本书系统地讲解软件漏洞分析与利用所需的各类工具、理论技术和实战方法，主要涉及Windows和Android系统平台。全书内容根据不同的软件漏洞类型划分，如堆栈溢出、沙盒逃逸、类型混淆、UAF、内核漏洞等，同时针对流行的移动**，加入Android平台的漏洞分析与利用。本书以精心挑选的经典漏洞为例，以分享漏洞的分析技巧和工具为主，对漏洞的成因及利用和修**法进行详细讲解，旨在“授人以渔”。本书*大的特点是以经典漏洞作为实战案例来讲解，摒弃空头理论，几乎是“一本用调试器写出来的书”。本书适合计算机相关专业的本科生、研究生，信息**爱好者，软件**、移动**相关从业人员，软件开发与测试人员及黑客等阅读。

第1章 基础知识1 1.1 漏洞的相关概念1 1.1.1 什么是漏洞1 1.1.2 漏洞的价值1 1.1.3 0Day漏洞2 1.1.4 PoC与Exploit2 1.2 为什么要分析漏洞2 1.3 常用分析工具3 1.3.1 IDA——汇编利器3 1.3.2 OllyDbg——破解与逆向常用调试器4 1.3.3 Immunity Debugger——漏洞分析专用调试器4 1.3.4 WinDbg——微软正宗调试器5 1.3.5 x64dbg——Windows 64位调试器6 1.3.6 Ghidra——反汇编器7 1.3.7 GDB——Linux调试器8 1.3.8 JEB——Android反编译器9 1.3.9 其他工具10 1.4 常见的漏洞分析方法10 1.4.1 静态分析10 1.4.2 动态调试11 1.4.3 源码分析11 1.4.4 补丁比较12 1.4.5 污点追踪12 1.5 学习资源13 1.5.1 站点分享13 1.5.2 书籍**14 1.6 本章总结15 第2章 栈溢出漏洞分析16 2.1 栈溢出简史16 2.2 栈溢出原理17 2.3 CVE-2010-2883 Adobe Reader TTF字体SING表栈溢出漏洞18 2.3.1 LuckyCat攻击事件18 2.3.2 漏洞描述19 2.3.3 分析环境19 2.3.4 基于字符串定位的漏洞分析方法20 2.3.5 样本Exploit技术分析21 2.3.6 样本Shellcode恶意行为分析27 2.3.7 漏洞修复30 2.4 CVE-2010-3333 Microsoft RTF栈溢出漏洞31 2.4.1 林来疯攻击事件31 2.4.2 漏洞描述32 2.4.3 分析环境32 2.4.4 RTF文件格式33 2.4.5 基于栈回溯的漏洞分析方法34 2.4.6 漏洞利用原理分析42 2.4.7 Office 2003与Office 2007 Exploit通用性研究43 2.4.8 漏洞修复46 2.5 CVE-2011-0104 Microsoft Excel TOOLBARDEF Record栈溢出漏洞52 2.5.1 漏洞描述52 2.5.2 分析环境52 2.5.3 基于污点追踪思路的漏洞分析方法53 2.5.4 漏洞修复59 2.6 阿里旺旺ActiveX控件imageMan.dll栈溢出漏洞60 2.6.1 漏洞描述60 2.6.2 分析环境61 2.6.3 针对ActiveX控件的漏洞分析方法61 2.6.4 漏洞利用原理分析64 2.7 CVE-2012-0158 Microsoft Office MSCOMCTL.ocx栈溢出漏洞65 2.7.1 Lotus Blossom 行动65 2.7.2 漏洞描述66 2.7.3 分析环境66 2.7.4 基于OffVis工具的Office漏洞分析方法66 2.7.5 漏洞修复72 2.8 本章总结73 第3章 堆溢出漏洞分析74 3.1 堆溢出简史74 3.2 堆溢出原理75 3.3 堆调试技巧80 3.3.1 堆尾检查81 3.3.2 页堆82 3.4 CVE-2010-2553 Microsoft Cinepak Codec CVDecompress函数堆溢出漏洞86 3.4.1 漏洞描述86 3.4.2 分析环境86 3.4.3 基于HeapPage的堆漏洞分析方法86 3.4.4 漏洞修复101 3.5 CVE-2012-0003 Microsoft