简单COM恶意组件分析

最新推荐文章于 2022-06-30 13:35:18 发布
最新推荐文章于 2022-06-30 13:35:18 发布
阅读量576 收藏
点赞数
分类专栏: 病毒分析
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/LoopherBear/article/details/106054225
版权
本文介绍了COM组件的概念,分析了其基本结构和初始化过程,重点关注类型标识符和接口标识符。通过一个恶意样本的详细分析,展示了如何追踪COM组件的调用,包括注册表查询、接口使用和网络请求。在总结中,强调了在分析调用COM组件的程序时的关键步骤和技巧。
摘要由CSDN通过智能技术生成

简单COM恶意组件分析

什么是COM组件

COM组件是微软的一个接口标注,全称是组件对象模型(Component Obejct Model),它可以使不同的软件组件在不知道其他组件代码的接口规范时,进行相互间的调用。COM可以支持任何编程语言,因此被设计成了一个可复用的软件组件。

COM组件的基本分析

每个程序在调用COM组件之前,都需要进行一系列的初始化工作,常用的函数包括了

OleInitialize或者CoInitializeEx函数进行一个组件的初始化,之后才能对响应的COM组件使用。

在分析一个COM组件的样本的时候,需要清楚每个COM组件初始化的一些参数,需要关注的是

CLSID:类型标识符

IID 接口标识符

COM通过上述两个标识来访问相关的组件。

当一个程序调用了CoCreateInstance函数式,操作系统会使用注册表中的注册信息来判断请求中的riidrclsid这两个字段的值,通常会查询如下注册表

HKLM\SOFTWARE\Classes\CLSID
HKCU\SOFTWARE\Classes\CLSID

来进行查找要使用的COM服务器的信息。

如果COM组件是一个应用程序则CLSID一个LocalService,如果COM组价你被安装为了一个DLL用来被程序加载,则对应的CLSID是一个InprocServer

