Adobe Flash过期怎么解决 adobe flash player activex

前言 事件1 再见,Flash!
2017年7月25日,Adobe 终于官宣了 Flash 的产品寿命结束计划:
2020年12月31日,终止 Flash Player 的开发支持工作;
2021年1月12日,Flash Player 将不再支持播放 Flash 内容;
同时,该公司“强烈建议”所有用户立即在系统中卸载 Flash Player 。

Adobe Flash过期怎么解决 adobe flash player activex

文章插图


事件2 Flash 停服引起故障,大连车务段昼夜攻关
事件3 家里的网站也被这个flash屏蔽给搞坏了 。
Adobe Flash过期怎么解决 adobe flash player activex

文章插图


Flash服务了这么多年,可以说覆盖率相当大,此次停用,等同于埋了一个后门,定时触发“后门攻击”,不同于安全漏洞,它是有意为之 。造成的影响不亚于一次供应链攻击 。
很好奇,它是如何实现的呢?
分析 分析目的 Adobe在pepflashplayer.dll里如何实现对过期使用的封禁?从安全对抗的角度,这个限制策略是否可以绕过?
分析对象 名称版本md5
pepflashplayer.dll32.0.0.465AF6D91D849B5AD7BF71CE730EF1AC0E0
分析环境 Win10
Chrome 87.0.4280.141
分析工具 BurpSuit Pro
QQAnalyzer
WinDbg Preview
IDA
010 Editor
分析过程 1、寻找突破口
Adobe在其之前发布的几版Flash软件中埋下了逻辑后门,会在2021年1月12日触发,导致代码在此日期之后拒绝渲染任何更多内容 。
这颗逻辑后门是否就在flash.dll里呢?
我们当前的dll位置:C:\Users\vinegar\AppData\Local\Google\Chrome\User Data\PepperFlash\32.0.0.465\pepflashplayer.dll
下载一个老版本v26.0.0.131,替换该pepflashplayer.dll,重启chrome,flash渲染正常,可以断定逻辑后门确实在该dll中 。
过期使用封禁的策略是怎样的呢?
猜测两个可能,一个是联网状态,获取服务端限制策略,使本地逻辑开关关闭,另一个是获取本地日期,与限制日期比较 。
情况一 联网抓包
针对http/https请求,burpsuit未发现可疑请求
针对TCP/UDP请求,QQAnalyzer也未发现可疑请求
也可能看漏了 。。。
情况二 日期比较
这种情况,又分4种
(1) 当前日期来自本地,限制日期来自服务端
(2) 当前日期来自服务端,限制日期来自本地
(3) 当前日期来自本地,限制日期来自本地
(4) 当前日期来自服务端,限制日期来自服务端[这种类似情况一,但是直接下发一个开关就好了,没必要从server拿两个日期到client比较]
抓包没有发现,直接修改本地时间到2021.1.12之前,重启浏览器,加载成功 。
可以确定,flash获取了本地时间,进行比较 。
2、定位系统时间获取函数
Win中可以获取系统时间的方式很多,如何确定目标DLL是如何获取的呢?
可以参考导入函数表
IDA加载pepflashplayer.dll,查看导入函数,time关键字过滤
Adobe Flash过期怎么解决 adobe flash player activex

文章插图


这里关注Get相关函数,有了时间获取函数,可以批量下断,动态调试跟踪逻辑了 。
3、定位时间校验逻辑
我们知道chrome是多进程运行,包括浏览器,渲染器和插件程序
Adobe Flash过期怎么解决 adobe flash player activex

文章插图



哪一个才是我们要调试的进程呢?
知识补充:Adobe Flash Player ActiveX:适用于7、Vista、XP系统IE内核浏览器zhi、本地视频、游戏客户端NPAPI:适用于FireFox(火狐)、Safari(苹果)、Opera (欧dao朋,12.17版以下)PPAPI:适用于Chromium浏览器、Opera (欧朋,15.00版以上)


以上关于本文的内容,仅作参考!温馨提示:如遇健康、疾病相关的问题,请您及时就医或请专业人士给予相关指导!

「四川龙网」www.sichuanlong.com小编还为您精选了以下内容,希望对您有所帮助: