Adobe Flash过期怎么解决 adobe flash player activex

前言事件1 再见，Flash！
2017年7月25日，Adobe 终于官宣了 Flash 的产品寿命结束计划：
2020年12月31日，终止 Flash Player 的开发支持工作；
2021年1月12日，Flash Player 将不再支持播放 Flash 内容；
同时，该公司“强烈建议”所有用户立即在系统中卸载 Flash Player 。

文章插图

事件2 Flash 停服引起故障，大连车务段昼夜攻关
事件3 家里的网站也被这个flash屏蔽给搞坏了。

文章插图

Flash服务了这么多年，可以说覆盖率相当大，此次停用，等同于埋了一个后门，定时触发“后门攻击”，不同于安全漏洞，它是有意为之。造成的影响不亚于一次供应链攻击。
很好奇，它是如何实现的呢？
分析分析目的 Adobe在pepflashplayer.dll里如何实现对过期使用的封禁？从安全对抗的角度，这个限制策略是否可以绕过？
分析对象名称版本md5
pepflashplayer.dll32.0.0.465AF6D91D849B5AD7BF71CE730EF1AC0E0
分析环境 Win10
Chrome 87.0.4280.141
分析工具 BurpSuit Pro
QQAnalyzer
WinDbg Preview
IDA
010 Editor
分析过程 1、寻找突破口
Adobe在其之前发布的几版Flash软件中埋下了逻辑后门，会在2021年1月12日触发，导致代码在此日期之后拒绝渲染任何更多内容。
这颗逻辑后门是否就在flash.dll里呢？
我们当前的dll位置：C:\Users\vinegar\AppData\Local\Google\Chrome\User Data\PepperFlash\32.0.0.465\pepflashplayer.dll
下载一个老版本v26.0.0.131，替换该pepflashplayer.dll，重启chrome，flash渲染正常，可以断定逻辑后门确实在该dll中。
过期使用封禁的策略是怎样的呢？
猜测两个可能，一个是联网状态，获取服务端限制策略，使本地逻辑开关关闭，另一个是获取本地日期，与限制日期比较。
情况一联网抓包
针对http/https请求，burpsuit未发现可疑请求
针对TCP/UDP请求，QQAnalyzer也未发现可疑请求
也可能看漏了。。。
情况二日期比较
这种情况，又分4种
(1) 当前日期来自本地，限制日期来自服务端
(2) 当前日期来自服务端，限制日期来自本地
(3) 当前日期来自本地，限制日期来自本地
(4) 当前日期来自服务端，限制日期来自服务端[这种类似情况一，但是直接下发一个开关就好了，没必要从server拿两个日期到client比较]
抓包没有发现，直接修改本地时间到2021.1.12之前，重启浏览器，加载成功。
可以确定，flash获取了本地时间，进行比较。
2、定位系统时间获取函数
Win中可以获取系统时间的方式很多，如何确定目标DLL是如何获取的呢?
可以参考导入函数表
IDA加载pepflashplayer.dll，查看导入函数，time关键字过滤

文章插图

这里关注Get相关函数，有了时间获取函数，可以批量下断，动态调试跟踪逻辑了。
3、定位时间校验逻辑
我们知道chrome是多进程运行，包括浏览器，渲染器和插件程序

文章插图

哪一个才是我们要调试的进程呢？
知识补充：Adobe Flash Player ActiveX：适用于7、Vista、XP系统IE内核浏览器zhi、本地视频、游戏客户端NPAPI：适用于FireFox（火狐）、Safari（苹果）、Opera （欧dao朋，12.17版以下）PPAPI：适用于Chromium浏览器、Opera （欧朋，15.00版以上）

以上关于本文的内容，仅作参考！温馨提示：如遇健康、疾病相关的问题，请您及时就医或请专业人士给予相关指导!

「四川龙网」www.sichuanlong.com小编还为您精选了以下内容，希望对您有所帮助：