恶意代码分析小技巧-COM接口分析

于 2024-06-21 15:34:58 发布
阅读量686 收藏 14
点赞数 8
分类专栏: 恶意代码分析技巧 文章标签: 安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_46143580/article/details/139862126
版权

恶意代码分析小技巧-COM接口分析

在恶意代码分析中常遇到COM接口相关函数,如下图所示,相关com接口得代码都是指针偏移方式调用,根本不知道调用了哪些函数
图1
还原后得代码如图2所示,代码逻辑清晰明了,便于后续分析:
图2

操作方式

1.找到函数 CoCreateInstance 查看rclsid和riid
在这里插入图片描述
在这里插入图片描述
2.将数据进行格式化,还原为rclsid的原始模样,可以使用IDA-python脚本进行还原,还原后可得如下信息
rclsid:{00021401-0000-0000-C000-000000000046}
riid:{000214F9-0000-0000-C000-000000000046}

def format_com_data(ea):
    guid = "{%08X-%04X-%04X-%02X%02X-%02X%02X%02X%02X%02X%02X}"
    dword = idc.get_wide_dword(ea)
    word1 = idc.get_wide_word(ea + 4)
    word2 = idc.get_wide_word(ea + 6)
    byte1 = idc.get_wide_byte(ea + 8)
    byte2 = idc.get_wide_byte(ea + 9)
    byte3 = idc.get_wide_byte(ea + 10)
    byte4 = idc.get_wide_byte(ea + 11)
    byte5 = idc.get_wide_byte(ea + 12)
    byte6 = idc.get_wide_byte(ea + 13)
    byte7 = idc.get_wide_byte(ea + 14)
    byte8 = idc.get_wide_byte(ea + 15)

    guid_str = guid % (dword, word1, word2, byte1, byte2, byte3, byte4, byte5, byte6, byte7, byte8)
    print(guid_str)

在这里插入图片描述
3.借助工具OLEVIEW.NET进行CLSID查询,首先查询rclsid

在这里插入图片描述
4.在rclsid查询到的信息中查找riid = {000214F9-0000-0000-C000-000000000046} 的接口,查询发现该接口名称为IShellLinkW
在这里插入图片描述
5.将IDA中 CoCreateInstance 参数ppv的参数类型修改为 IShellLinkW*,修改完成之后相关函数被识别,但是函数中存在QueryInterFace函数查询接口,可以根据上述方式获取到riid = {0000010B-0000-0000-C000-000000000046},继续查询发现接口名称为 IPersistFile ,同样,直接修改类型即可识别出所有函数

