逆向com(2)---逆向atl

最新推荐文章于 2024-04-28 18:34:35 发布
最新推荐文章于 2024-04-28 18:34:35 发布
阅读量1.3k 收藏
点赞数
分类专栏: 技术交流学习 文章标签: winapi module 汇编 struct null class

逆向com(2)---逆向atl

分类: Programing 2006-06-19 17:12

刚刚弄了一下用vc6编译,使用了atl的com反汇编,写出来.

前提知识:

1,com中有部分重复而繁杂的操作,每写一个com程序,就要把这写代码,copy一遍,很麻烦.atl所做的工作就是为com搭建框架,把这些繁杂的操作包装起来,让的注意力集中在com的实现上.

2,atl中三个重要的结构, 最好把它们的作用搞明白:

struct _ATL_OBJMAP_ENTRY
{
 const CLSID* pclsid;
 HRESULT (WINAPI *pfnUpdateRegistry)(BOOL bRegister);
 _ATL_CREATORFUNC* pfnGetClassObject;
 _ATL_CREATORFUNC* pfnCreateInstance;           //注意这里
 IUnknown* pCF;
 DWORD dwRegister;
 _ATL_DESCRIPTIONFUNC* pfnGetObjectDescription;
 _ATL_CATMAPFUNC* pfnGetCategoryMap;
 HRESULT WINAPI RevokeClassObject()
 {
  return CoRevokeClassObject(dwRegister);
 }
 HRESULT WINAPI RegisterClassObject(DWORD dwClsContext, DWORD dwFlags)
 {
  IUnknown* p = NULL;
  if (pfnGetClassObject == NULL)
   return S_OK;
  HRESULT hRes = pfnGetClassObject(pfnCreateInstance, IID_IUnknown, (LPVOID*) &p);
  if (SUCCEEDED(hRes))
   hRes = CoRegisterClassObject(*pclsid, p, dwClsContext, dwFlags, &dwRegister);
  if (p != NULL)
   p->Release();
  return hRes;
 }
// Added in ATL 3.0
 void (WINAPI *pfnObjectMain)(bool bStarting);
};

 

 

struct _ATL_MODULE
{
// Attributes
public:
 UINT cbSize;
 HINSTANCE m_hInst;
 HINSTANCE m_hInstResource;
 HINSTANCE m_hInstTypeLib;
 _ATL_OBJMAP_ENTRY* m_pObjMap;       //注意这里
 LONG m_nLockCnt;
 HANDLE m_hHeap;
 union
 {
  CRITICAL_SECTION m_csTypeInfoHolder;
  CRITICAL_SECTION m_csStaticDataInit;
 };
 CRITICAL_SECTION m_csWindowCreate;
 CRITICAL_SECTION m_csObjMap;
// Original Size = 100
// Stuff added in ATL 3.0
 DWORD dwAtlBuildVer;
 _AtlCreateWndData* m_pCreateWndList;
 bool m_bDestroyHeap;
 GUID* pguidVer;
 DWORD m_dwHeaps;    // Number of heaps we have (-1)
 HANDLE* m_phHeaps;
 int m_nHeap;        // Which heap to choose from
 _ATL_TERMFUNC_ELEM* m_pTermFuncs;
};

 

class CComModule : public _ATL_MODULE

{

/*实现代码就省略*/

}

实际上,如果我们知道第一个结构,也就是_ATL_OBJMAP_ENTRY的内容的话,就可以,知道pfnCreateInstance;根据这个地址就可以顺藤摸瓜,找出,函数的实现.就这么简单

3,atl必须创建一个CComModule的对象,如"CComModule _Module;",这个类就是atl的"执行者".它包揽所有的杂活,如GetClasssObject,RegisterServer,等等.

 

开始反汇编:(只给快速反汇编过程,不给思路,写起来太麻烦)

1,找到dllmain,在里面找到ATL__CComModule__Init函数,传递给他的第一个参数就是,一个指向_ATL_OBJMAP_ENTRY结构的指针.跟进去

2,偏移为8的位置就是指向GetClassObject的指针,偏移为0xc的位置就是指向CreateInstance的指针,跟到CreateInstance函数里面去

3,这时候,按照上次写的"逆向com"里面的方法,来操作.也就是,先找new,然后找初始化函数.进入初始化函数,找到指向com类的函数数组指针,从偏移0xc的开始的函数,就是真正的函数了. enjoy it.

