Browse by Tags
All Tags »
Debug调试
六月安全公告 数量较多(谢谢报告其中几个漏洞的ruder、bing、wushi等等——还有 Nils ),也涵盖了不少可能会让人跃跃欲试的关键字。任何人和组织都有发布、公开安全公告分析和PoC的权利,我们无意改变已有的习惯或规则,只希望那些不再需要证明自己实力、或者即使所在的组织企业默许Just for fun的白帽和灰帽朋友们,尽量能够帮助保护微软用户的安全,毕竟没有了你们的无私发布,不少黑帽的作品还是 难以造成破坏的 。 下面推荐MSRC Engineering近日的两篇Blog,明天大家应该可以在那里看到关于六月份公告的安全观点,建议感兴趣的朋友订阅
Read More...
还是 危险期 的话题,给IT管理员和一些朋友:如果你遇到了Windows平台下进程崩溃,系统询问是否报告给微软,建议试一下“发送”,这一个小小的“Calling Dr.Watson”的动作,或许就可以帮助所有微软用户免受威胁。 只是这样的帮助是无私匿名的,因为包含的数据只有程序崩溃的相关数据、OS的版本、硬件信息、产品ID和IP地址---ID和IP可能很敏感,但这两个数据只有极少数人才能访问,即使在微软内部,除此之外没有其他你的任何个人信息,微软也不承诺多久给什么样的答复。 关于哪些是崩溃的数据,如果你想确认,可以在询问是否发送报告的窗口弹出时,打开%TEMP%目录,找到以_appcompat结尾的TXT,和一个.dmp的文件,这两个文件即是报告要发送的主要内容,它们就是集成在XP以上版本的“Windows错误报告”功能中的Dr.Watson产生的部分数据。除了点击“调试”,无论点击“发送报告”还是点击“不发送”,之后这两个文件都会被从你的磁盘里立即删除。所以在XP或者2003下,如果你想自己调试dmp文件,可以到X:\Documents
Read More...
Debug某一未知PoC时,相信很多人都会被可能的crash反复折腾,往往只能凭经验在live或对dump debugging时下breakpoint不断尝试,一旦出错,只能重头来过,debugger一般没有提供对trace/dump进行step back的code回溯功能。这里给希望写Code replay plugin for debugger trace的朋友提供一篇以前的MS公开文档(涉及的只是内部系列工具之一,并不在MCPP范围内),希望能有所帮助,包括如何在做到trace到需要的信息(保证code回溯信息可查)的同时,又不至于严重影响系统性能,并且trace数据不会过大
Read More...
GS 校验cookie失败后通常会调用TerminateProcess()终止程序。为了做这个判断,如果我们挂一个Debugger,比如Windbg到进程上,重现问题,当进程终止时Windbg停了下来,但此时的堆栈并不是发生overflow的地方,抛出的exception是fake的,所以此时stack内容也是不可信的。那么重点就是在什么地方设置断点了: bp 在每一个可能发生BO的地方:可能很多; bp __report_gs_failure:因为这个function存在于每个dll或process,因此同样可能很多
Read More...
