InternetExplorerのクラッシュの分析を行っています。(オーロラエクスプロイト)。01e2fe80にオブジェクトのvftableがあるとします。オブジェクトがmshtml!CImgElementであることはわかっています。このオブジェクトのサイズをどのように見つけることができますか?オブジェクトmshtml!CImgElementがxバイト大きいことをどのように見つけることができますか?
bp mshtml!CEventObj::GenericGetElement+0x93 ".printf \"esi = [%08x] \",esi;dds poi(esi) l1;gc"
esi = [01e2fe80] 01e2fcd0 7dc59478 mshtml!CImgElement::`vftable'
参照:
http://dreamofareverseengineer.blogspot.de/2011/10/reversing-aurora-vulnerability-cve-2010.html
C ++式の演算子は sizeof(type)、データ型のサイズを返しますが、おそらくCImgElementプライベートデータを含み、mshtmlモジュールにはない必要なプライベート情報(プライベートシンボル)のサイズを表示します。
0:021> ?? sizeof(MSHTML!CImgElement)
*************************************************************************
*** ***
*** ***
*** Your debugger is not using the correct symbols ***
*** ***
*** In order for this command to work properly, your symbol path ***
*** must point to .pdb files that have full type information. ***
*** ***
*** Certain .pdb files (such as the public OS symbols) do not ***
*** contain the required information. Contact the group that ***
*** provided you with these symbols if you need this command to ***
*** work. ***
*** ***
*** Type referenced: MSHTML!CImgElement ***
*** ***
*************************************************************************
Couldn't resolve error at 'MSHTML!CImgElement)'