com逆向方法找函数

最新推荐文章于 2024-06-22 07:53:45 发布
最新推荐文章于 2024-06-22 07:53:45 发布
阅读量1.8k 收藏 2
点赞数
分类专栏: com Reverse 文章标签: dll 汇编 服务器
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/farcall/article/details/6209013
版权
本文介绍了COM组件的逆向过程,重点是DLL中的DllGetClassObject函数。通过汇编代码分析,找到类工厂的创建、初始化,以及如何通过QueryInterface、AddRef和Release调用来获取接口指针。在CreateInstance函数中,可以找到类对象的实例化和接口方法的调用。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

这里以com写的dll为例,介绍一下com的逆向过程.假设我们的dll实现了两个接口Iinterface1Iinterface2,其中Iinterface1有5个方法;Iinterface2有一个方法.

前提知识:(熟悉com结构的话,可以跳过这一部分)

1,com的实质是接口与接口的实现分离.一个com组件可以实现多个接口,每一个接口包含有多个方法.(方法就是函数).

2,com从整体上看,分为com客户端,com,com组件(也就是服务器)

3com从实现上看包含有接口,类(即接口的实现),类工厂(作用是创建类对象),和几个

最低0.47元/天 解锁文章
JS逆向中快速搜索定位加密函数技巧总结
吴秋霖的博客
08-04 1万+
如何快速搜索与定位JS加密函数?小技巧总结已备好
网易云热评加密函数逆向(Jsrpc)
猿小白的博客
04-25 260
group={}&name={}&action={}¶m={} ,这是调用的接口 group和name填写上面注入时候的,action是注册的方法名,param是可选的参数,这里续用上面的例子,网页就是:http://127.0.0.1:12080/go?3、到了aes加密地方的函数,就赋值一个自己名字的全局变量,然后转发加密就行了。这里就用到了参数param,param也就是需要传值过来的json对象,因为你不可能获取固定的歌曲id和页码,所以用python写成字典,通过url编码写在param里。
逆向学习COM篇:通过注册表管理COM组件
最新发布
Web安全工具库
06-22 539
本节课在线学习视频(网盘地址,保存后即可免费观看):​​在Windows操作系统中,COMComponent Object Model)组件的注册和反注册是开发和维护过程中的重要环节。本文将详细介绍如何通过注册表来注册和反注册COM组件,以及如何利用接口ID(IID)和组件ID(CLSID)在注册表中查组件路径。我们将通过代码案例来展示这些操作的实现。
com逆向结构
如鹿渴慕泉水的专栏
11-22 812
struct IRemUnknownVtbl{ HRESULT (__stdcall *RemQueryInterface) ( _GUID ripid, unsigned long cRefs, unsigned short cIids, _GUID* iids,
逆向COM
Minsky的专栏
11-30 1990
逆向COM <br />转自:http://dododododo.blog.sohu.com/4524854.html<br /> 分类: Programing2006-06-14 17:54<br />这里以com写的dll为例,介绍一下com逆向过程.假设我们的dll实现了两个接口Iinterface1和Iinterface2,其中Iinterface1有5个方法;Iinterface2有一个方法.<br />前提知识:(熟悉com结构的话,可以跳过这一部分)<br />1,com的实质是接口与接口的
IDA_逆向中_如何识别COM组件
09-21
例如当一个API调用是由下列事项发生。 在一个应用程序或脚本使用一个API调用,如: Set objWindowsInstaller = CreateObject("WindowsInstaller.Installer") 操作系统将首先在Windows注册表的ProgID查,然后交叉引用的ProgID及其相关的classid将在一inprocserver32值将包含路径中包含COM类实际又看DLL
逆向com(2)---逆向atl
Minsky的专栏
11-30 1456
逆向com(2)---逆向atl 分类: Programing 2006-06-19 17:12刚刚弄了一下用vc6编译,使用了atl的com汇编,写出来. 前提知识: 1,com中有部分重复而繁杂的操作,每写一个com程序,就要把这写代码,copy一遍,很麻烦.atl所做的工作就是为com搭建框架,把这些繁杂的操作包装起来,让的注意力集中在com的实现上. 2,atl中三个重要的结构, 最好把它们的作用搞明白: struct _ATL_OBJMAP_ENTRY { con
逆向分析使用COM组件对象模型的代码
hambaga的博客
02-24 803
《恶意代码分析实战》第七章实验7-2的程序使用了COM进行联网通信。首先把书上第七章关于COM介绍的原文贴出来: 总结一下,就是说恶意程序有时会通过另一个服务程序提供的接口函数实现一些操作,书上给的例子就是调用IE浏览器的 IWebBrowser2 接口的 IWebBrowser2Vtbl.Navigate 函数实现访问WEB地址。 逆向分析实验7-2,我们会看到如下代码(已注释): HRESULT CoCreateInstance( REFCLSID rclsid, LPUNKNOWN
一些Com接口表,逆向有用^_^
wak1984的专栏
02-05 1095
7CF72BF8 pIGraphBuilder->lpVtbl    00000000 7CF87539 QueryInterface    00000004 7CF86F73 AddRef    00000008 7CF86F8D Release    0000000C 7CFA253D AddFilter    00000010 7CFCE88F RemoveFilter    0000001
