简单判断是否是cve-2019-0708攻击

今早一起床，发现cve-2019-0708 exp已经公开。但是作为安服人员，攻击是一回事，应急又是另一大回事。这里就简单来判断受害者机器是否受到了cve-2019-0708攻击。

因为cve-2019-0708这类是溢出类攻击，所以跟ms17-010、ms12-020一样，有一定的几率把机器打蓝屏，这里以蓝屏文件为例作为分析。

首先安装windbg，添加符号表

set _NT_SYMBOL_PATH=srv*DownstreamStore*https://msdl.microsoft.com/download/symbols

打开蓝屏文件，我的win7默认在

C:\Windows\Minidump

首先我利用cve-2019-0708把我机器打蓝屏，打开该蓝屏dmp文件，关注debug session time、system uptime，可以看到该机器运行了4分钟，在10:00左右出现蓝屏事件：

输入

!analyze -v

看到蓝屏代码

蓝屏代码造成原因：

关注PROCESS_NAME，代表导致系统蓝屏的进程：

关注STACK_TEXT，里面有蓝屏出错指令等内容

FOLLOWUP_IP，错误指令位置

查看出错驱动，rdpwd.sys，可以通过网上搜索对应漏洞分析文章，查看对用的驱动是否受影响

lmvm RDPWD

这是ms12-020打的

这是ms17-010打的

可见不同的攻击手法得到的蓝屏文件结果不一样的，因此可以通过分析蓝屏文件来判断是否受到了哪种攻击。