开通博客赚积分
发布资源赚积分
分类

源码开发语言/平台
当前位置:首页 > 源码/资料 > Internet/网络编程 > PlugIns编程 > 查看源码
Olly_heap_vis.txt
资源名称:OllyPlugins.zip [点击查看]
上传用户:haohao_zhu
上传日期:2014-08-15
资源大小:2446k
文件大小:3k
源码类别:

PlugIns编程

开发平台:

Visual C++

Olly_heap_vis.txt:源码内容
  1. Olly Heap Vis
  2. Copyright (C) 2005 Pedram Amini
  4. You may have noticed the ghosted 'Heap' option under the 'View' menu in
  5. OllyDBG. The feature is available only under Windows 95 based OSes and
  6. is supposed to display a list of allocated memory blocks. The Olly Heap
  7. Vis plug-in was written to provide this functionality and more on all
  8. modern Windows OSes such as Windows 2000, XP and 2003.
  10. The plug-in can only be run when the process is in a suspended state. It
  11. can be launched from the plug-in menu as well as the CPU and dump
  12. right-click context menus. The following menu options are available:
  14.     - View Heaps
  15.     - Search Heaps
  16.     - Jump to Heap Chunk
  17.     - Create Heap Visualization
  19. 'View Heaps' will generate a native OllyDBG window table listing the
  20. allocated heap blocks for the debuggee. Individual blocks can be double-
  21. clicked to view the relevant memory. Eventually, I would like to write a
  22. custom SPECDUMP routine to display the actual heap chunk structure
  23. information in a pleasant manner.
  25. The 'Search Heaps' option can be accessed from the specified menus or
  26. alternatively, by pressing the hotkey 's' from within the heap list. A
  27. dialog prompting for a search sequence is presented allowing for ASCII,
  28. Unicode or hex byte sequences to be specified. The search is conducted
  29. over all listed heaps, matching blocks are listed in the log window.
  30. This capability is only accessible after 'View Heaps' has generated a
  31. list.
  33. The 'Jump to Heap Chunk' option can be accessed from the specified menus
  34. or alternatively, by pressing the hotkey 'j' from within the heap list.
  35. A dialog prompting for an address is presented allowing for hexadecimal,
  36. signed or unsigned values to be specified. The search is conducted
  37. over all listed heaps. If a heap chunk exists at the specified address,
  38. the entire heap chunk will be displayed.
  40. The 'Create Heap Visualization' feature will generate a Graphviz graph
  41. description suitable for rendering in DOT layout. A sample graph
  42. generated from the startup heap state of Internet Explorer is available
  43. in the 'Documentation' directory as 'iexplore_start_state.png'. Graphs
  44. show the free lists and the heap chunks by size.
  46. A screenshot excerpt of Heap Vis in action is also available in the
  47. 'Documentation' directory as 'skylined_ie_heap_fill.gif'. The screenshot
  48. demonstrates the interesting method Berend-Jan Wever (SkyLined) uses in
  49. the exploitation of heap-based Internet Explorer vulnerability. Details
  50. regarding the vulnerability can be found in MS05-020 or:
  52.     www.idefense.com/application/poi/display?id=228&type=vulnerabilities
  54. Currently, the plug-in can not handle the listing or visualizing of
  55. "broken" heaps. This is due to the reliance on the Heap32xxx() API. In
  56. the future support for this may be added. Also on the todo list is
  57. adding a 'cancel' feature to heap listing as some applications with
  58. numerous heaps can take a long time to enumerate.
  60. If you have any questions, comments or feature requests feel free to
  61. drop me a line.