-
-
[求助]拦截COM事件通知槽的通知事件,屏蔽IConnectionPoint Advise挂载连接点
-
发表于:
2015-6-3 11:36
5084
-
[求助]拦截COM事件通知槽的通知事件,屏蔽IConnectionPoint Advise挂载连接点
起因:
Com 可以通过 IConnectionPoint 对象的 Advise 来挂载连接点获得Com服务器的通知事件。 一般情况Com会对所有已挂载的对象进行通知。但是我想屏蔽掉Com的事件通知,因为事件通知中可以对数据进行修改。
分析:
通过查文档发现 MS 的 COM 对进程内或进程间的通讯使用 LPC 技术,所以打算从LPC下手。
1.调试发现COM调用了NdrClientCall2来进行交互(不一定正确哈,技术有限)。
但是NdrClientCall2是一个不定参。。。Hook的话不知道怎么往下传。。。所以搁浅。
2.另外尝试过从LPC的NtReplyWaitReceivePortEx下手,但是不知道怎么区别COM和其他调用,所以也没做出来。
有做过类似研究的大牛么?
[培训]内核驱动高级班,冲击BAT一流互联网大厂工作,每周日13:00-18:00直播授课