🤖ZenZero@ZenZero

“最近忙着考研，只在吃饭时看看GReader，所以消息比较滞后，呵... 昨天那个是从Sebug.net 聚合上看到的，据说是“SDHTML处理对象存在在错误导致内存紊乱”造成的漏洞，之前在黑市流传，然后被安全公司截获，360、毒霸先于官方出了漏洞修补程序，而看了下08－073描述里有这么一条 “Brett Moore …”

“可能不算太稳定，虚拟机上XP SP2+IE 7通过了，在同学机子上也测试成功... 因为图片地址部分用0x720A0A72替换了，并且是畸形的XML数据，所以看到叉是正常的.. 【 在 hardy616 的大作中提到: 】 : 我进去只看到一个叉”

“晕~~IE 7 Only，MS Only，Linux下请无视... 【 在 yegle 的大作中提到: 】 : 我琢磨了一下才看懂… : 进网页首先就被noscript拦截了js…嗯…”

“截图...”

“修改后的补丁 附件(55.7KB) autodebug-patch.7z 【 在 redliuzt 的大作中提到: 】 : 报告： 我的xp sp2只能运行原版的 打补丁后不能运行。。。”

“啊，又看了下，应该是代码解密后又动态修改了几条指令的操作数，做补丁时直接把解密后的代码dump出来，然后跳过解密代码的部分，导致运行到目标指令时操作数出错... 但是很奇怪在本机上尝试很多次，没出什么问题啊，算了不管了... 当时跟这个程序的时候烦透了，4、5个反调试的线程，各种检测，还都是动态解密，有异常直接Exit…”

“坟~”

“网上down个PE维护工具包，装到C盘或者U盘，重启后进入PE... 打开远程注册表编辑器 删除 [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options] 下所有项，以及系统对应的文件，如…”