PEDumperかOllyDump以外を探してみよう
Immunity+PeDumperチュートリアル
https://www.openrce.org/blog/view/1135/Basic_tutorial_about_how_to_dump_a_process_and_update_the_IAT_using_Immunity_Debug,_LordPE,_and_ImpRec
おまけ
http://reversengineering.wordpress.com/2008/07/
http://astatalk.com/viewtopic.php?t=282324
http://quequero.org/Armadillo5_x64_Unpacking
トークナイズって難しいねw
わかる人だけわかってくださいw
killbitチェックはMSから配布されているClassIDを使うと便利*1
使い方は classid.exe {CLSID} で、該当するCLSIDのセキュリティチェックを表示
C:\>ClassId.exe {0002E541-0000-0000-C000-000000000046} (*)
Clsid: {0002E541-0000-0000-C000-000000000046}
Progid: OWC10.Spreadsheet.10
Binary Path: C:\PROGRA~1\COMMON~1\MICROS~1\WEBCOM~1\10\OWC10.DLL
Implements IObjectSafety: True
Safe For Initialization (IObjectSafety): True --- IE will allow loading
Safe For Scripting (IObjectSafety): True --- IE will allow scripting
Safe For Initialization (Registry): False
Safe For Scripting (Registry): False
KillBitted: False --- It is not killbitted
といっても、CLSIDがわからないと意味ないんだけどねw
そこはregeditからstring検索かな
サポートが切れたOffice2000を使っても大丈夫かどうか、せっかく調べたので載せておく。
結論からいうと「Office 2000を使っていても脆弱性の影響を受けない。」
調べた結果:
だから、IEからMSOWC.DLLのActiveXが呼ばれることはないです。
ちゃんと、アップデートしていることが前提。要するにちゃんとパッチを当てましょう!ってこと。
*1:Office 2000のOWC 2000とOffice XP用 OWC2000とバイナリ差分の有無で判断しました
*2:MS08-017の対応としてkillbitが立てられてます http://www.microsoft.com/japan/technet/security/advisory/956391.mspx
で試してみたけど、変化がないように見える・・・
評価版だからかな?
