科普_COM组件劫持原理与实践

最新推荐文章于 2024-10-29 15:49:47 发布
最新推荐文章于 2024-10-29 15:49:47 发布
阅读量1.1k 收藏 4
点赞数
分类专栏: 电脑知识 文章标签: com劫持
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/Dome_/article/details/100623885
版权
本文介绍了COM组件的基本概念、作用以及其与注册表的关系,展示了如何使用Python创建并注册一个COM组件。接着,深入探讨了COM劫持的原理,通过示例说明了如何实现COM组件的劫持,并讨论了可能的安全风险和清除方法。最后,提出了COM劫持的思路扩展,包括潜在的攻击手段。
摘要由CSDN通过智能技术生成

0x00 前言

在术的道路上,从来都是独善其行,如能结余同行,自当求之不得。

玄幻小说的世界结构,放之现代也是同理,望成之所成,念之所念。

0x01 什么是COM

什么是COM,说白了,就是一堆功能相关的interface,它是某种语言向另一种语言暴露功能的最大单位。

COMcomponent(COM组件)是微软公司为了计算机工业的软件生产更加符合人类的行为方式开发的一种新的软件开发技术。

在COM构架下,人们可以开发出各种各样的功能专一的组件,然后将它们按照需要组合起来,构成复杂的应用系统。

由此带来的好处是多方面的:可以将系统中的组件用新的替换掉,以便随时进行系统的升级和定制;可以在多个应用系统中重复利用同一个组件;可以方便的将应用系统扩展到网络环境下;COM与语言,平台无关的特性使所有的程序员均可充分发挥自己的才智与专长编写组件模块。

COM的最核心的思想,说白了就是要做个跨语言的 “class” “object” “function” 。

0x02 它解决了什么问题

每一种技术的出现,都是为了解决另一个问题而诞生的。

1、代码共用问题

2、版本问题

3、调用其它软件的功能

4、所有代码均可以面向对象

从以上四点可以看出,COM技术可以说是非常强大的一门技术,而且Windows编程也是会用到该技术。

0x03 什么是CLSID

当初微软设计com规范的时候,有两种选择来保证用户的设计的com组件可以全球唯一:

第一种是采用和Internet地址一样的管理方式,成立一个管理机构,用户如果想开发一个COM组件的时候需要向该机构提出申请,并交一定的费用。

第二种是发明一种算法,每次都能产生一个全球唯一的COM组件标识符。

第一种方法,用户使用起来太不方便,微软采用第二种方法,并发明了一种算法,这种算法用GUID(Globally Unique Identifiers)来标识COM组件,GUID是一个128位长的数字,一般用16进制表示。算法的核心思想是结合机器的网卡、当地时间、一个随即数来生成GUID。从理论上讲,如果一台机器每秒产生10000000个GUID,则可以保证(概率意义上)3240年不重复。

GUID的例子: 54BF6567–1007–11D1–B0AA–444553540000

HKEY_CLASSES_ROOT\CLSID{002B9E07-2E10-438F-AF1E-40E6A96F1EE4}

在微软的COM中GUID和UUID、CLSID、IID是一回事,只不过各自代表的意义不同:

  • UUID : 代表COM

  • CLSID : 代表COM组件中的类

  • IID :代表COM组件中的接口

在程序中,实际对象数据对应的处理程序路径string往往不尽相同,比如有的放C盘有的D盘,微软想出了一个解决方案,那就是不使用直接的路径表示方法,而使用一个叫 CLSID的方式间接描述这些对象数据的处理程序路径。

CLSID 其实就是一个号码,CLSID 的结构定义如下:

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17

typedef struct _GUID {
 DWORD Data1; // 随机数 
 WORD Data2; // 和时间相关 
 WORD Data3; // 和时间相关 
 BYTE Data4[8]; // 和网卡MAC相关 
} GUID;

typedef GUID CLSID;  // 组件ID
typedef GUID IID;    // 接口ID 
\#define REFCLSID const CLSID &

