欢迎来到 黑吧安全网 聚焦网络安全前沿资讯,精华内容,交流技术心得!

微软MS10-046细节分析

来源:本站整理 作者:佚名 时间:2015-03-15 TAG: 我要投稿

 

如果dll文件不在白名单之列。你就不能使得图标ID为0,也就不能加载自定义的图标了。这样问题就解决了?很明显,还不是!我们再来看看另一个改变后的代码片段。看看他能否给我们什么线索。

/Article/UploadPic/2015-3/201531515838972.png

图3 函数中第二个改变区域块

令我们兴奋的是,如果模块路径包含逗号,会出现无效的参数回显错误提示。

这似乎跟防御震网病毒无关吧?看起来很是奇怪!我们再来看看跟该区域块相关代码。

在该代码块之前,有一个未改变的代码块需要用户提供数据并用逗号来格式化数据:

t01e6e998a8015f2697.png

图4 未改变的代码

我们把这个代码块反编译为C++语言:

 
1
2
StringCchPrintfW(wszWorkingBuffer, 554u, L"%s,%d,%s", &wszModuleFullPath,
                      iconID, &wszDisplayName);

上一页  [1] [2] [3] [4] [5] [6] [7] [8] [9] [10]  下一页

【声明】:黑吧安全网(http://www.myhack58.com)登载此文出于传递更多信息之目的,并不代表本站赞同其观点和对其真实性负责,仅适于网络安全技术爱好者学习研究使用,学习中请遵循国家相关法律法规。如有问题请联系我们,联系邮箱admin@myhack58.com,我们会在最短的时间内进行处理。
  • 最新更新
    • 相关阅读
      • 本类热门
        • 最近下载