vc 定位dll 内存占用_内存Fuzz与WINAFL实战

最新推荐文章于 2023-11-18 17:00:52 发布
最新推荐文章于 2023-11-18 17:00:52 发布
阅读量458 收藏 2
点赞数
文章标签: vc 定位dll 内存占用
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_39644377/article/details/111333460
版权
以上文章由作者【hackedbylh】的连载有赏投稿,共有五篇,本文为第四篇;也欢迎广大朋友继续投稿,详情可点击 OSRC重金征集文稿!!! 了解~~ 温馨提示:建议投稿的朋友尽量用markdown格式,特别是包含大量代码的文章

概述

本节以FoxitReader和IrfanView为例介绍内存 Fuzz的实现以及 WINAFL 的常规使用技巧。

FoxitReader

软件分析 目前Fuzz大型软件的常用方式是对大型软件分析,找到软件中的负责数据处理的模块,然后编写一个Loader把模块加载起来后进行测试。本节以FoxitReader为例介绍如何分析软件并进行内存Fuzz以及用WinAFL来Fuzz程序。 FoxitReader是一款PDF工具,可以查看、创建和修改PDF文件,它还可以通过图片来创建PDF文件,使用图片创建PDF时,FoxitReader会对图片进行解析然后再去创建PDF文件,由于图片文件的格式复杂多样,软件在解析图片时就有可能会产生漏洞,下面就去看看如何Fuzz FoxitReader中负责图片解析的模块。 首先我们需要定位当通过图片创建PDF时,处理图片的逻辑在哪个模块,后面才能针对性地去Fuzz。Process Monitor可以监控程序执行过程的注册表、文件和网络操作,对于一些关键的API还会记录调用栈。为了定位图片处理所在的模块,首先打开Process Monitor监控事件,然后用图片来创建一个PDF文件,PDF创建好后让Process Monitor停止监控事件,下面就可以去分析日志了。使用过滤功能Process Monitor只显示对图片文件的操作 97dee110a8ede1129beef187758b9e5a.png 查看监控API的调用栈可以发现读取文件的模块是 ConvertToPDF_x86.dll,看文件名也感觉是进行PDF转换任务的。 d4d848907d458f78c6fcc88da196ffd0.png 下面分析一下程序是如何使用这个库的,首先用IDA分析这个DLL,先看看DLL的导出函数,因为其他模块使用DLL的功能,肯定会使用DLL的导出函数 。 bba24375037d1b9086b6544f6c00b7ee.png 可以看到ConvertToPDF_x86.dll只有两个导出函数,下面用windbg给导出函数下个断点,看看这两个函数的调用顺序。首先打开程序,然后用 windbg 附加进程,用sxe命令设置模块加载断点,当ConvertToPDF_x86模块加载起来时调试器会断下来 
sxe ld:ConvertToPDF_x86
断下来后我们给模块的所有导出函数下断点 
bm /a ConvertToPDF_x86!*
继续运行后,程序首先会断在CreateFXPDFConvertor函数 
0:000> bm /a ConvertToPDF_x86!*1: 00000000`6d798e30 @!"ConvertToPDF_x86!DestorFXPDFConvertor"2: 00000000`6d79aaf0 @!"ConvertToPDF_x86!CreateFXPDFConvertor"0:000> gBreakpoint 2 hitConvertToPDF_x86!CreateFXPDFConvertor:6d79aaf0 a10cd1c36d      mov     eax,dword ptr [ConvertToPDF_x86!CreateFXPDFConvertor+0x4a261c (6dc3d10c)] ds:002b:6dc3d10c=00000000
拿IDA分析一下这个函数 
_DWORD *CreateFXPDFConvertor(){
     _DWORD *result; // eaxvoid *obj; // eaxresult = dword_104AD10C;if ( dword_104AD10C )return result;                              // 调用malloc分配内存obj = alloc(0x1BDCu);if ( obj ){
     result = init_obj(obj);                     // 初始化对象dword_104AD10C = result;}else{
     result = 0;dword_104AD10C = 0;}return result;}
这个函数比较简单首先会用 malloc 分配0x1BDC的内存,然后会调用init_obj初始化分配的内存块,init_obj函数会先设置虚表,然后设置对象里的其他一些字段。 
_DWORD *__thiscall init_obj(int this){