// 常见的声明和赋值方法
CLSID CLSID_Excel = {0x00024500,0x0000,0x0000,{0xC0,0x00,0x00,0x00,0x00,0x00,0x00,0x46}};
struct __declspec(uuid("00024500-0000-0000-C000-000000000046")) CLSID_Excel;
class DECLSPEC_UUID("00024500-0000-0000-C000-000000000046") CLSID_Excel;
// 注册表中的表示方法
{00024500-0000-0000-C000-000000000046}

下面,我们用python生成一个CLSID:

1
2
3
4
5
6
7

C:\Users\shiya
最低0.47元/天 解锁文章
企业网络安全最佳实践指南(二)
2301_81250923的博客
12-11 2476
首先是网络安全管理部分。正所谓“三分技术、七分管理”,且不论这“三”和“七”的科学合理性,单从字面上就可以看出管理的重要性。管理是脑,技术是手,脑支配手,手配合脑。所以先将网络安全管理相关内容进行呈现。网络安全管理体系侧重于从管理维度,在网络安全相关法律、法规控制下,制定网络安全整体的战略规划,对网络安全实际工作进行战略指导。配合战略落地,在管理方面的实际工作主要有标准化工作流程、风险管控、应急管理、网络安全重保、安全培训以及计划管理、监督实施等内容。
Service Mesh · Istio · 以实践入门
阿里巴巴中间件
02-20 1092
Photo @ Jez Timms文 | 三辰前言本文是笔者在学习官方文档、相关博客文章和实践过程中,整理了一些知识概念和自己的思考,主要在探索 lstio 的实际应用场景, Sid...
COM组件原理及应用
10-24
本文以诙谐幽默的语言讲述了COM组件原理及应用方式。看过之后,你一定会惊呼:真乃神作也!!!
com组件劫持_一种劫持COM服务器并绕过微软反恶意软件扫描接口(AMSI)的方法...
weixin_39660922的博客
12-29 290
Microsoft的反恶意软件扫描接口(AMSI)在Windows 10中被引入,作为标准接口,它可以让AV引擎将签名应用于内存和磁盘上的缓冲区。这使得AV产品能够在脚本解释之前“hook”,这意味着任何经过混淆或加密的PS程序都经过了解密程序的解密。你可以在这里和这里阅读有关AMSI的更多信息。这篇文章将介绍一种通过劫持COM服务器来绕过AMSI的方式,并分析Microsoft是如何在build...
深入掌握COM组件设计应用
最新发布
weixin_42596011的博客
10-29 1053
本文还有配套的精品资源,点击获取 简介:COMComponent Object Model)组件对象模型是微软开发的一种软件组件技术,它实现了不同程序间代码和资源的共享。本资料包“COM组件设计应用.rar”旨在帮助IT开发者深刻理解COM组件的核心概念、设计原则、应用实践,并掌握关键的技术要点,如注册和反注册、IDispatch接口、聚合、错误处理以及IUnknown...
COM对象劫持
weixin_55030700的博客
03-13 1899
以下是一个示例规则,例如使用修饰符。规则会生成一些噪声,因此建议通过排除某些常见的家族(如Berbew)来进行优化。
COM组件原理
wh_2396的博客
08-30 2909
COM中,接口就是一个象类,每个接口有一个接口ID(uuid)。一个COM组件通常是连续继承下来的类,比如 IUNknow ->IDispath->IXX->CXX。这就形成了一个COM组件,当然组件一般是一个钻石继承的样子,这里为了简化原理把他们当成一个串形继承下来。 每个COM组件都有一个CLSID(uuid),这个CLSID是注册的时候写进注册表的。这样就可以通过查询注册表中的CLSID
com组件劫持_网站劫持 - ascertain - 博客园
weixin_42314399的博客
12-29 276
最近网站部分域名被劫持,刚开始以为DNS原因,经过曲折故障排查,最终确定被劫持的部分域名未使用https导致网站劫持,下为测试脚本@echo offEcho *******************************************************************************Echo Collect Machine Information…...
