基于组件对象模型（COM）的劫持攻击技术.pdfVIP

2012 年第7 期 基于组件对象模型(COM)的劫持攻击技术 文/图 倪程 大家对臭名昭著DLL 劫持攻击技术一定有所耳闻，但基于此类攻击的演化形式如COM 组件栈缓冲区溢出漏洞攻击、COM 劫持及基于COM-Server 的二进制植入等也开始暂露头 角 。 本 文 参 考 了 ”The Anatomy of COM Server-Based Binary Planting Exploits”、”/guogangj/article/details/1801788”及 Soldatov 发表的 “COM Hijacking, or DLL Hijacking come back”等相关文章，重点分析COM 技术当前可能被利用的漏 洞点。COM 组件是符合COM 规范编写的组件。COM 是由Microsoft 提出的组件标准不仅 提供了组件之间的接口标准，还引入了面向对象的思想。在COM 标准中，对象是某个类的 实例，称为COM 对象。接口是一组方法的集合，其方法也称为接口成员函数。COM 组件 为COM 对象提供活动空间，COM 对象以COM 接口方式提供服务。下面简要介绍下COM 包含的一些基本术语： Interface ：一个接口可以看作一组称为方法的函数。接口名以‘I’打头，如“IshellFolder”， 在C++ 中，接口即是一个只含有纯虚函数的抽象基类；coclass：即组件对象类，用来实现接 口。一个COM 对象是coclass 在内存中的一个实例（instance ）；COM Server：含有一个或 多个coclass 的二进制模块（COM 或者EXE ）。COM Library ：操作系统的一部分，负责与 上层应用程序通信； GUID ：全局唯一描述符，COM 规范使用 128 位GUID 来标识COM 对象和接口，客户程序通过这些GUID 值来创建COM 对象并与之交互，每一个interface 和 coclass 都有一个GUID ，一个coclass 的类 ID 称为CLSID，一个interface 的接口ID 称为IID 。 处 1. 基于COM-Server 的二进制植入攻击手法 线 Windows 存在所谓的虚拟文件夹，如控制面板、我的电脑等。这些虚拟文件夹都是由 出 windows shell 定义过的文件夹，它们并不会与你电脑上的任何物理路径相对应。这些文件夹 防 在 Windows 注册表中都有自己的 CLSID. 如“我的电脑”对应的 CLSID 为 明 {20D04FE0-3AEA-1069-A2D8-08002B30309D} ， 控 制 面 板 的 CLSID 为 客 {21EC2020-3AEA-1069-A2DD-08002B30309D}，在已知某个虚拟文件CLSID 情形 注 下，可以很容易打开对应的文件夹，即通过“Win + R”组合键打开运行框 run，然后输 黑 入“：：+ CLSID”回车即可。此时，若我们创建一个命名为Test 的虚拟文件夹，CLSID 请 值为{20D04FE0-3AEA-1069-A2D8-08002B30309D} ，系统将会显示一个“My Computer”图标；进一步，若我们尝试打开此文件夹，实际上我们进入到了“我的电脑”。 载 我们从InProcServer32 子键中可以观察到，“我的电脑”引用了shell32.dll 文件，如图 1 所示。 转 2012 年第7