     int v1; // esi  v1 = this;  *this = &CFX_PDFConvertor::`vftable'; // 给对象设置虚表  sub_1000A720((this + 4));  *(v1 + 7104) = 0;  *(v1 + 7108) = 0;  *(v1 + 7112) = 0;  *(v1 + 7120) = 0;  *(v1 + 7116) = 1;  dword_104AD104 = 0;  *(v1 + 7124) = 0;  *(v1 + 7128) = 0;return v1;}
虚表的结构如下 
.rdata:10336F1C ; const CFX_PDFConvertor::`vftable'.rdata:10336F1C ??_7CFX_PDFConvertor@@6B@ dd offset sub_1000B060.rdata:10336F1C                                         ; DATA XREF: init_obj+6↑o.rdata:10336F1C                                         ; sub_1000A8F0+BA↑o.rdata:10336F20                 dd offset sub_10009B40.rdata:10336F24                 dd offset sub_1000A2D0.rdata:10336F28                 dd offset sub_1000A8F0
虚表里面有4个函数,按照正常的程序逻辑,程序在创建模块对象后,肯定会调用对象的函数来使用模块提供的功能,接下来给这4个函数下断点,看看这些函数的调用关系以及参数信息。windbg的打印信息如下 
0:000:x86> lm m Conver*start             end                 module name6d790000 6dcb5000   ConvertToPDF_x86   (export symbols)       C:\Program Files (x86)\Foxit Software\Foxit Reader\Plugins\Creator\x86\ConvertToPDF_x86.dll0:000:x86> dd 0x6dac6f1c l4      // 查看虚表的函数的实际地址6dac6f1c  6d79b060 6d799b40 6d79a2d0 6d79a8f00:000:x86> bp 6d79b060 0:000:x86> bp 6d799b40 0:000:x86> bp 6d79a2d0 0:000:x86> bp 6d79a8f00:000:x86> bl0 e x86 6d79b060     0001 (0001)  0:**** ConvertToPDF_x86!CreateFXPDFConvertor+0x5701 e x86 6d798e30     0001 (0001)  0:**** ConvertToPDF_x86!DestorFXPDFConvertor2 e x86 6d79aaf0     0001 (0001)  0:**** ConvertToPDF_x86!CreateFXPDFConvertor3 e x86 6d799b40     0001 (0001)  0:**** ConvertToPDF_x86!DestorFXPDFConvertor+0xd104 e x86 6d79a2d0     0001 (0001)  0:**** ConvertToPDF_x86!DestorFXPDFConvertor+0x14a05 e x86 6d79a8f0     0001 (0001)  0:**** ConvertToPDF_x86!DestorFXPDFConvertor+0x1ac00:000:x86> gBreakpoint 3 hitConvertToPDF_x86!DestorFXPDFConvertor+0xd10:6d799b40 55              push    ebp        0:000:x86> r    // 首先调用6d799b40函数eax=6d799b40 ebx=0ad6a1a8 ecx=0ad6a1a8 edx=6dac6f1c esi=0088fb68 edi=00000002eip=6d799b40 esp=002cce0c ebp=002cece8 iopl=0         nv up ei pl zr na pe nccs=0023  ss=002b  ds=002b  es=002b  fs=0053  gs=002b             efl=00000246ConvertToPDF_x86!DestorFXPDFConvertor+0xd10:6d799b40 55              push    ebp0:000:x86> dps esp l4  # 参数为 2002cce0c  02398a54 FoxitReader!CryptUIWizExport+0x885514002cce10  00000002002cce14  711d4f33002cce18  02c2f814 FoxitReader!CryptUIWizExport+0x111c2d40:000:x86> gBreakpoint 4 hitConvertToPDF_x86!DestorFXPDFConvertor+0x14a0:6d79a2d0 55              push    ebp0:000:x86> r  // 然后调用6d79a2d0eax=002cec10 ebx=0ad6a10b ecx=0ad6a1a8 edx=6d79a2d0 esi=0ad6a1a8 edi=0000