最低0.47元/天 解锁文章
LoopherBear
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
[系统安全] 五十八.恶意软件分析 (10)利用火绒安全实现恶意样本家族批量标注(含学术探讨)
杨秀璋的专栏
04-26 359
前文介绍了利用MS Defender实现恶意样本家族批量标注。这篇文章将讲解如何利用火绒实现恶意样本家族批量标注,在通过VS、VT采集批量样本后,通常需要样本家族标注,如何准确识别家族类别至关重要,其将为后续的恶意软件家族分类或溯源提供帮助。在此感谢李师弟热心的指导和帮助,基础性基础,希望您喜欢,且看且珍惜。
[系统安全] 五十五.恶意软件分析 (7)IDA Python基础用法及CFG控制流图提取详解[上]
最新发布
杨秀璋的专栏
01-22 1192
前文介绍了软件来源分析,结合网络攻击中常见的判断方法,利用Python调用扩展包进行区域溯源。这篇文章将开启IDA Python学习,首先介绍IDA Python配置过程和基础用法,然后尝试地区恶意软件的控制流图(CFG),再为后续的恶意软件家族分类或溯源提供帮助。由于作者是初学者,因此会遇到很多问题,欢迎各位大佬和读者指导。基础性基础,且看且珍惜。
COM+Analyzer(COM组件分析器)含源代码
01-23
COM+Analyzer 1.0 本源代码的主要功能是分析COM组件中的方法和属性,源代码中对查询功能进行了类封装,可用于开发DLL或集成到其它项目中使用。 使用方法: 将DLL组件文件拖放到“组件文件列表”,单击想要查看的组件,树形列表中即生成各个类的属性和方法信息,双击方法或属性可进行复制。 在自主开发应用组件时非常有用,可以不用再看分析源代码查参数和函数了。下一步将开发更高级的功能以适应不同的需求。 Programming designed by olivetchan E-Mail:olivetchan@qq.com 2010-01-22
COM技术初探(一)
flashsj的专栏
03-08 1516
   一、COM是一个更好的C++1、COM 是什么Don Box 说"COM IS LOVE"。COM 的全称是 Component Object Model 组件对象模型。 2、从 C++ 到 DLL 再到 COM2.1 C++如某一软件厂商发布一个类库(CMath四则运算),此时类库的可执行代码将成为客户应用中不可分割的一部分。假设此类库的所产生的机器码在目标可执行文件中占有4MB的
COM三大接口:IUnknown、IClassFactory、IDispatch
sadamoo的专栏
04-22 708
(1)COM组件有三个最基本的接口类,分别是IUnknown、IClassFactory、IDispatch。  COM规范规定任何组件、任何接口都必须从IUnknown继承,IUnknown包含三个函数,分别是 QueryInterface、AddRef、Release。这三个函数是无比重要的,而且它们的排列顺序也是不可改变的。QueryInterface用于查询组件实现的其它接口,说白了
逆向COM
Minsky的专栏
11-30 1921
逆向COM <br />转自:http://dododododo.blog.sohu.com/4524854.html<br /> 分类: Programing2006-06-14 17:54<br />这里以com写的dll为例,介绍一下com的逆向过程.假设我们的dll实现了两个接口Iinterface1和Iinterface2,其中Iinterface1有5个方法;Iinterface2有一个方法.<br />前提知识:(熟悉com结构的话,可以跳过这一部分)<br />1,com的实质是接口与接口的
零基础学习COM之IUnknown抽象接口介绍
系统运维
11-24 392
零基础学习COM之IUnknown抽象接口介绍 传统的软件由单个的二进制文件组成。组件将单个二进制文件分割为多个独立的部分,每个部分都被称为一个组件。采用组件技术后,在需要对程序进行修改和改进时,只需替换某个组件模块即可。 在开发程序时可以从组件库中选择合适的组件快速构造出满足需要的应用程序。这大大提高了程序的可维护性和开发效率。 组件化程序设计思想是将复杂的应用程序被设...
恶意代码分析实战 Lab10
baidu_41108490的博客
05-22 2098
lab10-011简单的静态分析少不了,注意到恶意程序把自身伪装成GUI程序,可以用resource hacker看看资源,然后用depends看看函数导入两个库kernel32.dll和ADVAPI32.dll这是服务相关库,发现还有一个start的导出函数,然后还有一个需要关注字符串再看看.sys文件,这是很明显会操作注册表的相关操作,不管从函数还是字符串都能看出这一点,而且函数防火墙相关的注...
学习笔记-第一章 恶意代码分析实战
Yes_butter的博客
03-01 1332
第一章 从可执行文件提取有用信息的多种方法,包括以下技术: 1.使用反病毒软件来确认程序样本的恶意性; 2.使用哈希来识别恶意代码; 3.从文件的字符串列表,函数和文件头信息中发掘有用信息。 字符串包括 ASCII 和Unicode俩种编码 加壳 混淆之后的程序字符串可供打印的字符串会减少。 链接库与函数 通过导入表可以帮助我们了解链接那些代码库 1.6.2 常见的dll程序 K...
IDA_逆向中_如何识别COM组件
09-21
例如当一个API调用是由下列事项发生。 在一个应用程序或脚本使用一个API调用,如: Set objWindowsInstaller = CreateObject("WindowsInstaller.Installer") 操作系统将首先在Windows注册表的ProgID查找,然后交叉引用的ProgID及其相关的classid将在一inprocserver32值将包含路径中包含COM类实际又看DLL。
COM原理解析(1)
dayenglish的专栏
07-11 1009
IDL文件时COM技术实现的一个关键,在IDL当中定义接口的实现。每一个接口包含两个部分,第一个部分是用方括号括起来的属性。在所有的属性里面比较重要的是接口的IID,这是唯一标识COM接口的标识符,紧接着接口属性的定义,是整个接口的定义,所有的借口都是从IUnknown继承而来的——这样才能利用IUnknown的一些已经定义的特性,典型的定义如下所示: [ object, uuid(C
逆向分析使用COM组件对象模型的代码
hambaga的博客
02-24 709
恶意代码分析实战》第七章实验7-2的程序使用了COM进行联网通信。首先把书上第七章关于COM介绍的原文贴出来: 总结一下,就是说恶意程序有时会通过另一个服务程序提供的接口函数实现一些操作,书上给的例子就是调用IE浏览器的 IWebBrowser2 接口的 IWebBrowser2Vtbl.Navigate 函数实现访问WEB地址。 逆向分析实验7-2,我们会看到如下代码(已注释): HRESULT CoCreateInstance( REFCLSID rclsid, LPUNKNOWN
PyPI 官方仓库遭遇挖矿恶意组件投毒
OSCS开源安全社区
06-30 1073
2022 年 06 月 27 日,OSCS 监测发现 PyPI 官方仓库被 ivanpoopoo 上传了 arduino、beautfulsoup、randam、pilloe、pilow、selemium 等恶意组件包。引用这些恶意组件包后会在用户电脑上下载脚本进行挖矿,该事件较为,OSCS 官方提醒广大开发者关注。PIP 是 Python 包管理工具,提供了对第三方 Python 包的查找、下载、安装、卸载等功能。攻击者 ivanpoopoo 通过模仿 pillow, selenium 等软件包进行钓鱼.
com逆向方法找函数
jmp esp
02-26 1780
<br /><br />这里以com写的dll为例,介绍一下com的逆向过程.假设我们的dll实现了两个接口Iinterface1和Iinterface2,其中Iinterface1有5个方法;Iinterface2有一个方法.<br />前提知识:(熟悉com结构的话,可以跳过这一部分)<br />1,com的实质是接口与接口的实现分离.一个com组件可以实现多个接口,每一个接口包含有多个方法.(方法就是函数).<br />2,com从整体上看,分为com客户端,com库,com组件(也就是服务器)<br
com组件 的劫持_偷天换日:网络劫持,网页js被伪装替换。
weixin_42405852的博客
01-12 130
偷天换日3月12号石家庄一个客户(后面简称乙方)有几家门店,平台收银(web)有一些功能无法正常使用,平台有上千家门店在使用,到目前为止别的省份都没有此问题。远程协助发现,js日期控件无法正常调用,报js错误。日期插件用的是my97datepicker,用了这么久也没见出过什么问题。浏览器查看页面加载的js,发现页面本身加载的js中有重复的(随机重复),一个是common.js还有个common....
com组件 的劫持_网站劫持 - ascertain - 博客园
weixin_42314399的博客
12-29 255
最近网站部分域名被劫持,刚开始以为DNS原因,经过曲折故障排查,最终确定被劫持的部分域名未使用https导致网站劫持,下为测试脚本@echo offEcho *******************************************************************************Echo Collect Machine Information…...
浅谈COM组件
weixin_44201830的博客
04-09 1418
1、COM组件COM接口 COM组件可以用C++的抽象基类来定义COM接口,对于COM组件来说,必须继承的最基本的COM接口:IUnknow,这个接口内部有三个函数: QueryInterface AddDef Release interface IUnknow { virtual HRESULT QueryInterface(const IID &iid,void **ppv)= 0; virtual ULONG AddDef() = 0; virtual ULONG Release(
恶意代码分析技术与工具实战指南
恶意代码分析技术详解 - 郑辉,清华大学网络中心,CERNET Computer Emergency Response Team,探讨分析环境准备、代码分析(静态与动态)、行为特征分析以及相关工具的使用。” 在网络安全领域,恶意代码分析是一...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值