逆向分析使用COM组件对象模型的代码

最新推荐文章于 2025-06-23 09:41:27 发布
原创 最新推荐文章于 2025-06-23 09:41:27 发布 · 878 阅读 · 1 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。

本文档介绍了如何通过逆向分析恶意代码来理解其利用COM组件,特别是IWebBrowser2接口进行网络通信的过程。在实验7-2中,程序通过CoCreateInstance函数创建对象,并调用IWebBrowser2Vtbl结构体中Navigate函数,访问特定网页。通过对全局变量rclsid和riid的分析,揭示了恶意程序如何与IE浏览器交互以实现网络通信。

《恶意代码分析实战》第七章实验7-2的程序使用了COM进行联网通信。首先把书上第七章关于COM介绍的原文贴出来:

在这里插入图片描述

在这里插入图片描述

在这里插入图片描述

总结一下,就是说恶意程序有时会通过另一个服务程序提供的接口函数实现一些操作,书上给的例子就是调用IE浏览器的 IWebBrowser2 接口的 IWebBrowser2Vtbl.Navigate 函数实现访问WEB地址。

逆向分析实验7-2,我们会看到如下代码(已注释):

在这里插入图片描述

HRESULT CoCreateInstance(
  REFCLSID  rclsid,
  LPUNKNOWN pUnkOuter,
  DWORD     dwClsContext,
  REFIID    riid,
  LPVOID    *ppv
);

关注 CoCreateInstance 函数的参数,rclsid 是一个全局变量,类型是 GUID,里面的值是这样的:

在这里插入图片描述

这个值可以在注册表 HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{0002DF01-0000-0000-C000-000000000046} 找到,里面存储的字符串值就是IE浏览器:

在这里插入图片描述

riid 参数表示接口,这个值是 IE 程序指定的,在本例中表示 IWebBrowser2 接口:

在这里插入图片描述

调用 CoCreateInstance 后,通过参数 ppv 返回一个函数指针表,在本例中,调用了 +2C 偏移指向的函数,我们可以在结构体视图添加一个标准结构体 IWebBrowser2Vtbl:

在这里插入图片描述

然后应用到汇编中,可以自动识别到 +2C 处是 Navigate 函数:

在这里插入图片描述

因此,这个程序的功能之一就是通过IE提供的 IWebBrowser2Vtbl.Navigate 函数访问了 http://www.malwareanalysisbook.com/ad.html