最低0.47元/天 解锁文章
weixin_39644377
关注
  • 0
    点赞
  • 2
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
winaflAFL的一个分支,用于模糊Windows二进制文件
02-05
WinAFL Original AFL code written by Michal Zalewski <lcamtuf> Windows fork written and maintained by Ivan Fratric <ifratric> Copyright 2016 Google Inc. All Rights Reserved. Licensed under the Apache License, Version 2.0 (the "License"); you may not use this file
Fuzz学习笔记(一)—— WinAFL环境搭建与基本使用
qq_41988448的博客
03-24 5493
WinAFL学习笔记(一)—— WinAFL环境搭建环境配置安装步骤1)安装git2)安装CMake3)编译dynamorio编译32位编译64位4)编译winafl编译32位编译64位测试测试dynamorio测试winafl 环境配置 工具 版本 链接 windows 10 Visual Studio 2019 https://visualstudio.microsoft.com/zh-hans/vs/ git 2.31.0 https://gitscm.com/downloa
winafl初体验
Chary的Blog
02-10 3393
一、winafl概述 winafl就是aflWindows版本。AFL想必各位fuzzer是不陌生的,但afl并不支持 Windows 平台,所以就有大神把afl移植到了windows平台,就是winafl了。afl 借助编译时插桩和遗传算法实现其功能,由于平台支持的关系,在winafll中该编译时插桩被替换成了 DynamoRIO 动态插桩,此外还基于 Windows API 对相关函数进行了...
WInAFL 安装 (2023.7有效)
weixin_44681749的博客
07-27 631
中间踩了一个坑,-target_module test_gdiplus.exe 写成了 -target_module .\test_gdiplus.exe,结果一直超时报错。除此之外,要在winafl目录里打开shell并输入此命令,如果换到DynamoRIO中drrun.exe所在目录下运行命令,那么也会插桩失败。其中,WinAFL选项必须有 -i 指定输入,-o 指定输出 -D 指定 DynamoRIO路径,-t 指定超时时间。正常的插桩结果应该是,输入命令后,在当前命令执行目录下生成。
vc 定位dll 内存占用_都是软件中的内存泄漏惹的祸
weixin_39985820的博客
12-12 337
最近,我们的软件在运行过程中,遇到了一个很诡异的问题。软件在一个测试同事的win7 32位系统上运行1个多小时后会闪退崩溃。奇怪的是,在测试该产品的主要测试人员的win10电脑上,则从未出现过这个情况。下面详细介绍一下这个问题的排查过程,以及给我们的一些启示!1、初步分析我们在软件中安装了异常信息捕获机制,但是软件发生闪退时,并没有捕获到有效dump文件(崩溃信息存放在dump文件中),生成的du...
Sadeghian_theory_topsis_fuzz_
09-30
它首先对模糊数据进行规范化处理,然后利用模糊集理论计算各方案与理想和反理想解的距离,最后通过TOPSIS的排序原则,确定各方案的综合排名。这种结合不仅考虑了数据的模糊性,也保留了TOPSIS的比较优势。 在...
jp2k_fuzz:JP2KLib.dll适用于WinAFL的线束
05-14
jp2k_fuzz 该存储库包含一个可与WinAFL一起使用的工具,用于模糊Acrobat的JPEG2000库。 它用于查找CVE-2019-7794。细节JP2KLib.dll是一个封闭源DLL,Adobe Acrobat使用它来解码JPEG2000图像。 由于它是没有源代码的...
PID.rar_PID matlab _matlab pid_matlab pid_pid matlab_pid_fuzz
09-24
标题中的"PID.rar_PID matlab _matlab pid_matlab pid_pid matlab_pid_fuzz"提到了PID控制器在MATLAB环境中的应用,以及与模糊控制(Fuzzy-Programming)的结合。这表明压缩包可能包含了一些关于使用MATLAB进行PID...
fuzz字典大全。多形式fuzz
07-29
这种方法常用于发现程序中未预料到的数据处理方式,如内存溢出、格式错误解析、崩溃和安全漏洞等。 fuzz字典在模糊测试中起着至关重要的作用。字典通常包含了各种预定义的字符串、结构体、文件格式和其他可能引起...
