如何动态调试利用flash漏洞的文档类病毒

显示全部楼层 · 发表于 2022-1-21 13:24:45

本人最近在分析这个样本，此病毒利用了cve-2018-4878这个flash漏洞，经过了查询资料和静态分析其中的.bin文件，明了了利用此漏洞的函数，但是无法定位shellcode位置，并且无法分析整体流程，在此寻求大家帮助，能否想使用od调试exe那样对这类病毒进行动态调试，本人试过使用od附加word进程，对其进行调试，但是不知道断点应在下载哪里，也不知道其利用在哪里开始，所以无法调试，希望大家提供一些方法。
样本请大家在虚拟机中运行！！！

显示全部楼层 · 发表于 2022-1-21 13:48:36

本帖最后由 846472713 于 2022-1-21 15:23 编辑

G DATA

显示全部楼层 · 发表于 2022-1-21 14:06:36

智量3.03 解压时监控杀

显示全部楼层 · 发表于 2022-1-21 15:32:27

avast阻止下载

显示全部楼层 · 发表于 2022-1-21 15:37:57

kis扫描: 检测到恶意对象
组件: 病毒扫描
结果: 检测到
结果说明: 检测到
类型: 木马
名称: HEUR:Trojan.Win32.Generic
精确度: 不确切
威胁级别: 高
对象类型: 文件
对象名称: poc.swf
对象的 MD5: 9E819A142E1287A9FD72B317B575AD17
原因: 专家分析
数据库发布日期: 昨天，2022/1/20 23:40:00

显示全部楼层 · 发表于 2022-1-21 15:45:12

Kaspersky

显示全部楼层 · 发表于 2022-1-21 16:28:34

火绒
漏洞攻击程序 Exploit/CVE_2018_4878

360
Win32/Exploit.CVE-2018-4878.HgAASRMA

显示全部楼层 · 发表于 2022-1-21 16:38:04

各位你们可能理解错了，我想要了解这个病毒的动态分析方法，而不是什么软件可以识别他

显示全部楼层 · 发表于 2022-1-22 11:29:43

g0mx 发表于 2022-1-21 16:38
各位你们可能理解错了，我想要了解这个病毒的动态分析方法，而不是什么软件可以识别他

看看这个？https://www.freebuf.com/vuls/162369.html

显示全部楼层 · 发表于 2022-1-24 08:55:01

ANY.LNK 发表于 2022-1-22 11:29
看看这个？https://www.freebuf.com/vuls/162369.html

这些文章我看过了，但是它们都没告诉我动态调试的方法，我想知道如何动调

[病毒样本] 如何动态调试利用flash漏洞的文档类病毒

本帖子中包含更多资源

本帖子中包含更多资源

本帖子中包含更多资源

本帖子中包含更多资源

浏览过的版块