【Android安全攻防秘籍】:一文读懂Activity_Hijack,掌握检测预防技巧
随着智能手机的普及,Android平台的安全问题日益受到关注。Activity_Hijack作为Android应用安全中的一种常见攻击方式,可以对用户数据安全和隐私造成严重威胁。本文从Activity_Hijack的基础理论讲起,分析了其成因...
羽毛球预约系统后端开发:掌握业务逻辑处理服务端技术的最佳实践
[羽毛球预约系统后端开发:掌握业务逻辑处理服务端技术的最佳实践](https://s3.amazonaws.com/kinlane-productions2/api-evangelist/swagger/swagger-interactive-documentation-1.png) # 摘要 随着体育活动的...
COM对象劫持,深入讲解网络安全
m0_60635321的博客
04-05 752
以下是一个示例规则,例如使用vt.behaviour.registry_keys_set修饰符。规则会生成一些噪声,因此建议通过排除某些常见的家族(如Berbew)来进行优化。meta:condition:自我介绍一下,小编13年上海交大毕业,曾经在小公司待过,也去过华为、OPPO等大厂,18年进入阿里一直到现在。深知大多数网络安全工程师,想要提升技能,往往是自己摸索成长,但自己不成体系的自学效果低效又漫长,而且极易碰到天花板技术停滞不前!
COM组件原理及应用(附源码)
09-02
COM组件原理及应用,为刚刚接触COM的朋友提供了一点学习的参考,不是很完善,但是足以学习之用~!
com 组件原理应用源码
06-02
潘爱民 的 com组件原理应用书籍配套的
COM原理组件开发
01-11
COM的技术的发展历程及相关概念 构件对象模型COM/DCOM 基于COM构件的开发
COM原理应用
09-26
书本旨在引入COM组件原理、应用编写自己的COM组件COM组件是一种编码规则,该规则可以做到在二进制层面的代码共享,可以为多种编程语言提供服务。
COM原理和应用】1、COM原理和概述
Workshop of Wenjie.Yin
01-31 1368
【我们知道,Directshow整体上是构建在COM之上的,也可以认为是COM在视频、流媒体领域的一种特定的应用和封装。如果只是为了开发High level的directshow应用,COM方面的只是其实并非必须;但如果涉及到filter层的自定义开发,那么研究COM的概念和基本原理是很有必要的。现在开始我们将试图学习COM的内容,以求更深入地理解Directshow的知识。】 1、COM的起源
打开文件夹就运行?COM劫持利用姿势
killcoco的小窝
04-14 1749
打开文件夹就能运行指定的程序?这不是天方夜谭,而是在现实世界中确实存在的。利用本文探讨的COM劫持技术,可以轻松实现出打开文件夹就运行指定代码的功能。对于COM劫持技术,国内很少有资料进行原理阐述,本文结合自身分析经验对COM劫持技术进行归纳总结。同时,希望各大安全厂商针对此类利用做好防护,保护用户信息安全。 前言 所谓“骂人先骂娘,擒贼先擒王”,首先给出读者最最关心的劫持文件夹的利用
[如何简单的理解com组件]
那山,那水,那驴
06-09 1159
  很多的初学者会对com组件设计感到很迷茫,其实可以把理解简单化些。当然,你深入的理解它的设计原理和调用机制,还是有些复杂的。 但这些都有人做了,一般来说,我们不必过度关注。  先来看看,我们一般是怎么设计程序的。  首先定义一个接口(在自己的exe程序中都不怎么定义接口了,一来就一个类,呵呵,除非模块化,而这个模块以后可能会有变化): //这个接口有一个唯一标识的号码:518(我要
COM劫持 BypassUAC
weixin_45682070的博客
11-21 941
什么是comcomComponent Object Model(组件对象模型)的缩写 come是微软公司未来计算机工业的软件生产更符合人类的行为方式开发的一种新的软件开发技术。在com架构下,人们可以开发各种各样的功能专一的组件, 然后将他们安装需要组合起来,构成复杂的应用系统 这里不得不说一下CLSID CLSID(Class Identifier)全局唯一标识符,CLSID是指windows系统对于不同的应用程序,文件类型,OLE对象,特殊文件夹以及各种系组件分配的一个唯一表示他的ID代码, 用来
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值