com逆向方法找函数

最新推荐文章于 2024-08-30 12:46:27 发布
原创 最新推荐文章于 2024-08-30 12:46:27 发布 · 1.9k 阅读 · 2 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#dll #汇编 #服务器

本文介绍了COM组件的逆向过程,重点是DLL中的DllGetClassObject函数。通过汇编代码分析,找到类工厂的创建、初始化,以及如何通过QueryInterface、AddRef和Release调用来获取接口指针。在CreateInstance函数中,可以找到类对象的实例化和接口方法的调用。

这里以com写的dll为例,介绍一下com的逆向过程.假设我们的dll实现了两个接口Iinterface1Iinterface2,其中Iinterface1有5个方法;Iinterface2有一个方法.

前提知识:(熟悉com结构的话,可以跳过这一部分)

1,com的实质是接口与接口的实现分离.一个com组件可以实现多个接口,每一个接口包含有多个方法.(方法就是函数).

2,com从整体上看,分为com客户端,com,com组件(也就是服务器)

3com从实现上看包含有接口,类(即接口的实现),类工厂(作用是创建类对象),和几个

最低0.47元/天 解锁文章
JS逆向中快速搜索定位加密函数技巧总结
吴秋霖的博客
08-04 1万+
如何快速搜索与定位JS加密函数?小技巧总结已备好
CoClassSyms:COM逆向工程深度解析
最新发布
weixin_42327217的博客
08-24 1440
CoClassSyms 是一个开源项目,专为逆向工程师和系统开发人员设计,用于提取和解析 COM 类对象的符号信息。其名称来源于 COM (Component Object Model) 技术中的类对象(CoClass)和符号(Symbols)。它能帮助用户通过分析二进制文件,理解 COM 组件的内部结构,从而提升系统维护和调试的效率。在复杂的软件系统和遗留系统中,了解 COM 组件的具体实现细节往往是一个挑战,CoClassSyms 通过自动化这一过程,极大地简化了相关工作。
IDA_逆向中_如何识别COM组件
09-21
例如当一个API调用是由下列事项发生。 在一个应用程序或脚本使用一个API调用,如: Set objWindowsInstaller = CreateObject("WindowsInstaller.Installer") 操作系统将首先在Windows注册表的ProgID查,然后交叉引用的ProgID及其相关的classid将在一inprocserver32值将包含路径中包含COM类实际又看DLL
X86软件逆向分析实战(一)
10-21
对于那些“不听话”的软件,怎么办?你是想忍声吞气凑合着用?还是想“修理”一顿,让它乖乖地按照你的意思办?本课程教你“驯服”那些你看中的软件! 掌握这个技能,无论它是什么软件,只能乖乖按你的意思办! 课程内容会涉及到与X86软件逆向分析相关的各种杂项与细节实现,其中涵盖OD、CE、IDA、WinAPI、Visual Studio 2019、易语言、C/C++、C#、汇编等使用技巧与编程技巧。若你是编程初学者,认真学习本课程后,你的能力将会有极大的提升。若你是编程大佬,建议勿跳过每一节课,一定会有所收获!
逆向学习COM篇:通过注册表管理COM组件
Web安全工具库
06-22 657
本节课在线学习视频(网盘地址,保存后即可免费观看):​​在Windows操作系统中,COMComponent Object Model)组件的注册和反注册是开发和维护过程中的重要环节。本文将详细介绍如何通过注册表来注册和反注册COM组件,以及如何利用接口ID(IID)和组件ID(CLSID)在注册表中查组件路径。我们将通过代码案例来展示这些操作的实现。
逆向COM
Minsky的专栏
11-30 2059
逆向COM <br />转自:http://dododododo.blog.sohu.com/4524854.html<br /> 分类: Programing2006-06-14 17:54<br />这里以com写的dll为例,介绍一下com逆向过程.假设我们的dll实现了两个接口Iinterface1和Iinterface2,其中Iinterface1有5个方法;Iinterface2有一个方法.<br />前提知识:(熟悉com结构的话,可以跳过这一部分)<br />1,com的实质是接口与接口的
逆向com(2)---逆向atl
Minsky的专栏
11-30 1528
逆向com(2)---逆向atl 分类: Programing 2006-06-19 17:12刚刚弄了一下用vc6编译,使用了atl的com汇编,写出来. 前提知识: 1,com中有部分重复而繁杂的操作,每写一个com程序,就要把这写代码,copy一遍,很麻烦.atl所做的工作就是为com搭建框架,把这些繁杂的操作包装起来,让的注意力集中在com的实现上. 2,atl中三个重要的结构, 最好把它们的作用搞明白: struct _ATL_OBJMAP_ENTRY { con
安卓逆向学习笔记之VMP保护的函数的快速逆向分析方法实践篇.docx
04-07
### 安卓逆向学习笔记之VMP保护的函数的快速逆向分析方法实践篇 #### VMP保护下的函数逆向分析概述 在安卓逆向工程领域,虚拟机保护(Virtual Machine Protection,简称VMP)是一种广泛采用的技术,用于增加应用...
Android SO逆向-对象的拷贝构造函数.pdf