Windows Media Player winmm.dll MIDI文件堆溢出漏洞104 3.5.1 关于“蜘蛛”漏洞攻击包（Zhi-Zhu Exploit Pack）104 3.5.2 漏洞描述105 3.5.3 分析环境105 3.5.4 MIDI文件格式105 3.5.5 基于导图推算的漏洞分析方法107 3.5.6 漏洞利用原理分析120 3.5.7 补丁比较127 3.6 CVE-2013-0077 Microsoft DirectShow quartz.dll m2p文件堆溢出漏洞127 3.6.1 漏洞描述127 3.6.2 基于HTC的漏洞分析方法127 3.6.3 漏洞修复131 3.7 CVE-2012-1876 Internet Explorer MSHTML.dll CalculateMinMax堆溢出漏洞132 3.7.1 在Pwn2Own黑客大赛上用于攻破IE9的漏洞132 3.7.2 分析环境132 3.7.3 基于HPA的漏洞分析方法132 3.7.4 通过信息泄露实现漏洞利用146 3.7.5 漏洞修复155 3.8 本章总结157 第4章 整数溢出漏洞分析158 4.1 整数溢出简史158 4.2 整数溢出原理158 4.2.1 基于栈的整数溢出159 4.2.2 基于堆的整数溢出160 4.3 CVE-2011-0027 Microsoft Data Access Components整数溢出漏洞161 4.3.1 在Pwn2Own黑客大赛上用于攻破IE8的漏洞161 4.3.2 基于堆分配记录的漏洞分析方法162 4.3.3 补丁比较170 4.4 CVE-2012-0774 Adobe Reader TrueType字体整数溢出漏洞172 4.4.1 漏洞描述172 4.4.2 PDF文件格式与常用分析工具172 4.4.3 基于条件记录断点的漏洞分析方法176 4.4.4 补丁分析190 4.5 CVE-2013-0750 Firefox字符串替换整数溢出漏洞191 4.5.1 漏洞描述191 4.5.2 基于源码调试的漏洞分析方法191 4.5.3 源码比对201 4.6 CVE-2013-2551 Internet Explorer VML COALineDashStyleArray整数溢出漏洞202 4.6.1 在Pwn2Own黑客大赛上攻破IE10的漏洞202 4.6.2 基于类函数定位的漏洞分析方法202 4.6.3 利用信息泄露实现漏洞利用217 4.7 本章总结220 第5章 格式化字符串漏洞分析221 5.1 格式化字符串漏洞简史221 5.2 格式化字符串漏洞的原理221 5.3 CVE-2012-0809 Sudo sudo_debug函数格式化字符串漏洞228 5.3.1 漏洞描述228 5.3.2 通过源码比对分析漏洞228 5.4 CVE-2012-3569 VMware OVF Tool格式化字符串漏洞229 5.4.1 漏洞描述229 5.4.2 基于输出消息的漏洞定位方法229 5.4.3 漏洞利用原理分析233 5.5 本章总结236 第6章 双重释放漏洞分析237 6.1 双重释放漏洞简史237 6.2 双重释放漏洞的原理237 6.3 CVE-2010-3974 Windows传真封面编辑器fxscover.exe双重释放漏洞240 6.3.1 漏洞描述240 6.3.2 通过栈回溯和堆状态判定漏洞类型240 6.3.3 通过补丁比较确定漏洞成因及修**法243 6.4 CVE-2014-0502 Adobe Flash Player 双重释放漏洞245 6.4.1 GreedyWonk行动245 6.4.2 静态分析攻击样本245 6.4.3 Shellcode自动化模拟执行254 6.4.4 基于ROP指令地址的反向追踪256 6.5 本章总结264 第7章 释放重引用漏洞分析265 7.1 释放重引用（Use After Free，UAF）漏洞简史265 7.2 UAF漏洞的原理265 7.3 CVE-2011-0065 Firefox mChannel UAF漏洞268 7.3.1 漏洞描述268 7.3.2 