大家都知道在進行漏洞分析時,對於內存破壞或者其他很難定位類型的漏洞分析中,
一個很難解決的就是數據的逆向溯源,等找到源頭之後,大都就知道漏洞觸發的原因了
可以用虛擬機快照來解決這個問題,發現無論是r3下面的漏洞分析還是內核的漏洞,
都非常給力啊
在分析的開始,就保存一個虛擬機快照,每次重新分析時,就直接恢復快照,因爲知道了
堆的地址,可以直接下堆的訪問斷點等,就算當前堆還沒分配也沒關係的。這樣堆的地址
就是固定的了 在固定的數據流中要溯源是很容易的了 。。。。
大家都知道在進行漏洞分析時,對於內存破壞或者其他很難定位類型的漏洞分析中,
一個很難解決的就是數據的逆向溯源,等找到源頭之後,大都就知道漏洞觸發的原因了
可以用虛擬機快照來解決這個問題,發現無論是r3下面的漏洞分析還是內核的漏洞,
都非常給力啊
在分析的開始,就保存一個虛擬機快照,每次重新分析時,就直接恢復快照,因爲知道了
堆的地址,可以直接下堆的訪問斷點等,就算當前堆還沒分配也沒關係的。這樣堆的地址
就是固定的了 在固定的數據流中要溯源是很容易的了 。。。。