简单COM恶意组件分析

最新推荐文章于 2023-08-03 20:59:03 发布
VIP文章 最新推荐文章于 2023-08-03 20:59:03 发布
阅读量536 收藏
点赞数
分类专栏: 病毒分析
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/loopherbear/article/details/106054225
版权

简单COM恶意组件分析

什么是COM组件

COM组件是微软的一个接口标注,全称是组件对象模型(Component Obejct Model),它可以使不同的软件组件在不知道其他组件代码的接口规范时,进行相互间的调用。COM可以支持任何编程语言,因此被设计成了一个可复用的软件组件。

COM组件的基本分析

每个程序在调用COM组件之前,都需要进行一系列的初始化工作,常用的函数包括了

OleInitialize或者CoInitializeEx函数进行一个组件的初始化,之后才能对响应的COM组件使用。

在分析一个COM组件的样本的时候,需要清楚每个COM组件初始化的一些参数,需要关注的是

CLSID:类型标识符

IID 接口标识符

COM通过上述两个标识来访问相关的组件。

当一个程序调用了CoCreateInstance函数式,操作系统会使用注册表中的注册信息来判断请求中的riidrclsid这两个字段的值,通常会查询如下注册表

HKLM\SOFTWARE\Classes\CLSID
HKCU\SOFTWARE\Classes\CLSID

来进行查找要使用的COM服务器的信息。

如果COM组件是一个应用程序则CLSID一个LocalService,如果COM组价你被安装为了一个DLL用来被程序加载,则对应的CLSID是一个InprocServer