接口逆向
JesusSlim的专栏
02-04 1087
使用 Fiddler 进行抓包,分析请求地址与参数 反编译 使用 dex2jar 以及 jd-gui 进行反编译,分析 签名生成过程。
安卓逆向学习笔记之VMP保护的函数的快速逆向分析方法实践篇.docx
04-07
### 安卓逆向学习笔记之VMP保护的函数的快速逆向分析方法实践篇 #### VMP保护下的函数逆向分析概述 在安卓逆向工程领域,虚拟机保护(Virtual Machine Protection,简称VMP)是一种广泛采用的技术,用于增加应用...
COM接口和DLL接口函数查看器.zip
01-19
1. 查看COM接口函数 2. 查看DLL接口函数 3.注册或卸载COM
Xposed常用逆向函数
cyjmosthandsome的博客
10-15 2366
1. 创建Xposed工程 在Android Studio中新建一个app工程,修改其中的 AndroidManifest.xml 文件,在<application></application>标签中增加如下代码 <meta-data android:name="xposedmodule" android:value="true" /> <meta-data android:name="xposeddescription" android:value=
C++-逆向分析-类的成员函数地址与对象地址动态绑定-this指针-成员函数和成员虚函数汇编解析
插件开发
10-16 986
尽管我们想要调用的是 Bar::b() ,但是 Foo::f() 却被调用了,因为fptr是静态绑定(翻译君注:这里的静态绑定,即指在编译阶段,fptr的值已经确定了,所以即使进行强制转换,依然调用的是Foo类的f()函数)。通过汇编码发现,普通成员函数时通过地址直接调用,而虚成员函数时通先调用vcall函数,然后由vcall函数查询虚表调用相应的虚函数,由此可以看出,一个类里面的每一给虚函数都有一个vcall函数与之对应,通过vcall函数来调用相应的虚函数。为了减少代码长度,将部分无关汇编代码省略。
关于com接口调用的反汇编
dasgk的专栏
07-03 1324
只是为了测试,现在只写一个接口的自定义的两个函数 这是接口的定义 [ object, uuid(C320028D-2E57-46FD-8D80-F24315B58543), dual, nonextensible, pointer_default(unique) ] interface IDiction : IDispatch{ HRESULT justTest(); HRES
简单COM恶意组件分析
LoopherBear的博客
05-11 656
简单COM恶意组件分析 什么是COM组件 COM组件是微软的一个接口标注,全称是组件对象模型(Component Obejct Model),它可以使不同的软件组件在不知道其他组件代码的接口规范时,进行相互间的调用。COM可以支持任何编程语言,因此被设计成了一个可复用的软件组件COM组件的基本分析 每个程序在调用COM组件之前,都需要进行一系列的初始化工作,常用的函数包括了 OleInitialize或者CoInitializeEx函数进行一个组件的初始化,之后才能对响应的COM组件使用。 在分析一个C
COM之ActiveX逆向简单方法
jmp esp
02-26 4251
<br />一.前言. 以下IE中ActiveX控件中对调用的属性,方法等的一些逆向分析纪录文字. 阅读此文你许要一点点的com基础知识.:) 二.认识ActiveX IE中可以调用几乎所有在HKEY_CLASSES_ROOT/CLSID键下的Object. 调用方式很简单: 这样会带来一些安全问题. 比如最近很多的 com 创建实例初始化的漏洞公告. 这里不对这些进行研究. 对于这些COM组件的属性(property)和方法(method), 我们可以通过script来调
Wps中vlookup函数逆向匹配
05-16
在WPS中,VLOOKUP函数可以用于进行正向匹配,即从左到右查匹配项。如果需要进行逆向匹配,即从右到左查匹配项,则可以使用INDEX和MATCH函数的组合。 具体步骤如下: 1. 在一个表格中,假设需要查“匹配值”所在的行数,可以在该表格的第一列使用MATCH函数进行查。如下图所示: ![step1](https://cdn.luogu.com.cn/upload/image_hosting/ed8r8j3v.png) 其中,MATCH函数的语法如下: ``` MATCH(lookup_value, lookup_array, match_type) ``` lookup_value:需要查的值。 lookup_array:需要进行查的数组。 match_type:匹配类型,0为精确匹配,1为查比lookup_value小的最大值,-1为查比lookup_value大的最小值。 在该例子中,需要查的值为“匹配值”,需要进行查的数组为“B2:B6”,匹配类型为精确匹配,因此公式为: ``` MATCH("匹配值", B2:B6, 0) ``` 该公式将返回匹配值所在的行数,即3。 2. 在该表格中,假设需要查“匹配值”所在的列数,可以使用INDEX函数和MATCH函数的组合进行查。如下图所示: ![step2](https://cdn.luogu.com.cn/upload/image_hosting/5xq7pv3g.png) 其中,INDEX函数的语法如下: ``` INDEX(array, row_num, [column_num]) ``` array:需要进行查的数组。 row_num:需要查的行数。 column_num:需要查的列数。 在该例子中,需要进行查的数组为“B1:F1”,需要查的行数为1,需要查的列数为MATCH函数返回的值,即3,因此公式为: ``` INDEX(B1:F1, 1, MATCH("匹配值", B2:B6, 0)) ``` 该公式将返回匹配值所在的列数,即D列。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值