleControl逆向分析■ xxxSetWindowLong逆向分析■ xxxSetWindowLongPtr逆向分析■ CreateWindowEx生成HWND分析■ CreateMenu逆向分析■ xxxGetMenuBarInfo逆向分析■ Win10 1909泄露内核■ 归纳几个重要的结构体及其偏移0x3 漏洞利用1.获取需要用到的函数地址2.HOOK目标函数3.精心构造3
WebLogic CVE-2021-2211 XXE漏洞分析
爱国小白帽
04-21 1178
漏洞简述 2021年1月12日,墨云安全V-Lab实验室向Oracle官方报告了Weblogic Server XXE漏洞,2021年4月21日Oracle发布了致谢信息。 时间线 2021年1月12日向Oracle官方报告了此漏洞 2021年1月13日Oracle分配了issue编号 2021年1月25日Oracle确认在下一个补丁日修复此漏洞 2021年4月17日Oracle分配CVE编号CVE-2021-2211 2021年4月21日Oracle发布致谢信息 影响版本 10.3.6.0.0 1.
Drools(CVE-2021-41411 && CVE-2022-1415)分析
GalaxySpaceX的博客
06-27 403
CVE-2021-41411 && CVE-2022-1415分析
CVE-2017-12149JBOSSas6.X反序列化(反弹shell版)
08-08
在研究和分析`sevck-CVE-2017-12149-cdb08d5`这样的样本时,开发者和安全研究人员可以深入了解漏洞的工作原理,学习如何检测此类攻击,以及如何编写修复方案。通过深入理解这种攻击手法,我们可以更好地保护我们的...
沙虫(CVE-2014-4114)相关威胁综合分析报告1
08-04
相关样本分析: 报告详细分析了多个与沙虫相关的样本,包括它们的元数据、文件结构以及执行流程。关键载荷文件如"slide1.gif"被发现并非真正的图形文件,而是伪装的恶意代码。这种混淆技术使得安全软件更难检测到...
suricata-rules:Suricata针对新的严重漏洞制定规则
05-25
概念验证(PoC)或换句话说,是恶意有效载荷的样本 参考 文件.rules拥有Suricata规则本身。 笔记 许多服务都在HTTPS上运行,但是Suricata无法分析加密的数据。 如果要使用Suricata来检测HTTPS有效负载中的攻击者,则...
PoC:从其他来源收集各种碰撞样本
05-02
从其他来源收集各种崩溃样本,例如公共报告或模糊测试,包括(如果可能)由生成的崩溃分析报告。 CVE 类型 模块 功能 下载 OOBR gdi32.dll MRCREATECOLORSPACEW :: bCheckRecord | OOBR gdiplus.dll ...
kdevtmpfsi样本.zip
03-16
- **隔离分析**:在安全的环境中分析样本,以了解其行为和潜在危害。 - **报告和共享**:如果发现新的变种或攻击模式,应向安全社区报告,帮助其他人防御。 - **清除与修复**:一旦发现感染,立即停止受影响的...
学生信息管理系统这个是一个小区物业管理系统,可以给大多数计算机系毕业的朋友作为参考
12-02
这个是一个信息管理系统,可以给大多数计算机系毕业的朋友作为参考
解压软件WRAR4.11 绿色破解版 无需注册
07-27
解压软件WRAR4.11 绿色破解版 无需注册
Apache mod_proxy SSRF(CVE-2021-40438)的一点分析和延伸
离别歌
10-18 6109
周五晚上开始学习Apache HTTP Server(后文简称为Apache)mod_proxy的SSRF漏洞(CVE-2021-40438),并在星球简单介绍了一下编译、调试Apache...
手把手教你详细分析 Chrome 1day 漏洞 (CVE-2021-21224)
smellycat000的专栏
04-23 2807
聚焦源代码安全,网罗国内外最新资讯!本文共分五部分:一、时间线二、背景三、漏洞及补丁分析1、漏洞复现四、漏洞利用分析1、漏洞利用2、内存读写3、代码执行五、参考资料一、时间线2021年4...
[漏洞样本分析]CVE-2018-0802
r250414958的博客
11-01 746
环境: Win7(专业版) office 2007 (完全版:更新到sp3补丁\修复eqnedt补丁) 工具: Ollydbg IDA Pro PEid Kali-Linux metasploit POC来源: https://github.com/rxwx/CVE-2018-0802 漏洞背景: 在2017年11月14日,微软发布11月份安全补丁更新,其中更新了潜伏17年之久的...
CVE-2012-0158样本分析
yuanfengfengyuan的博客
03-19 395
样本分析记录 样本概述 类型 信息 样本名 个人简历.doc md5 18C6A011C63390195EE12CCD43C3C829 分析工具 x32db wireshark 样本行为总结 样本doc漏洞:CVE-2012-0158 样本行为: 通过DOC溢出执行shellcode,访问phone.ftp.sh/c.png下载c.png文件保存到本地并执行,而c.pn...
『Java安全』反序列化-CC7反序列化漏洞POP链分析_ysoserial CommonsCollections7 PoC分析
Ho1aAs‘s Blog
03-13 2892
文章目录前言代码复现工具类PoC代码审计 | 原理分析1. LazyMap.get()调用this.factory.transform()2. AbstractMap.equals()调用m.get()3. AbstractMapDecorator.equals()调用this.map.equals4. HashTable反序列化触发e.key.equals(key)为什么最后要lazyMap2.remove("yy")?为什么多了一个键yy?为什么yy和zZ的hash相同?POP链完 前言 CC7是另一种
CVE-2020-2021:SAML身份验证机制绕过漏洞通告
爱国小白帽
06-30 3515
CVE-2020-2021:SAML身份验证机制绕过漏洞通告 360-CERT [三六零CERT](javascript:void(0)???? 今天 0x00 漏洞背景 2020年06月30日, 360CERT监测发现Palo Alto官方发布了SAML身份验证机制绕过的风险通告,该漏洞编号为CVE-2020-2021,漏洞等级:高危。 安全声明标记语言(SAML)是用于根据用户在另一上下文中的会话将其登录到当前应用程序中的标准。 SAML身份验证机制存在身份验证绕过的威胁。当SAML开启,同时Vali
【POC公开】CVE-2021-1732: Microsoft Windows本地提权漏洞通告
爱国小白帽
03-10 2278
报告编号:B6-2021-031002 报告来源:360CERT 报告作者:360CERT 更新日期:2021-03-10 0x01漏洞简述 2021年03月10日,360CERT监测发现CVE-2021-1732漏洞细节与POC已经公开,漏洞等级:高危,漏洞评分:7.8。 成功利用该漏洞的Windows本地攻击者可以提升到system权限。 该漏洞poc已经公开 对此,360CERT建议广大用户及时更新Winodws补丁。与此同时,请做好资产自查以及预防工作,以免遭受黑客攻击。 0x02风险等级 360.
CVE-2021-45105/CVE-2021-44228
最新发布
07-29
CVE-2021-45105是一个路径遍历漏洞,攻击者可以利用它来读取服务器上受限制的文件。CVE-2021-44228是一个HTTP请求解析漏洞,攻击者可以通过发送恶意的请求导致服务器崩溃或远程代码执行。 为了保护系统安全,建议...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值