com逆向方法找函数

最新推荐文章于 2024-08-30 12:46:27 发布
原创 最新推荐文章于 2024-08-30 12:46:27 发布 · 1.9k 阅读 · 2 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#dll #汇编 #服务器

本文介绍了COM组件的逆向过程,重点是DLL中的DllGetClassObject函数。通过汇编代码分析,找到类工厂的创建、初始化,以及如何通过QueryInterface、AddRef和Release调用来获取接口指针。在CreateInstance函数中,可以找到类对象的实例化和接口方法的调用。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

这里以com写的dll为例,介绍一下com的逆向过程.假设我们的dll实现了两个接口Iinterface1Iinterface2,其中Iinterface1有5个方法;Iinterface2有一个方法.

前提知识:(熟悉com结构的话,可以跳过这一部分)

1,com的实质是接口与接口的实现分离.一个com组件可以实现多个接口,每一个接口包含有多个方法.(方法就是函数).

2,com从整体上看,分为com客户端,com,com组件(也就是服务器)

3com从实现上看包含有接口,类(即接口的实现),类工厂(作用是创建类对象),和几个

最低0.47元/天 解锁文章

200万优质内容无限畅学
JS逆向中快速搜索定位加密函数技巧总结
吴秋霖的博客
08-04 1万+
如何快速搜索与定位JS加密函数?小技巧总结已备好
简单COM恶意组件分析
LoopherBear的博客
05-11 693
简单COM恶意组件分析 什么是COM组件 COM组件是微软的一个接口标注,全称是组件对象模型(Component Obejct Model),它可以使不同的软件组件在不知道其他组件代码的接口规范时,进行相互间的调用。COM可以支持任何编程语言,因此被设计成了一个可复用的软件组件COM组件的基本分析 每个程序在调用COM组件之前,都需要进行一系列的初始化工作,常用的函数包括了 OleInitialize或者CoInitializeEx函数进行一个组件的初始化,之后才能对响应的COM组件使用。 在分析一个C
IDA_逆向中_如何识别COM组件
09-21
例如当一个API调用是由下列事项发生。 在一个应用程序或脚本使用一个API调用,如: Set objWindowsInstaller = CreateObject("WindowsInstaller.Installer") 操作系统将首先在Windows注册表的ProgID查,然后交叉引用的ProgID及其相关的classid将在一inprocserver32值将包含路径中包含COM类实际又看DLL
逆向COM
Minsky的专栏
11-30 2016
逆向COM <br />转自:http://dododododo.blog.sohu.com/4524854.html<br /> 分类: Programing2006-06-14 17:54<br />这里以com写的dll为例,介绍一下com逆向过程.假设我们的dll实现了两个接口Iinterface1和Iinterface2,其中Iinterface1有5个方法;Iinterface2有一个方法.<br />前提知识:(熟悉com结构的话,可以跳过这一部分)<br />1,com的实质是接口与接口的
逆向com(2)---逆向atl
Minsky的专栏
11-30 1488
逆向com(2)---逆向atl 分类: Programing 2006-06-19 17:12刚刚弄了一下用vc6编译,使用了atl的com汇编,写出来. 前提知识: 1,com中有部分重复而繁杂的操作,每写一个com程序,就要把这写代码,copy一遍,很麻烦.atl所做的工作就是为com搭建框架,把这些繁杂的操作包装起来,让的注意力集中在com的实现上. 2,atl中三个重要的结构, 最好把它们的作用搞明白: struct _ATL_OBJMAP_ENTRY { con
com逆向结构
如鹿渴慕泉水的专栏
11-22 825
struct IRemUnknownVtbl{ HRESULT (__stdcall *RemQueryInterface) ( _GUID ripid, unsigned long cRefs, unsigned short cIids, _GUID* iids,
逆向分析使用COM组件对象模型的代码
hambaga的博客
02-24 833
《恶意代码分析实战》第七章实验7-2的程序使用了COM进行联网通信。首先把书上第七章关于COM介绍的原文贴出来: 总结一下,就是说恶意程序有时会通过另一个服务程序提供的接口函数实现一些操作,书上给的例子就是调用IE浏览器的 IWebBrowser2 接口的 IWebBrowser2Vtbl.Navigate 函数实现访问WEB地址。 逆向分析实验7-2,我们会看到如下代码(已注释): HRESULT CoCreateInstance( REFCLSID rclsid, LPUNKNOWN
安卓逆向学习笔记之VMP保护的函数的快速逆向分析方法实践篇.docx
04-07