明斯基
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
X86软件逆向分析实战(一)
10-21
对于那些“不听话”的软件,怎么办?你是想忍声吞气凑合着用?还是想“修理”一顿,让它乖乖地按照你的意思办?本课程教你“驯服”那些你看中的软件! 掌握这个技能,无论它是什么软件,只能乖乖按你的意思办! 课程内容会涉及到与X86软件逆向分析相关的各种杂项与细节实现,其中涵盖OD、CE、IDA、WinAPI、Visual Studio 2019、易语言、C/C++、C#、汇编等使用技巧与编程技巧。若你是编程初学者,认真学习本课程后,你的能力将会有极大的提升。若你是编程大佬,建议勿跳过每一节课,一定会有所收获!
转 实现通过COM组件方式实现java调用C#写的DLL文件的完整demo
07-22 293
最近因为工作需要,客户那边工程师使用的是JAVA语言开发的程序,我们这边平台中是用C#语言开发的,因为有些操作必须统一,所以我在网上查找解决方法,自己也实践过,在这里做个笔记吧,分享一下。 一、使用C#编写com组件   开发环境 :VS2017   1、新建工程:CalcTest(类库项目,根据自己喜好需要取工程名,框架我这里使用的是:.NET Framework 4 ,你可以根据自己的来选。(注:下面红色框和箭头和需要注意的地方)    2、右键项目属性,点击项目属性,看到下面这个界面,点击红色.
托管C++ – OpenCV 图像处理工程项目
jekcai的博客
05-04 1809
托管C++– OpenCV 图像处理工程项目:C++ 托管和非托管项目的区别:         C++ 托管项目,采用C++语言编写COM组件,导出函数或类,供CLR(公共语言运行时)C++托管类封装接口。编写的C++ COM组件不需要,公共语言运行时(/clr)支持。编写C++托管类COM组件,需要,公共语言运行时支持。         创建VC++项目,可以在属性配置中->常规:    ...
逆向分析使用COM组件对象模型的代码
hambaga的博客
02-24 658
《恶意代码分析实战》第七章实验7-2的程序使用了COM进行联网通信。首先把书上第七章关于COM介绍的原文贴出来: 总结一下,就是说恶意程序有时会通过另一个服务程序提供的接口函数实现一些操作,书上给的例子就是调用IE浏览器的 IWebBrowser2 接口的 IWebBrowser2Vtbl.Navigate 函数实现访问WEB地址。 逆向分析实验7-2,我们会看到如下代码(已注释): HRESULT CoCreateInstance( REFCLSID rclsid, LPUNKNOWN
com逆向方法找函数
jmp esp
02-26 1742
<br /><br />这里以com写的dll为例,介绍一下com逆向过程.假设我们的dll实现了两个接口Iinterface1和Iinterface2,其中Iinterface1有5个方法;Iinterface2有一个方法.<br />前提知识:(熟悉com结构的话,可以跳过这一部分)<br />1,com的实质是接口与接口的实现分离.一个com组件可以实现多个接口,每一个接口包含有多个方法.(方法就是函数).<br />2,com从整体上看,分为com客户端,com库,com组件(也就是服务器)<br
Android安全攻防战,反编译与混淆技术完全解析(下)
热门推荐
郭霖的专栏
03-17 7万+
在上一篇文章当中,我们学习了Android程序反编译方面的知识,包括反编译代码、反编译资源、以及重新打包等内容。通过这些内容我们也能看出来,其实我们的程序并没有那么的安全。可能资源被反编译影响还不是很大,而重新打包又由于有签名的保护导致很难被盗版,但代码被反编译就有可能会泄漏核心技术了,因此一款安全性高的程序最起码要做到的一件事就是:对代码进行混淆。 混淆代码并不是让代码无法被反编译,而是将代码中的类、方法、变量等信
COM的典型反汇编代码(虚函数)
追逐光芒,追随内心
03-31 389
COM的典型代码是: mov edx,[ImplementInstance] push [prm3] push [prm2] push [prm1] mov ecx,[edx] push edx call [ecx + func offset]
逆向COM
Minsky的专栏
11-30 1898