hambaga
关注
【系统架构设计师】九、软件工程(面向对象方法|逆向工程)
帅次的博客
07-10 2618
面向对象的分析模型主要由顶层架构图、用例与用例图、领域概念模型构成设计模型则包含以包图表示的软件体系结构图、以交互图表示的用例实现图、完整精确的类图、针对复杂对象的状态图和用以描述流程化处理过程的活动图等。 软件的逆向工程是分析程序,力图在比源代码更高抽象层次上建立程序的表示过程,逆向工程是设计的恢复过程。与逆向工程相关的概念有重构、设计恢复、再工程和正向工程。
com逆向方法找函数
jmp esp
02-26 1983
<br /><br />这里以com写的dll为例,介绍一下com逆向过程.假设我们的dll实现了两个接口Iinterface1和Iinterface2,其中Iinterface1有5个方法;Iinterface2有一个方法.<br />前提知识:(熟悉com结构的话,可以跳过这一部分)<br />1,com的实质是接口与接口的实现分离.一个com组件可以实现多个接口,每一个接口包含有多个方法.(方法就是函数).<br />2,com从整体上看,分为com客户端,com库,com组件(也就是服务器)<br
IDA_逆向中_如何识别COM组件
09-21
例如当一个API调用是由下列事项发生。 在一个应用程序或脚本使用一个API调用,如: Set objWindowsInstaller = CreateObject("WindowsInstaller.Installer") 操作系统将首先在Windows注册表的ProgID查找,然后交叉引用的ProgID及其相关的classid将在一inprocserver32值将包含路径中包含COM类实际又看DLL。
简单COM恶意组件分析
LoopherBear的博客
05-11 734
简单COM恶意组件分析 什么是COM组件 COM组件是微软的一个接口标注,全称是组件对象模型Component Obejct Model),它可以使不同的软件组件在不知道其他组件代码的接口规范时,进行相互间的调用。COM可以支持任何编程语言,因此被设计成了一个可复用的软件组件COM组件的基本分析 每个程序在调用COM组件之前,都需要进行一系列的初始化工作,常用的函数包括了 OleInitialize或者CoInitializeEx函数进行一个组件的初始化,之后才能对响应的COM组件使用。 在分析一个C
逆向COM
Minsky的专栏
11-30 2058
逆向COM <br />转自:http://dododododo.blog.sohu.com/4524854.html<br /> 分类: Programing2006-06-14 17:54<br />这里以com写的dll为例,介绍一下com逆向过程.假设我们的dll实现了两个接口Iinterface1和Iinterface2,其中Iinterface1有5个方法;Iinterface2有一个方法.<br />前提知识:(熟悉com结构的话,可以跳过这一部分)<br />1,com的实质是接口与接口的
逆向com(2)---逆向atl
Minsky的专栏
11-30 1524
逆向com(2)---逆向atl 分类: Programing 2006-06-19 17:12刚刚弄了一下用vc6编译,使用了atl的com反汇编,写出来. 前提知识: 1,com中有部分重复而繁杂的操作,每写一个com程序,就要把这写代码,copy一遍,很麻烦.atl所做的工作就是为com搭建框架,把这些繁杂的操作包装起来,让的注意力集中在com的实现上. 2,atl中三个重要的结构, 最好把它们的作用搞明白: struct _ATL_OBJMAP_ENTRY { con
免注册进程外COM组件
最新发布
06-24
组件对象模型(COM)是Microsoft推出的一种软件组件架构,它允许开发者创建可以被其他应用程序重复使用的软件组件COM组件可以实现不同的接口,每个接口都由一组函数组成,这些函数定义了组件和客户端之间的交互。 ...
63、使用帕拉迪奥组件模型评估软件架构模型的性能
wasm7browser的博客
06-23 33
本文介绍了使用帕拉迪奥组件模型(PCM)评估软件架构模型性能的方法。PCM是一种基于组件的软件工程建模语言,支持早期生命周期的性能预测,适用于不同开发者角色,如组件开发者、软件架构师、系统部署者和业务领域专家。文章详细描述了PCM的建模能力、工具支持、模型转换方法及案例研究,并探讨了未来研究方向和总结了PCM的优势及改进空间。
Delphi源代码元模型与事实提取器的逆向工程实践
Delphi作为一种基于Object Pascal的可视化开发环境,在企业级应用和遗留系统中广泛使用,但其语法结构复杂,包含丰富的面向对象特性、事件驱动机制、VCL组件模型以及特有的编译指令和注解方式。传统的通用元模型难以...
com逆向结构
如鹿渴慕泉水的专栏
11-22 932
struct IRemUnknownVtbl{ HRESULT (__stdcall *RemQueryInterface) ( _GUID ripid, unsigned long cRefs, unsigned short cIids, _GUID* iids,
COM+Analyzer(COM组件分析器)含源代码
