2つのステージのシェルコードがドキュメントファイルに埋め込まれています[メモリ不足 - それを抽出できません]


0

ここではコンテキストがあります:すべては3つのオブジェクトを持つRTFファイルから始まります。最初のプログラムは非ASLRモジュール "MSCOMCTL.OCX"を読み込み、ヒープスプレー技術で成功させて、2番目のオブジェクトをロードするのに十分なメモリを割り当てます。ActiveXファイルにシェルコードが埋め込まれた1つの.docファイル(activex1 .bin)。この絵で

enter image description here

我々はNOP-スレッドを見ることができますし、どのようにシェルコードの最初の段階は、メモリ内のいくつかのバイトをXORしようとしています。問題は、ECXが82849735を指しており、メモリが不足していることです。

私はシェルコードの第2段階を抽出する必要があります。私はWinHexを試してその位置に何かがあるかどうかを確認しましたが、私は成功しませんでした。

警告:この時点では、アクティブx1.binでjmp2itを直接使用しているため、RTFファイル(ヒープスプレーなど)の「コンテキスト」ではなく、多分重要です。 RTFファイルなので、どのように進めるべきか分かりませんし、デバッガに入れることもできません。

編集/更新:あなたがここに見ることができるように私はシェルコードをロードするためにjmp2itを試してみました、そして: Getting Handle. それはファイルハンドル(RTFファイル)をチェックするためにGetFileSizeを使用しています。問題は次のとおりです: jmp2itをhandleオプションで起動し、そのrtfをポイントすると、シェルコードが正しく実行されても、デバッガをプロセスにアタッチする時間がなくなり、初期のものが失われます。

私は、関数を呼び出すたびにプロセスを停止させる方法やツールがあるかどうかわかりません。

rtfをロードしてデバッガに接続しようとしましたが、動作しません。私が試したすべてのツールは.exeのためのツールですが、最も重要なのは、他のツールでシェルコードを起動しようとしたときに、.RTFが実行しなかったすべてのもの(ASLRバイパスなど)が失敗したからです。

  0

ありがとう取り付けるための時間を持っているので、実行する前に一時停止するオプションがあります!私はそれを見守ります 03 12月. 172017-12-03 17:17:59

  0

私が試したツールはうまくいかなかったので、投稿を編集しました。問題は、私が2つのパスを取ることができるように思えます:シェルコードを実行し、2番目のステージを抽出してメモリが不足しているか、.rtfファイルで起動してから何かを試してみませんか。 10 12月. 172017-12-10 21:56:38

-1

Jmp2itは、シェルコードを使用すると、デバッガ

+2

この場合、使用方法を少し追加してください。 04 2月. 182018-02-04 20:18:20