逆向COM <br />转自:http://dododododo.blog.sohu.com/4524854.html<br /> 分类: Programing2006-06-14 17:54<br />这里以com写的dll为例,介绍一下com逆向过程.假设我们的dll实现了两个接口Iinterface1和Iinterface2,其中Iinterface1有5个方法;Iinterface2有一个方法.<br />前提知识:(熟悉com结构的话,可以跳过这一部分)<br />1,com的实质是接口与接口的
关于com接口调用的反汇编
dasgk的专栏
07-03 1242
只是为了测试,现在只写一个接口的自定义的两个函数 这是接口的定义 [ object, uuid(C320028D-2E57-46FD-8D80-F24315B58543), dual, nonextensible, pointer_default(unique) ] interface IDiction : IDispatch{ HRESULT justTest(); HRES
IDA_逆向中_如何识别COM组件
09-21
例如当一个API调用是由下列事项发生。 在一个应用程序或脚本使用一个API调用,如: Set objWindowsInstaller = CreateObject("WindowsInstaller.Installer") 操作系统将首先在Windows注册表的ProgID查找,然后交叉引用的ProgID及其相关的classid将在一inprocserver32值将包含路径中包含COM类实际又看DLL。
COM/ActiveX/OCX反编译工具 获取名称工具 IDA插件
10-16
COM/ActiveX/OCX反编译工具 测试运行正常,可以反编译com/activex方法、属性。 定位com方法的地址。
获得COM组件(ocx、dll)的CLSID小工具
10-14
不用OLE View工具,也可以获得com组件(ocx、dll)的类名和对应的clsid。此工具通过访问注册表,获得某个已经注册的com组件(ocx、dll)的所有类名和对应的clsid。
ICESAT-2 +ATL03 + ATL08
01-13
适合人群: 对森林、地形、冰川等地物高度研究的人群 如何将星载lidar ICESAT-2的atl8和atl3结合,综合利用地理定位信息与地面高度信息
icesat2-atl03-atbd-r005-0.pdf ATL03算法文档
01-14
Icesat-2算法全球定位光子的理论基础文件(ATL03) Icesat-2天文台和 ATLAS 仪器使用光子计数激光雷达和辅助系统(即全球定位系统和星相机)进行三项主要测量: 光子从 ATLAS 飞往地球和返回 ATLAS 的时间; ATLAS 传送...
ATL-COM-Shell扩展编程
07-10
包含 Windows Shell扩展编程完全指南、ATL开发指南、COM技术内幕三个教程
ICESat-2数据matlab转CSV格式
10-12
基于Matlab进行ICESat-2 ATL06 和 ATL08 数据产品的格式转换,并加入数据筛选范围
python实现ICESat-2 ATL08转shapefile
05-31
python实现ICESat-2 ATL08转shapefile
Linux基础 -- 跨平台原子操作:ARM 汇编与 C 语言集成
最新发布
sz66cm 学习随笔
04-28 230
linux 汇编 混合编程
icesat-2 atl03
09-02
ICESat-2是美国航天局发起的一个卫星任务,旨在研究地球冰雪的变化和全球气候的影响。任务中的一项重要数据产品是ATL03,它提供了全球冰川和冰盖高度的精确测量结果。 ATL03是通过激光高度计仪(LIDAR)获得的数据产品,这种技术可以通过发射激光束并测量它们返回的时间来测量地表高度。ICESat-2通过携带大气红外光束计来校正激光高度计的精确度。 ATL03数据产品主要提供了冰川和冰盖高度、海洋冰区域等方面的信息,这对于研究气候变化和预测海平面上升等问题具有重要意义。通过比较不同时间段的高度数据,科学家可以分析冰川和冰盖的变化速度以及它们对全球海平面的贡献。 ATL03数据还可以帮助科学家了解冰川和冰盖中的冰川物理特性,例如冰的密度和结构。这些数据对于预测冰川的运动、融化速度和可能发生的冰山崩塌等事件具有重要意义。 除了科学研究,ATL03数据还可以用于制定政策和决策。例如,基于对冰川和冰盖的高度变化的准确测量,政府可以制定更好的自然资源管理政策,帮助减缓气候变化并保护生态环境。 总之,ICESat-2的ATL03数据是一项重要的科学成果,它提供了全球冰川和冰盖高度变化的精确测量结果,对于研究气候变化、理解冰川物理特性以及制定政策和决策具有重要意义。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值