01-23
COM+Analyzer 1.0 本源代码的主要功能是分析COM组件中的方法和属性,源代码中对查询功能进行了类封装,可用于开发DLL或集成到其它项目中使用使用方法: 将DLL组件文件拖放到“组件文件列表”,单击想要查看的组件,树形列表中即生成各个类的属性和方法信息,双击方法或属性可进行复制。 在自主开发应用组件时非常有用,可以不用再看分析代码查参数和函数了。下一步将开发更高级的功能以适应不同的需求。 Programming designed by olivetchan E-Mail:olivetchan@qq.com 2010-01-22
一些Com接口表,逆向有用^_^
wak1984的专栏
02-05 1144
7CF72BF8 pIGraphBuilder->lpVtbl    00000000 7CF87539 QueryInterface    00000004 7CF86F73 AddRef    00000008 7CF86F8D Release    0000000C 7CFA253D AddFilter    00000010 7CFCE88F RemoveFilter    0000001
COM三大接口:IUnknown、IClassFactory、IDispatch
sadamoo的专栏
04-22 772
(1)COM组件有三个最基本的接口类,分别是IUnknown、IClassFactory、IDispatch。  COM规范规定任何组件、任何接口都必须从IUnknown继承,IUnknown包含三个函数,分别是 QueryInterface、AddRef、Release。这三个函数是无比重要的,而且它们的排列顺序也是不可改变的。QueryInterface用于查询组件实现的其它接口,说白了
关于com接口调用的反汇编
dasgk的专栏
07-03 1390
只是为了测试,现在只写一个接口的自定义的两个函数 这是接口的定义 [ object, uuid(C320028D-2E57-46FD-8D80-F24315B58543), dual, nonextensible, pointer_default(unique) ] interface IDiction : IDispatch{ HRESULT justTest(); HRES
逆向技术汇总
weixin_30532837的博客
03-11 453
最近看到看雪上有人发了一个病毒常用手段的总结“发一个自写的病毒工具技术合集”,然后发现是学习了一本书的总结项目“WINDOWS黑客编程技术详解",最后决定总结一下自己学习逆向所遇到的点点滴滴,这里会引用到一些好的示例和代码,我会在文章的参考哪里列出来。等后面有时间了我会把文章的内容录成视频分享出来。最后宣传一下自己的团队“极客方舟”。 系列:这里会出一个较完整的逆向系列教程,尽量把逆向方面...
不能从远程创建com+对象_玩转COM对象
weixin_39914752的博客
12-13 209
译文声明0x00 前言最近一段时间,渗透测试人员、红队以及恶意攻击者都在横向移动中开始使用COM对象。之前已经有其他研究者研究过COM对象,比如Matt Nelson(enigma0x3)。Matt在2017年发表了关于COM对象的一篇文章,Empire工程中也添加过几个COM对象。为了帮助红队加深对这方面内容的理解,FireEye对Windows 7和10系统上可用的COM对象进行了研...
X86软件逆向分析实战(一)
10-21
对于那些“不听话”的软件,怎么办?你是想忍声吞气凑合着用?还是想“修理”一顿,让它乖乖地按照你的意思办?本课程教你“驯服”那些你看中的软件! 掌握这个技能,无论它是什么软件,只能乖乖按你的意思办! 课程内容会涉及到与X86软件逆向分析相关的各种杂项与细节实现,其中涵盖OD、CE、IDA、WinAPI、Visual Studio 2019、易语言、C/C++、C#、汇编等使用技巧与编程技巧。若你是编程初学者,认真学习本课程后,你的能力将会有极大的提升。若你是编程大佬,建议勿跳过每一节课,一定会有所收获!
COM组件是什么?‌
huaqianzkh的专栏
03-18 1006
COM组件是Windows生态的隐形支柱。它通过标准化接口和二进制复用,构建了一个开放、灵活的软件协作体系。尽管其设计诞生于30年前,但许多核心思想(如接口契约、松耦合)仍深刻影响着现代架构(如微服务、云原生)。对开发者而言,理解COM不仅是掌握Windows编程的必修课,更是领悟‌组件化设计哲学‌的重要途径。在数字化转型的今天,COM所倡导的“高内聚、低耦合”原则,依然是构建复杂系统的黄金法则。
Rational Rose逆向工程:C++代码与数据库结构分析
"这篇文章主要介绍了如何使用Rational Rose进行C++代码和数据库结构的分析,强调了Rational Rose作为一款强大的UML建模工具在逆向工程中的作用,特别是对于理解现有C++系统代码结构和数据库模式的重要性。...
评论
成就一亿技术人!
拼手气红包6.0元
还能输入1000个字符
 
红包 添加红包
表情包 插入表情
表情包 代码片
 条评论被折叠 查看
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值