注册 登录  
 加关注
   显示下一条  |  关闭
温馨提示!由于新浪微博认证机制调整,您的新浪微博帐号绑定已过期,请重新绑定!立即重新绑定新浪微博》  |  关闭

且行且记录

点滴记录,行的更远!

 
 
 

日志

 
 

MS14-084 CVE-2014-6363 补丁对比vbscript  

2014-12-10 17:36:37|  分类: 一些练习 |  标签: |举报 |字号 订阅

  下载LOFTER 我的照片书  |
MS14-084 CVE-2014-6363 补丁对比vbscript
我本想用xp的vbscript,可惜xp不支持了。我也不想启动windows2k3虚拟机了,
就下了win2003sp2补丁以及它所替换的前一个补丁来做补丁对比。
对比后发现好像就多了一个memset调用,清零刚分配的内存。
MS14-084 CVE-2014-6363 补丁对比vbscript - appall - 且行且记录
MS14-084 CVE-2014-6363 补丁对比vbscript - appall - 且行且记录

 
 ==========================================
MS14-084 CVE-2014-6363 补丁对比vbscript - appall - 且行且记录
 
MS14-084 CVE-2014-6363 补丁对比vbscript - appall - 且行且记录

===================
【2014.12.11】查了下xp上的对应代码和符号
7328AA0A   .  8BF0                 mov     esi, eax
7328AA0C   .  33FF                 xor     edi, edi
7328AA0E   .  3BF7                 cmp     esi, edi
7328AA10   .  0F8C E4000000        jl      7328AAFA
7328AA16   .  837D 08 10           cmp     dword ptr [ebp+8], 10
7328AA1A   .  897D E8              mov     dword ptr [ebp-18], edi
7328AA1D   .  72 20                jb      short 7328AA3F
7328AA1F   .  6A 44                push    44
7328AA21   .  E8 239EFEFF          call    <jmp.&msvcrt.operator new> ;XP上的相应位置,分配后内存没清零!
7328AA26   .  3BC7                 cmp     eax, edi
7328AA28   .  59                   pop     ecx
7328AA29   .  8B4D E4              mov     ecx, dword ptr [ebp-1C]
7328AA2C   .  8901                 mov     dword ptr [ecx], eax
7328AA2E   .  8945 D0              mov     dword ptr [ebp-30], eax
7328AA31   .  0F84 0FF40000        je      73299E46


查看对应的符号
0:004> u 7328AA1F
vbscript!CRegExp::Execute+0x108:
7328aa1f 6a44            push    44h
7328aa21 e8239efeff      call    vbscript!operator new (73274849) <----好像是CRegExp内部有关的!
7328aa26 3bc7            cmp     eax,edi
7328aa28 59              pop     ecx
7328aa29 8b4de4          mov     ecx,dword ptr [ebp-1Ch]
7328aa2c 8901            mov     dword ptr [ecx],eax
7328aa2e 8945d0          mov     dword ptr [ebp-30h],eax
7328aa31 0f840ff40000    je      vbscript!CRegExp::Execute+0x14d (73299e46)
  评论这张
 
阅读(66)| 评论(0)
推荐 转载

历史上的今天

在LOFTER的更多文章

评论

<#--最新日志,群博日志--> <#--推荐日志--> <#--引用记录--> <#--博主推荐--> <#--随机阅读--> <#--首页推荐--> <#--历史上的今天--> <#--被推荐日志--> <#--上一篇,下一篇--> <#-- 热度 --> <#-- 网易新闻广告 --> <#--右边模块结构--> <#--评论模块结构--> <#--引用模块结构--> <#--博主发起的投票-->
 
 
 
 
 
 
 
 
 
 
 
 
 
 

页脚

网易公司版权所有 ©1997-2017