通过动态调试快速定位漏洞源码268 7.3.3 漏洞利用原理分析276 7.3.4 源码比对277 7.4 CVE-2013-1347 Microsoft IE CGenericElement UAF漏洞278 7.4.1 “水坑”攻击事件278 7.4.2 通过HPA快速定位漏洞对象278 7.4.3 逆向分析IE引擎对JavaScript代码的解析281 7.4.4 追本溯源：探寻漏洞的根因312 7.4.5 漏洞利用原理分析315 7.5 CVE-2013-3346 Adobe Reader ToolButton UAF漏洞317 7.5.1 “Epic Turla”网络间谍攻击行动317 7.5.2 使用peepdf分析PDF恶意样本317 7.5.3 漏洞利用原理分析326 7.6 CVE-2015-0313 Adobe Flash Player Workers ByteArray UAF漏洞328 7.6.1 漏洞描述328 7.6.2 分析ActionScript虚拟机源码辅助漏洞调试328 7.6.3 Flash JIT调试插件与符号文件341 7.6.4 漏洞利用原理分析342 7.6.5 漏洞修复348 7.7 本章总结348 第8章 数组越界访问漏洞分析349 8.1 数组越界与溢出的关系349 8.2 数组越界访问漏洞原理349 8.3 CVE-2011-2110 Adobe Flash Player数组越界访问漏洞351 8.3.1 漏洞描述351 8.3.2 解决安装旧版Flash Player的限制问题351 8.3.3 通过Perl脚本辅助分析样本352 8.3.4 搭建服务器重现漏洞场景358 8.3.5 通过修改样本代码定位漏洞360 8.3.6 通过构造信息泄露利用漏洞363 8.3.7 通过搜索指令序列分析补丁367 8.4 CVE-2014-0160 OpenSSL TLS数组越界访问漏洞（“心脏滴血”）369 8.4.1 漏洞描述369 8.4.2 基于源码对比与跟踪的漏洞分析方法370 8.4.3 利用漏洞盗取网站账号376 8.5 本章总结380 第9章 内核漏洞分析381 9.1 Windows内核漏洞漫谈381 9.2 Windows内核调试环境搭建382 9.3 常见内核漏洞原理与利用384 9.3.1 漏洞成因分析384 9.3.2 漏洞利用原理分析391 9.4 360**卫士bregdrv.sys本地提权漏洞分析399 9.4.1 漏洞描述399 9.4.2 基于导出函数和I/O控制码的追踪分析400 9.5 CVE-2011-2005 Windows Afd.sys本地提权漏洞409 9.5.1 漏洞描述409 9.5.2 从利用代码到漏洞函数的定位分析409 9.5.3 补丁比较412 9.6 CVE-2013-3660 Windows win32k.sys EPATHOB指针未初始化漏洞412 9.6.1 漏洞描述412 9.6.2 通过IDA定义结构体辅助分析413 9.6.3 漏洞利用原理分析417 9.7 CVE-2014-1767 Windows AFD.sys双重释放漏洞（Pwn2Own 2014）423 9.7.1 Pwnie Awards 2014“*佳提权漏洞奖”得主423 9.7.2 基于IOCTL处理函数自动追踪记录的分析方法423 9.7.3 漏洞利用原理分析440 9.7.4 补丁分析446 9.8 本章总结448 第10章 Android平台漏洞分析449 10.1 Android平台漏洞简史449 10.2 Android平台漏洞分类452 10.3 常见的漏洞分析方法453 10.3.1 APK静态分析453 10.3.2 smali动态调试454 10.3.3 so库动态调试460 10.3.4 补丁源码比对460 10.3.5 系统Java源码调试463 10.3.6 系统C/C++源码调试471 10.3.7 Android内核源码调试473 10.4 智能插座漏洞分析476 10.4.1 漏洞描述476 10.4.2 静态逆向分析477 10.4.3 利用漏洞控制网络上的任意插座481 10.4.4 总结486 10.5 CV