04-18
在JNIEXPORT void JNICALL Java_com_example_ndkreverse5_Lesson5_main方法中,创建了一个Test对象,并通过TestFun函数进行拷贝,展示了拷贝构造函数的调用过程。 最后,使用IDA(Interactive Disassembler)工具...
Native开发与逆向第二篇 - 动态注册函数逆向
u013170888的博客
08-30 886
前面JNI_OnLoad里面调了两次sub_6454 ,第四个参数是注册的方法数量,也就是NativeUtils类注册了13个方法,AVLA类注册了32个方法。sub_6454 的三个参数就是函数的JNINativeMethod结构体,里面就是动态注册函数方法名,方法签名和对应的实现的函数地址。在方法名、方法签名等没有处理的情况下,通过静态分析也能很清楚的看到动态注册的对应函数。同样的 off_24190 是32个动态注册的函数,这里截图只截取部分。直接到JNI_OnLoad。类名没处理,直接是明文。
com逆向结构
如鹿渴慕泉水的专栏
11-22 948
struct IRemUnknownVtbl{ HRESULT (__stdcall *RemQueryInterface) ( _GUID ripid, unsigned long cRefs, unsigned short cIids, _GUID* iids,
逆向分析使用COM组件对象模型的代码
hambaga的博客
02-24 882
《恶意代码分析实战》第七章实验7-2的程序使用了COM进行联网通信。首先把书上第七章关于COM介绍的原文贴出来: 总结一下,就是说恶意程序有时会通过另一个服务程序提供的接口函数实现一些操作,书上给的例子就是调用IE浏览器的 IWebBrowser2 接口的 IWebBrowser2Vtbl.Navigate 函数实现访问WEB地址。 逆向分析实验7-2,我们会看到如下代码(已注释): HRESULT CoCreateInstance( REFCLSID rclsid, LPUNKNOWN
一些Com接口表,逆向有用^_^
wak1984的专栏
02-05 1147
7CF72BF8 pIGraphBuilder->lpVtbl    00000000 7CF87539 QueryInterface    00000004 7CF86F73 AddRef    00000008 7CF86F8D Release    0000000C 7CFA253D AddFilter    00000010 7CFCE88F RemoveFilter    0000001
接口逆向
JesusSlim的专栏
02-04 1118
使用 Fiddler 进行抓包,分析请求地址与参数 反编译 使用 dex2jar 以及 jd-gui 进行反编译,分析 签名生成过程。
C++-逆向分析-类的成员函数地址与对象地址动态绑定-this指针-成员函数和成员虚函数汇编解析
插件开发
10-16 1193
尽管我们想要调用的是 Bar::b() ,但是 Foo::f() 却被调用了,因为fptr是静态绑定(翻译君注:这里的静态绑定,即指在编译阶段,fptr的值已经确定了,所以即使进行强制转换,依然调用的是Foo类的f()函数)。通过汇编码发现,普通成员函数时通过地址直接调用,而虚成员函数时通先调用vcall函数,然后由vcall函数查询虚表调用相应的虚函数,由此可以看出,一个类里面的每一给虚函数都有一个vcall函数与之对应,通过vcall函数来调用相应的虚函数。为了减少代码长度,将部分无关汇编代码省略。
关于com接口调用的反汇编
dasgk的专栏
07-03 1390
只是为了测试,现在只写一个接口的自定义的两个函数 这是接口的定义 [ object, uuid(C320028D-2E57-46FD-8D80-F24315B58543), dual, nonextensible, pointer_default(unique) ] interface IDiction : IDispatch{ HRESULT justTest(); HRES
简单COM恶意组件分析
LoopherBear的博客
05-11 739
简单COM恶意组件分析 什么是COM组件 COM组件是微软的一个接口标注,全称是组件对象模型(Component Obejct Model),它可以使不同的软件组件在不知道其他组件代码的接口规范时,进行相互间的调用。COM可以支持任何编程语言,因此被设计成了一个可复用的软件组件COM组件的基本分析 每个程序在调用COM组件之前,都需要进行一系列的初始化工作,常用的函数包括了 OleInitialize或者CoInitializeEx函数进行一个组件的初始化,之后才能对响应的COM组件使用。 在分析一个C
js逆向钟的函数名会变动
03-28
</think>### JavaScript逆向工程中处理函数名变动的方法 在JavaScript逆向工程中,函数名变动是代码混淆的常见手段,主要通过以下方法处理: --- #### 1. **AST(抽象语法树)分析** - **原理**:通过解析代码的...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值