在这里插入图片描述
在这里插入图片描述

代码审计-ysoserial-C3P0分析
cdyunaq的博客
11-22 267
介绍 C3P0是一个开源的JDBC连接池,它实现了数据源和JNDI绑定,支持JDBC3规范和JDBC2的标准扩展。目前使用它的开源项目有Hibernate、Spring等。 基础使用 先看看ysoserial中需要的依赖是啥,方便后期调试也可以用 Pom.xml <!-- https://mvnrepository.com/artifact/com.mchange/c3p0 --> <dependency> <groupId>com.mchange&.
恶意代码机理与防护笔记
最新发布
weixin_54558860的博客
05-21 431
DOS部首和PE文件头及块表连续存储,中间没有空隙而块表和块之间由于文件对齐可能会存在空隙块和块之间也由于文件对齐可能会存在空隙。
C#调用COM接口的三种方式
热门推荐
sinat_35549832的博客
06-29 1万+
C# 调用COM接口 获取HRESULT而不是抛出异常
如何获取控件的clsid
丶hLLLLL的博客
04-29 3482
以下通过注册表查看控件CLSID 1,Win+R,输入regedit,打开注册表 2,编辑-》查看 搜索找到你想查看的控件 3,找到控件
常用的CLSID
独爱糕
08-10 4878
先得说下GUID,它是Globally Unique Identifier的简称,中文翻译为“全球唯一标示符”,在Windows系统中也称之为Class ID,缩写为CLSID。对于不同的应用程序,文件类型,OLE对象,特殊文件夹以及各种系统组件,Windows都会分配一个唯一表示它的ID代码  CLSID是一个128位的随机数,为了确保它的随机性,避免重复,它的算法主要是从两个方面入手:
不注册调用ActiveX Dll
weixin_34416649的博客
01-07 884
每个ActiveX Dll都应该有个DllGetClassObject函数,利用该函数就可以直接创建所需的com对象,而不需要通过注册表(或者注册)。 STDAPI DllGetClassObject( REFCLSID rclsid, //CLSID for the class object REFIID riid, //Reference to the ident...
Win10系统CLSID大全
liuyukuan的专栏
02-22 6633
时间:2016-12-28来源:系统之家作者:chunhua   可能很多Win10用户都不知道CLSID是什么?CLSID也就是GUID,是区分每个系统组件唯一的识别码。通过CLSID,我们可以快捷的打开系统组件,让我们的操作更加方便。下面小编给大家整理了CLSID大全,大家可以先收藏起来,以便日后使用。 用AHK打开所有控制面板项窗口 ,代码如下: Run,explore...
PHP防止sql注入小技巧之sql预处理原理与实现方法分析
10-15
- **安全增强**:由于参数和SQL语句分开处理,即使参数包含恶意代码,也不会被执行。 2. **使用mysqli预处理**: - **DML语句(Data Manipulation Language)**,如`INSERT`, `UPDATE`, `DELETE`: ```php $...
【进阶篇】数据分析实用技巧:效率优化与代码规范
[python数据分析与可视化合集](https://ask.qcloudimg.com/http-save/8934644/afc79812e2ed8d49b04eddfe7f36ae28.png) # 2.1 数据预处理优化 数据预处理是数据分析过程中至关重要的一步,它可以极大地提高后续模型...
Java JSON-B安全性指南:确保数据传输的安全性(深入分析技巧
[Java JSON-B安全性指南:确保数据传输的安全性(深入分析技巧)](https://media.geeksforgeeks.org/wp-content/uploads/20200608140045/basic-block.png) # 1. JSON-B概述与数据序列化基础 ## 1.1 什么是JSON-B...
C语言头文件 RCLSID
06-13
C语言头文件 RCLSIDC语言头文件 RCLSIDC语言头文件 RCLSIDC语言头文件 RCLSIDC语言头文件 RCLSIDC语言头文件 RCLSIDC语言头文件 RCLSIDC语言头文件 RCLSIDC语言头文件 RCLSIDC语言头文件 RCLSIDC语言头文件 RCLSIDC语言头文件 RCLSIDC语言头文件 RCLSIDC语言头文件 RCLSIDC语言头文件 RCLSIDC语言头文件 RCLSIDC语言头文件 RCLSIDC语言头文件 RCLSIDC语言头文件 RCLSIDC语言头文件 RCLSIDC语言头文件 RCLSIDC语言头文件 RCLSIDC语言头文件 RCLSIDC语言头文件 RCLSIDC语言头文件 RCLSIDC语言头文件 RCLSIDC语言头文件 RCLSIDC语言头文件 RCLSIDC语言头文件 RCLSIDC语言头文件 RCLSIDC语言头文件 RCLSIDC语言头文件 RCLSIDC语言头文件 RCLSIDC语言头文件 RCLSIDC语言头文件 RCLSIDC语言头文件 RCLSIDC语言头文件 RCLSIDC语言头文件 RCLSIDC语言头文件
【原创翻译】COM入门简介 -- 什么是COM , 怎样使用它 (2)
此博客已停止更新,请转入 www.cnitblog.com/zhangsure
10-01 1563
Introduction to COM - What It Is and How to Use It By Michael Dunn From www.codeproject.com/**********原创翻译,转载请注明出处*********** 新手水平有限,欢迎批评指教 By FreeKid /COM入门简介 -- 什么是COM , 怎样使用它 (2)基本元素定义让我们从头
简单COM恶意组件分析
LoopherBear的博客
05-11 610
简单COM恶意组件分析 什么是COM组件 COM组件是微软的一个接口标注,全称是组件对象模型(Component Obejct Model),它可以使不同的软件组件在不知道其他组件代码的接口规范时,进行相互间的调用。COM可以支持任何编程语言,因此被设计成了一个可复用的软件组件。 COM组件的基本分析 每个程序在调用COM组件之前,都需要进行一系列的初始化工作,常用的函数包括了 OleInitialize或者CoInitializeEx函数进行一个组件的初始化,之后才能对响应的COM组件使用。 在分析一个C
逆向分析使用COM组件对象模型的代码
hambaga的博客
02-24 737
恶意代码分析实战》第七章实验7-2的程序使用了COM进行联网通信。首先把书上第七章关于COM介绍的原文贴出来: 总结一下,就是说恶意程序有时会通过另一个服务程序提供的接口函数实现一些操作,书上给的例子就是调用IE浏览器的 IWebBrowser2 接口的 IWebBrowser2Vtbl.Navigate 函数实现访问WEB地址。 逆向分析实验7-2,我们会看到如下代码(已注释): HRESULT CoCreateInstance( REFCLSID rclsid, LPUNKNOWN
微软的COM中GUID和UUID、CLSID、IID
killcpp的专栏
04-01 6626
当初微软设计com规范的时候,有两种选择来保证用户的设计的com组件可以全球唯一:第一种是采用和Internet地址一样的管理方式,成立一个管理机构,用户如果想开发一个COM组件的时候需要向该机构提出申请,并交一定的费用。第二种是发明一种算法,每次都能产生一个全球唯一的COM组件标识符。第一种方法,用户使用起来太不方便,微软采用第二种方法,并发明了一种算法,这种算法用GUID(Gl
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值