日常分析软件漏洞方法（转）

在日常分析软件漏洞时，经常需要耗费比较长的分析时间，少则几小时，多则数天，甚至更久。因此，经常总结一些分析技巧是非常有必要的，针对不同的漏洞类型采取不同的分析思路和技巧，可以有效地提高分析速度。对于一些被曝出来的热门0day， 上一般都会有分析文章，但一般都是“结论性分析”，也就是直接帖漏洞代码，指出哪里出错，而非“思路性分析”。如果你经常分析漏洞的话，会发现占用你分析时间的往往不是分析漏洞代码，而是定位漏洞代码。所以说，调试分析漏洞有时就是看下断点下得准不，再加上一些胡猜乱想来推测，最后才是分析漏洞代码了，如果熟悉汇编指令，这个就不是问题了。

下面是笔者就以往分析过的若干实例漏洞，总结出的一些小技巧。不过，技巧甚多，篇幅有限，此处仅列举一些比较个人常用的方法，也欢迎各位分享自己的一些分析技巧，大家共同学习探讨。

技巧一：快速定位JS代码调用的IE类成员函数

CVE-2011-0027 Microsoft Data Access组件整数溢出漏洞是Pwn2Own 2010黑客大赛中被用来攻破IE8浏览器的漏洞，其中关键的漏洞触发代码如下：

现在我们就介绍一种快速定位上述两行代码将对应调用的IE类成员函数，首先用IDA加载漏洞文件msado15.dll，并允许加载微软符 表，然后选中“Function name”一栏，按“Alt + T”快捷键弹出搜索框，输入搜索关键字“cachesize”：

我们对CRecordset::put_CacheSize下断点验证下前面的猜测，用Windbg附加IE进程运行后打开poc.html，确实断在put_CacheSize，通过查看参数可以看到poc.html中设置的CacheSize值0×40000358，说明CRecordset::put_CacheSize确实是设置CacheSize值的函数：

我们对CRecordset::put_CacheSize下断点验证下前面的猜测，用Windbg附加IE进程运行后打开poc.html，确实断在put_CacheSize，通过查看参数可以看到poc.html中设置的CacheSize值0×40000358，说明CRecordset::put_CacheSize确实是设置CacheSize值的函数：

技巧二：通过页堆快速定位堆漏洞代码

页堆是windows 2000 引入的调试支持功能，简称DPH（Debug Page Heap），启用该机制后，堆管理器会在堆块后增加专门用于检测溢出的栅栏页，当数据溢出触及栅栏页便会立刻触发异常，此时往往就是触发漏洞的最及时的位置，它不仅适用于堆溢出，对于其它类型的堆漏洞也是适用的。
以CVE-2013-0077 微软DirectShow堆溢出漏洞为例，通过以下命令开启页堆（gflags）：

开启页堆hpa后，重新附加运行后，在复制数据到堆边界时断下：

上面就是断在复制数据导致溢出的指令，通过分析其所在函数往往很容易定位漏洞代码。如果不开启页堆，直接以默认形式调试的话，你会发现是断在以下指令：

这已经是堆溢出后导致的内存读取异常了，不再是触发漏洞时最原始的场景了。因此开启页堆后，会更方便你去定位漏洞代码。

技巧三：基于堆分配记录定位整数溢出漏洞代码

以CVE-2011-0027 Microsoft Data Access组件整数溢出漏洞为例，这个漏洞就是在Pwn2Own 2010黑客大赛中，荷兰黑客Peter Vreugdenhil利用它来攻破Win7上的IE8浏览器的。

下面是打开poc.html后的异常情况：