似乎能够比较容易的被利用，按理来说solaris也应该有这个漏洞啊，http://risesecurity.org/advisories/RISE-2009001.txt。

http://www.communities.hp.com/securitysoftware/blogs/spilabs/archive/2009/03/20/exposing-flash-application-vulnerabilities-with-swfscan.aspx

这个漏洞和MS09-002很相似，哪位大牛share一个PoC啊？

逆向工程的时候，有时候会有追踪程序流程的需求，也就是类似Process Stalker和PaiMei所实现的功能，不过很遗憾PS的效率不是很好，而且PaiMei已经不更新很久了。最近自己捣鼓了一下，列出几个可行性比较高的几个方案供大家参考，同时也欢迎朋友们提出更好的方法。

1. ImmDBG 的 fast hook的功能 + ida2sql，首先是用ida2sql，把IDA反汇编后的结果导入到SQL数据库，然后用python连接数据库读出地址并且用ID的fast hook依次下断点，然后进行分析，在ID的论坛上也有人想到了这个方法，但是似乎如果hook的函数过多的话，会导致问题

这2天抽空根据Attacking Embedded Languages 里面的描述，依样画葫芦搞了个idapython和id的脚本来获取adobe reader 9里面JS的内部结构，一个是静态获取object 以及members，另外一个是动态获取参数名称和参数类型，方便以后写fuzzer或者code audit.

Adobe前几天紧急出了一个Flash for Linux的补丁，Immunityinc的CEU页面也立即有了相应的working exploit，反应真的很快啊，不过他们也给出了技术细节。貌似HDM还搞了一个fuzzer，有兴趣的朋友可以看看。

在IE 7中分配内存能够成功，但是释放却存在问题，比如代码：
heap.lookaside(272, 2);
Windbg调试输出:
DEBUG: Freeing blocks to the lookaside
alloc(0x110) = 0x353b9e0
alloc(0x110) = 0x353baf8
DEBUG: Flushing the OLEAUT32 cache
free(0x353baf8), size=0x50a8
free(0x353b9e0), size=0x5390
同样的内存块，释放时的size却不一样，有谁知道是啥问题吗？

2005年的时候Nicolas Waisman就在他的《Owning the windows Heap》中提到了一个0day技巧，就是在堆溢出中覆盖HeapCommitRoutine的指针来获取程序的控制权限。

在Windows 2000中，我们还可以沿用覆盖PEB中lock/unlock的指针的方法，但是再XP SP2/2003中，PEB随机化，TOP SEH等关键指针都已经被encode了，所以只好找各个.dll的.data中的指针，但是这些指针地址往往和系统版本，语言版本，SP版本相关。

而HeapCommitRoutine指针存在于默认进程堆偏移0x57c处，而且默认进程堆的地址是比较固定的（Vista ALSR 除外）。

趁着别人休假的时候，抽空在家学习了Brett Moore的《Heaps About Heaps》and《Exploiting Freelist[0] On XP Service Pack 2》。这两篇文章都是绝佳的堆溢出研究文章，如果你对之前shok的《Reliable Windows Heap Exploits》讲解的堆算法和覆盖lookaside方法有一定了解的话，建议看完这两篇文章，然后再去学习《Heap Feng Shui in JavaScript》。

另外值得一提的是Immunity Debugger果然是调试堆溢出最好的调试器，但是实在不习惯使用ollydbg，于是抽空写了类似!heap 和!lookaside 命令for windbg。

覆盖FreeList[

ZDI的blog不错，尤其是MindshaRE一栏，介绍了很多IDA/Windbg的技巧，推荐大家看看。