最低0.47元/天 解锁文章
LoopherBear
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
C语言头文件 RCLSID
06-13
C语言头文件 RCLSIDC语言头文件 RCLSIDC语言头文件 RCLSIDC语言头文件 RCLSIDC语言头文件 RCLSIDC语言头文件 RCLSIDC语言头文件 RCLSIDC语言头文件 RCLSIDC语言头文件 RCLSIDC语言头文件 RCLSIDC语言头文件 RCLSIDC语言头文件 RCLSIDC语言头文件 RCLSIDC语言头文件 RCLSIDC语言头文件 RCLSIDC语言头文件 RCLSIDC语言头文件 RCLSIDC语言头文件 RCLSIDC语言头文件 RCLSIDC语言头文件 RCLSIDC语言头文件 RCLSIDC语言头文件 RCLSIDC语言头文件 RCLSIDC语言头文件 RCLSIDC语言头文件 RCLSIDC语言头文件 RCLSIDC语言头文件 RCLSIDC语言头文件 RCLSIDC语言头文件 RCLSIDC语言头文件 RCLSIDC语言头文件 RCLSIDC语言头文件 RCLSIDC语言头文件 RCLSIDC语言头文件 RCLSIDC语言头文件 RCLSIDC语言头文件 RCLSIDC语言头文件 RCLSIDC语言头文件 RCLSIDC语言头文件
2022年最佳的9种逆向工程工具[持续更新]
热门推荐
Meta.Qing的博客
08-04 1万+
逆向是复杂的。然而,软件开发人员经常在面临一项具有挑战性的任务时转向反向工程:增强软件安全性、使软件与第三方组件兼容、维护遗留代码,等等。在本文中,我们将描述我们的软件逆向程序在工作中所依赖的主要工具,并展示如何使用这些工具的实际示例。本文对于熟悉汇编语言和网络交互原则的读者以及具有使用API函数进行Windows编程的经验的读者非常有用。.........
逆向COM
Minsky的专栏
11-30 1898
逆向COM <br />转自:http://dododododo.blog.sohu.com/4524854.html<br /> 分类: Programing2006-06-14 17:54<br />这里以com写的dll为例,介绍一下com的逆向过程.假设我们的dll实现了两个接口Iinterface1和Iinterface2,其中Iinterface1有5个方法;Iinterface2有一个方法.<br />前提知识:(熟悉com结构的话,可以跳过这一部分)<br />1,com的实质是接口与接口的
浅谈COM组件
weixin_44201830的博客
04-09 1347
1、COM组件COM接口 COM组件可以用C++的抽象基类来定义COM接口,对于COM组件来说,必须继承的最基本的COM接口:IUnknow,这个接口内部有三个函数: QueryInterface AddDef Release interface IUnknow { virtual HRESULT QueryInterface(const IID &iid,void **ppv)= 0; virtual ULONG AddDef() = 0; virtual ULONG Release(
COM组件开发知识重点——COM原理与应用篇(一)
guoduhua的专栏
04-08 1389
第1章 概述     COM组件可以是一个Dll(进程内组件),也可以是一个EXE(进程外组件)。进程内组件就是组件和客户程序在同一进程内,进程外组件组件和客户程序分别有自己的进程空间。     一个COM组件可以包含多个COM对象,一个COM对象又可以有多个接口。   第2章 COM对象和接口 2.1 CLSIDIID     对于COM对象来说,接口是它与外界进行交互的唯一途径
c# COM组件原理
nbspzs的专栏
08-03 1059
这个问题通常发生在多线程环境中,当某个线程在执行输入同步调用(input synchronous call)时,尝试向其他上下文的COM组件发送传出的调用(outgoing call),但目标上下文要么已经断开连接,要么正忙于其他操作,无法处理此转换。6. 咨询相关资源:如果问题持续存在,可以向.NET Framework或相关组件的支持团队寻求帮助,可能会提供更具体的解决方案或修复措施。5. 尝试使用单线程执行:如果可能的话,尝试将涉及COM对象交互的代码在单线程中执行,这样可以避免多线程带来的复杂性。
COM技术7
Lance的专栏
01-16 1555
      回忆一下COM技术5中我们创建组件的方法,客户以DLL的名称做为参数.装载此DLL并调用其中所输出的函数CreateInstance.这个函数可以建立一个组件的实例并给客户返回一个IUnknown接口的指针.但是组件对我们来说仍是不透明的,我们需要知道实现组件DLL的位置.但是COM组件实际上可以透明地在网络上(或本地)被重新分配位置,而不会影响本地客户程序.所以,由客户端来调用D
恶意代码分析实战课后练习题
11-04
恶意代码分析实战课后练习题
恶意代码分析实战》官方实验样本
01-13
学习恶意代码分析,从官方下载的《恶意代码分析实战》课后实验样本。
恶意代码分析用基本工具
01-10
包括有PEview、procexp、strings.exe、Tcpview.exe、WinMD5.exe、Dbgview.exe、PEID、Resoure_Hacker、DEPENDS.exe等工具,无需安装,直接使用
恶意ChatGPT应用程序分析报告
最新发布
12-18
恶意代码分析 恶意ChatGPT应用程序分析 MD5: 60ebaeff6b1c23d45a19fd7682f7763f
恶意代码分析实战
04-11
恶意代码分析实战 pdf
使用x64dbg调试dll程序
LoopherBear的博客
05-26 6710
使用x64dbg调试dll程序 这篇笔记是根据Lab16使用x64dbg调试带参数程序新增加的,记录了如何调试一个dll文件。 在很多时候一些程序会将核心功能放在dll文件内来完成,这样避免程序被查杀或者被逆向分析,主要手段是通过LoadLibrayA函数来加载一个dll文件,同时这个dll的DllMain函数会被调用以此来达到执行dll的程序。 在Windows上要独立执行一个dll程序,那么需要用到rundl32.exe来完成,因此可以借助这个程序来达到调试dll的目的。 分析dll程序的启动方式 这个
Lab16使用x64dbg调试带参数程序
LoopherBear的博客
05-26 3485
Lab16使用x64dbg调试带参数程序 在分析一些样本的时候,无论是.exe / .dll程序,或多或少都需要给程序添加参数。尤其是通过命令行给参数使得程序运行起来的。这篇笔记主要记录的两个调试方式 调试带参数启动的.exe程序 调试带参数启动的'.dll'程序 看下一篇文章 今天分析的程序是来自《恶意代码分析实战》的第十六章实验,第二个程序是一个crackme的程序,本来这个样本的重点是关注反调试部分的知识点,笔者在分析的时候发现这个有一个知识点–如何使用x64dbg调试带参数启动的程序,因此这里就
Windows7 64bit安装IDA pro 7.0插件整理
LoopherBear的博客
05-21 1847
Windows7 64bit安装IDA pro 7.0插件整理 对于常用的逆向工具ida,很多时候使用插件能加速分析的速度,例如一些算法的标识,两个样本存在的关联性,yara的使用等,这个笔记是整理一些在日常分析中使用的插件安装过程和使用的方法,虽然比较简单,入门基本够用了。 FindCrypt3 标识一些常用算法的插件,地址(https://github.com/polymorf/findcrypt-yara) 安装 安装python2.7.11 安装idasdk7.0到ida安装目录 将sdk复制到安
Pe文件静态分析
LoopherBear的博客
05-02 1507
Pe文件静态分析能够获取到哪些信息 在分析一个样本之前,通常会需要静态分析,如何从PE文件格式中获取到需要的信息就很重要。只有在静态分析时对文件的一些布局信息有了理解,例如是是否被加壳了(虽然可以用查壳工具,但是还是需要知道一些原理),文件时图形化界面(GUI)还是命令执行程序(CUI)等信息的提取和掌握,分析时才会更清晰要做什么,做到心中有数。下面是在阅读《恶意软件分析实战》第一章中的一些整理笔...
恶意软件分析基础-PE文件简单分析记录
LoopherBear的博客
05-11 1006
PE文件简单分析记录 通常在分析一些样本时会遇到如下程序 Handle hImageBase=LoadLibraryA("Kernel32.dll"); void* aAddr =hImageBase+0x3c; void* bAddr=aAddr++0x78; 的调用,为了能更理解在运行时的解析操作,使用010Editor进行分析了exe文件。 DosHeader 这个是整个PE文件的头部,通常加载一个exe或者dll获取的base地址就是这个头 以MZ标志开头,表示这个一个PE文件。如果要读取Ri
恶意样本脱壳-GandCrab2.0 脱壳笔记分析记录
LoopherBear的博客
05-20 725
GandCrab2.0 脱壳笔记分析记录 有人在2018年的时候就分析过了恶意样本分析,相关资料可以查看参考部分。由于里边有很多可以学习和总结的脱壳技术,因此重新分析这个样本,这篇文章暂时不做加密和勒索实际功能分析,如果要看分析样本形成勒索的过程以及相关分析报告,可以直接跳到参考部分,这篇文章主要关注的是脱壳相关的一些技术细节的分析,由于文章是我个人的一些分析和总结,因此会有一些不足,比较趋向于像我这样刚接触恶意软件分析,由于很多样本在分析前需要脱壳之后才能看到核心功能,因此这里重点关注脱壳过程,主要内容如
恶意代码分析实战 pdf mobi
08-30
恶意代码分析实战是一本介绍如何分析和应对恶意代码的实用指南。这本书提供了基础知识和实战经验,帮助读者了解和应对各种恶意代码的攻击。这本书的目标是帮助安全专家和研究人员提高对恶意代码分析的能力,并且给...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值