### 安卓逆向学习笔记之VMP保护的函数的快速逆向分析方法实践篇 #### VMP保护下的函数逆向分析概述 在安卓逆向工程领域,虚拟机保护(Virtual Machine Protection,简称VMP)是一种广泛采用的技术,用于增加应用...
Android SO逆向-对象的拷贝构造函数.pdf
最新发布
04-18
在JNIEXPORT void JNICALL Java_com_example_ndkreverse5_Lesson5_main方法中,创建了一个Test对象,并通过TestFun函数进行拷贝,展示了拷贝构造函数的调用过程。 最后,使用IDA(Interactive Disassembler)工具...
Native开发与逆向第二篇 - 动态注册函数逆向
u013170888的博客
08-30 753
前面JNI_OnLoad里面调了两次sub_6454 ,第四个参数是注册的方法数量,也就是NativeUtils类注册了13个方法,AVLA类注册了32个方法。sub_6454 的三个参数就是函数的JNINativeMethod结构体,里面就是动态注册函数方法名,方法签名和对应的实现的函数地址。在方法名、方法签名等没有处理的情况下,通过静态分析也能很清楚的看到动态注册的对应函数。同样的 off_24190 是32个动态注册的函数,这里截图只截取部分。直接到JNI_OnLoad。类名没处理,直接是明文。
一些Com接口表,逆向有用^_^
wak1984的专栏
02-05 1119
7CF72BF8 pIGraphBuilder->lpVtbl    00000000 7CF87539 QueryInterface    00000004 7CF86F73 AddRef    00000008 7CF86F8D Release    0000000C 7CFA253D AddFilter    00000010 7CFCE88F RemoveFilter    0000001
COM接口和DLL接口函数查看器.zip
01-19
1. 查看COM接口函数 2. 查看DLL接口函数 3.注册或卸载COM
接口逆向
JesusSlim的专栏
02-04 1101
使用 Fiddler 进行抓包,分析请求地址与参数 反编译 使用 dex2jar 以及 jd-gui 进行反编译,分析 签名生成过程。
C++-逆向分析-类的成员函数地址与对象地址动态绑定-this指针-成员函数和成员虚函数汇编解析
插件开发
10-16 1031
尽管我们想要调用的是 Bar::b() ,但是 Foo::f() 却被调用了,因为fptr是静态绑定(翻译君注:这里的静态绑定,即指在编译阶段,fptr的值已经确定了,所以即使进行强制转换,依然调用的是Foo类的f()函数)。通过汇编码发现,普通成员函数时通过地址直接调用,而虚成员函数时通先调用vcall函数,然后由vcall函数查询虚表调用相应的虚函数,由此可以看出,一个类里面的每一给虚函数都有一个vcall函数与之对应,通过vcall函数来调用相应的虚函数。为了减少代码长度,将部分无关汇编代码省略。
关于com接口调用的反汇编
dasgk的专栏
07-03 1354
只是为了测试,现在只写一个接口的自定义的两个函数 这是接口的定义 [ object, uuid(C320028D-2E57-46FD-8D80-F24315B58543), dual, nonextensible, pointer_default(unique) ] interface IDiction : IDispatch{ HRESULT justTest(); HRES
COM之ActiveX逆向简单方法
jmp esp
02-26 4285
<br />一.前言. 以下IE中ActiveX控件中对调用的属性,方法等的一些逆向分析纪录文字. 阅读此文你许要一点点的com基础知识.:) 二.认识ActiveX IE中可以调用几乎所有在HKEY_CLASSES_ROOT/CLSID键下的Object. 调用方式很简单: 这样会带来一些安全问题. 比如最近很多的 com 创建实例初始化的漏洞公告. 这里不对这些进行研究. 对于这些COM组件的属性(property)和方法(method), 我们可以通过script来调
js逆向钟的函数名会变动
03-28
<think>好的,我现在需要帮助用户解决JavaScript逆向工程中处理函数名变动的问题。首先,我得理解用户的具体需求是什么。用户提到函数名变动,可能是在混淆后的代码中,函数名被随机化或重命名,导致逆向分析困难。接下来,我要回忆相关的逆向工程技术和处理方法。 首先,想到的是AST(抽象语法树)分析。通过解析代码的AST,可以识别出函数声明和调用的模式,即使函数名被修改,只要结构没变,可能可以追踪到调用关系。不过具体如何操作呢?可能需要使用工具如Babel来解析和遍历AST,寻函数定义和调用点,然后进行重命名或注释。 然后是Hook技术,比如使用浏览器开发者工具或Frida进行动态分析。Hook可以在函数执行时捕获参数和返回值,这样即使函数名变化,只要功能不变,就能通过参数和返回值推断其用途。例如,用户可能需要在调用某个加密函数时记录输入输出,进而理解其作用,而无需知道具体函数名。 还有内存断点的方法,当函数名被动态生成时,可以在内存中设置断点,函数入口地址。这种方法需要一定的底层调试知识,但可以绕过名称变化的问题。 