使用Intel PT与IPDDoS高防TAnalyzer举行漏洞利用-墨者安全-墨者盾
DDOS防御_CC防护_高防CDN服务器_【墨者安全】—墨者盾墨者盾—你的网站贴身保镖!
QQ:800185041
高防免费接入:400-0797-119

渠道合作:156 2527 6999

主页 > CC防护 > 使用Intel PT与IPDDoS高防TAnalyzer举行漏洞利用

使用Intel PT与IPDDoS高防TAnalyzer举行漏洞利用

小墨安全管家 2020-10-13 12:56 CC防护 89 ℃
DDoS防御

Instruction: 00000000`0019eec1 ffe0            jmp     rax 

记录压缩

TIP (Target IP)

               Trace Size: 134217728             [Ring Buffer Offset: 285264] 

        [+] Trace Entry 8 for TID 3C4 

TNT数据包用于指示是否举行条件转移。因为能够从过程映像中判断出那些流量操纵,于是不大概记录任何无条件的分支跳转。

/-----------------------------------------\ 

|===  Copyright (c) 2018 Alex Ionescu  ===| 

        [+] Trace Entry 9 for TID 610 

00000000000003ee  tip        2: ????????b7d4fb70 

注意,在00000000`0019ee9c处的指令没有检索到任何匹配的模块名称,这意味着它特别有大概被shellcode加载到动态内存中。

        [+] Trace Entry 7 for TID 1684 

seg000:00007FFBB7D63341                 mov     r8, [rsp+48h+var_18] 

              Timing Mode: MTC Packets          [MTC Frequency: 3, ClockTsc Ratio: 83] 

 00000000`00411869 33c0            xor     eax,eax 

[Intel® Debug Extensions for WinDbg* for Intel® Processor Trace](https://software.intel.com/en-us/intel-system-studio-2019-windbg-pt-user-guide-windows-introducing-the-intel-debug-extensions-for-windbg-for-intel-processor-trace) 

        [+] Trace Entry 10 for TID 1CD8 

 

Instruction: EQNEDT32!EqnFrameWinProc+0x2d94: 

seg000:00007FFBB7D4FB8C                 jnz     short loc_7FFBB7D4FB95 

要分析记录的数据包,能够使用Intel的libipt,Libipt是能够解码Intel PT数据包的标准库,它提供了ptdump和ptexd差不多工具。

00000000`0041186b e900000000      jmp     EQNEDT32!EqnFrameWinProc+0x2d90 (00000000`00411870) 

IPT压缩中使用的数据包的讲明能够从《英特尔®64和IA-32体系结构软件开辟人员手册》中找到。

seg000:00007FFBB7D6332B                 mov     rax, cs:7FFBB7E381E0h 

00000000000003e3  pad 

C:\Analysis\DebuggingPackage\TargetMachine\WinIPT>ipttool.exe --trace 2736 EQNEDT32.pt 

 

 > 000000000042fad6 () (sync_offset=2d236c, offset=2d26fc) 

  EQNEDT32!EqnFrameWinProc+0x2d89: 

  

跟踪日志

              Timing Mode: MTC Packets          [MTC Frequency: 3, ClockTsc Ratio: 83] 

 

seg000:00007FFBB7D6331E                 mov     [rsp+48h+var_18], r8 

 

Instruction: 00000000`00618112 56              push    rsi 

IPTAnalyzer是用于并行处理IPT跟踪日志的工具。该工具能够使用Python多处理库处理Intel PT跟踪,并创建差不多的块缓存文件,该块信息关于操纵流变化的整体分析特别实用。例如,假如要从特定的image或地址范围收集指令,则能够在检索完整的指令之前查询此差不多块缓存文件以寻找属于该范围的位置。

进程内存转储

[+] Found active trace with 1476395324 bytes so far 

使用dump_instructions.py的输出,你能够轻松确定从EQNEDT32到Shellcode的代码的位置。

Instruction: EQNEDT32!EqnFrameWinProc+0x2d93: 


DDoS防御

当前位置:主页 > CC防护 > 使用Intel PT与IPDDoS高防TAnalyzer举行漏洞利用

标签列表
DDoS防御
网站分类
X
 

QQ客服

400-0797-119