CVE-2015-0311 분석 3일차 - 메모

내가 원하는곳만 어셈 코드를 볼 수 있는 방법?

==> 기존의 트레이싱하여 따라가는 방법은 거의 불가능 할거라고 봄.

1. bindiff를 사용해 패치된 코드 비교 후 패치된곳의 주소값을 따와 해당 지점에서 분석

2. ???

발표 자료

( AVM 자체를 분석하기보다는 CFG 우회나 익스플로잇 기술에 대해 더 많이 얘기 하고 있음 )

https://www.blackhat.com/docs/eu-15/materials/eu-15-Falcon-Exploiting-Adobe-Flash-Player-In-The-Era-Of-Control-Flow-Guard.pdf

( 뭔가 AVM을 분석 하기 쉬운 툴을 만들었다는거 같다. heisecode 라는 사람의 github를 뒤져 봐야겠다. )

https://www.blackhat.com/docs/eu-15/materials/eu-15-Pi-New-Tool-For-Discovering-Flash-Player-0-day-Attacks-In-The-Wild-From-Various-Channels-wp.pdf

 == > https://github.com/heisecode/FlashVul_DbgExtension/tree/master/dbg_flash_vul_2.0/dbg_flash_vul

 == > https://github.com/heisecode/FlashPlayer_InlineHooker/tree/master/src

( 여러가지 툴과 CVE 분석 및 CFG에 대해 소개 하고있다. )

https://www.blackhat.com/docs/us-16/materials/us-16-Oh-The-Art-of-Reverse-Engineering-Flash-Exploits-wp.pdf

https://cansecwest.com/slides/2015/Smart_COM_Fuzzing_Auditing_IE_Sandbox_Bypass_in_COM_Objects-Xiaoning_li.pdf

( Dumb Fuzzing을 이용한 0-day 분석 및 전체적인 Adobe Flash 구조적 취약점에 대한 설명 )

https://www.google.co.kr/url?sa=t&rct=j&q=&esrc=s&source=web&cd=5&cad=rja&uact=8&ved=0ahUKEwjXzte22MHRAhWCi5QKHVwjC7wQFgguMAQ&url=https%3A%2F%2Fcansecwest.com%2Fcsw11%2FFlash_ActionScript.ppt&usg=AFQjCNG4sX2KNWXOaf14nUf9HOgZctQY8g&sig2=5Bm1DZrGjWRzcSyibAJzBg&bvm=bv.144224172,d.dGo

https://cansecwest.com/slides/2014/The%20Art%20of%20Leaks%20-%20read%20version%20-%20Yoyo.pdf

내일 할것 - bindiff 사용 해 보기, windbg 익숙해지기