此外,字符串特征匹配可能有效。比如,如果某个函数内部包含特定的字符串或代码模式,可以通过正则表达式搜索整个代码,定位到该函数的位置,再分析其逻辑。这种方法适用于部分混淆但保留某些特征的代码。 还要考虑代码流分析,追踪函数的调用链路,结合上下文推断功能。例如,如果一个函数在特定的数据操作后被调用,可能承担某种处理任务,通过上下文分析可以推测其作用。 然后需要验证这些方法的可行性和具体步骤。例如,AST分析需要具体的代码解析工具,而Hook技术可能需要配置调试环境。同时,用户可能需要实际案例或工具推荐,比如推荐使用Babel进行AST解析,或者使用Frida进行动态注入。 可能还需要考虑混淆代码的其他特点,比如控制流扁平化、变量名混淆等,但用户的问题主要集中在函数名变动上,所以应聚焦于名称变化相关的处理技术。 最后,总结这些方法,并给出一个结构清晰的回答,分点说明每种方法的原理和操作步骤,同时引用相关的引用资料(如果有的话)。但根据用户提供的引用,似乎没有直接相关的资料,但可以结合一般逆向工程知识来回答。 需要确保回答符合用户的要求:结构清晰,分步解决问题,真实可靠。同时,生成相关问题,可能涉及其他混淆技术、AST工具的具体使用、动态分析与静态分析的对比等。</think>### JavaScript逆向工程中处理函数名变动的方法 在JavaScript逆向工程中,函数名变动是代码混淆的常见手段,主要通过以下方法处理: --- #### 1. **AST(抽象语法树)分析** - **原理**:通过解析代码的语法结构,识别函数定义与调用的逻辑关系,即使函数名被修改,也能通过代码结构追踪功能。 - **操作步骤**: 1. 使用工具(如Babel、ESLint)将代码解析为AST。 2. 遍历AST,标记所有`FunctionDeclaration`和`CallExpression`节点。 3. 根据调用关系和上下文逻辑,为函数添加自定义注释或别名。 - **示例**: ```javascript // 原始混淆代码 function a() { console.log("func1"); } function b() { a(); } // AST分析后重命名 function func1() { console.log("func1"); } function func2() { func1(); } ``` --- #### 2. **Hook技术动态拦截** - **原理**:通过注入代码,在函数执行时捕获其输入输出,无需依赖函数名。 - **工具**:浏览器开发者工具、Frida、TamperMonkey。 - **操作步骤**: 1. 在浏览器中定位目标函数(即使名称随机)。 2. 使用`console.log`或`debugger`语句拦截函数调用。 3. 记录参数、返回值及调用堆栈。 - **示例**: ```javascript // 动态Hook示例 const originalFunc = window.randomName; window.randomName = function(...args) { console.log("参数:", args); const result = originalFunc.apply(this, args); console.log("返回值:", result); return result; }; ``` --- #### 3. **内存断点与行为分析** - **原理**:通过内存断点定位函数入口,分析其行为特征。 - **工具**:Chrome DevTools、x64dbg。 - **操作步骤**: 1. 在浏览器中触发目标函数(如点击按钮)。 2. 在Memory面板中搜索相关数据(如加密结果)。 3. 回溯到生成该数据的函数地址,设置断点并分析逻辑。 --- #### 4. **字符串特征匹配** - **原理**:通过函数内部的特征字符串(如API域名、特定错误信息)定位目标。 - **操作步骤**: 1. 使用正则表达式搜索代码中的特征字符串。 2. 定位到包含该字符串的函数,分析其逻辑。 - **示例**: ```javascript // 在代码中搜索特征字符串 /function \w+\(\)\{.*?http:\/\/api\.example\.com.*?\}/gs ``` --- #### 5. **上下文调用链分析** - **原理**:通过代码执行流程推断函数功能。 - **操作步骤**: 1. 从入口点(如事件监听)逐步追踪函数调用链。 2. 结合参数传递和数据处理逻辑,推测函数作用。 - **示例**: ```javascript // 入口:按钮点击事件 document.getElementById("btn").addEventListener("click", () => { const data = randomName(encrypt(input)); // 推断randomName可能为数据处理函数 }); ``` --- ### 相关问题 1. 如何通过AST修改JavaScript混淆代码的控制流? 2. 动态Hook技术能否绕过反调试机制? 3. 字符串特征匹配在对抗混淆时有哪些局限性? 4. 如何结合静态分析与动态分析提升逆向效率?
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值