待打印 - 污点分析 SP18_T-Fuzz1
08-03
【污点分析 SP18_T-Fuzz1】:这篇文档主要介绍了T-Fuzz,一种通过程序变换进行模糊测试(fuzzing)的技术,由Hui Peng、Yan Shoshitaishvili和Mathias Payer共同提出。模糊测试是一种利用随机生成的输入来发现软件...
cpp-AFLDynamoRIO使用QEMU模式的黑盒覆盖引导模糊测试
08-15
AFL DynamoRIO 使用QEMU模式的黑盒覆盖引导模糊测试
Winafl中基于插桩的覆盖率反馈原理
漏洞战争
02-02 1936
最近winafl增加支持对Intel PT的支持的,但是只支持x64,且覆盖率计算不全,比如条件跳转等,所以它现在还是不如直接用插桩去hook的方式来得准确完整,这里主要...
转:智能模糊测试工具 Winafl 的使用与分析
weixin_30663471的博客
07-04 706
本文为 椒图科技 授权嘶吼发布,如若转载,请注明来源于嘶吼:http://www.4hou.com/technology/2800.html 注意:函数的偏移地址计算方式是以IDA中出现的Imagebase为准,不是代码加载地址。一旦地址计算错误,运行时会出现以下问题:Test case 'id_000000' results in a hang 导语:Winafl是一个文件格式...
Windows RDP协议 Fuzzing 漏洞挖掘研究
HBohan的博客
09-15 1338
基本介绍 本文描述了我在Fuzzing Windows RDP 客户端和服务端方面所做的一些尝试和挑战,以及Crsahs分析。 Microsoft 的远程桌面协议 (RDP) 持续受到安全社区的关注。从 2019 年发现的几个可能危及数百万面向互联网的服务端的关键漏洞,到RDP 被攻击者用作主要的初始访问向量之一。 我对这个目标最初的兴趣是与 VM 相关的。因为连接到 Azure Windows 机器或 Hyper-V 虚拟机的默认方式是 RDP,所以我认为 RDP 是比较重要的目标。 我很快就发现了 Pa
Winafl学习笔记
weixin_30825199的博客
09-16 560
最近在跟师傅们学习Winafl,也去搜集了一些资料,有了一些自己的理解,就此记录一下。 Winafl是一个运行时插桩工具,可以提高crash的捕获率。 同时也有自己的遗传算法,可以根据代码覆盖程度进行Fuzz 下载winafl https://github.com/ivanfratric/winafl 下载DynamoRio https://github.com/DynamoRIO/d...
ThinkPHP代码执行漏洞
Massimo__JAVA的博客
07-01 1858
特征:被检测系统报错页面出现“十年磨一剑-为API开发设计的高性能框架”,则判定该系统使用ThinkPHP5开发。
thinkphp5.0和5.1 rce poc总结
热门推荐
weixin_40709439的博客
01-20 1万+
照搬Sp4ce大神的: https://bbs.ichunqiu.com/thread-49591-1-1.html 版本名 是否可被攻击 攻击条件 5.0.0 否 无 5.0.1 否 无 5.0.2 否 无 5.0.3 否 无 5.0.4 否 无 5.0.5 否 无 5.0...
ThinkPHP 多语言模块RCE漏洞复现
0xSec
12-25 3592
ThinkPHP,是为了简化企业级应用开发和敏捷WEB应用开发而诞生的开源轻量级PHP框架。最早诞生于2006年初,2007年元旦正式更名为ThinkPHP,并且遵循Apache2开源协议发布。ThinkPHP从诞生以来一直秉承简洁实用的设计原则,在保持出色的性能和至简的代码的同时,也注重易用性。并且拥有众多原创功能和特性,在社区团队的积极参与下,在易用性、扩展性和性能方面不断优化和改进。
ThinkPHP 系列漏洞
SHELLCODE_8BIT的博客
11-18 3423
所有 sql 注入漏洞均在 library/think/db/Builder.php 文件中。1、thinkphp5 SQL注入1漏洞影响版本: 5.0.13
pakv_http_fuzz
最新发布
12-09
pakv_http_fuzz是一种用于Web应用程序的模糊测试工具,用于检测和发现潜在的安全漏洞和错误。它通过发送大量的随机、异常或非预期的HTTP请求来测试目标应用程序的响应能力和健壮性。 pakv_http_fuzz可以帮助安全...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值