[求助]拦截COM事件通知槽的通知事件，屏蔽IConnectionPoint Advise挂载连接点-软件逆向-看雪-安全社区|安全招聘|kanxue.com

[求助]拦截COM事件通知槽的通知事件，屏蔽IConnectionPoint Advise挂载连接点

发表于: 2015-6-3 11:36 5087

[求助]拦截COM事件通知槽的通知事件，屏蔽IConnectionPoint Advise挂载连接点

圜长

2015-6-3 11:36

5087

起因：
Com 可以通过 IConnectionPoint 对象的 Advise 来挂载连接点获得Com服务器的通知事件。一般情况Com会对所有已挂载的对象进行通知。但是我想屏蔽掉Com的事件通知，因为事件通知中可以对数据进行修改。

分析：

通过查文档发现 MS 的 COM 对进程内或进程间的通讯使用 LPC 技术，所以打算从LPC下手。

1.调试发现COM调用了NdrClientCall2来进行交互（不一定正确哈，技术有限）。
但是NdrClientCall2是一个不定参。。。Hook的话不知道怎么往下传。。。所以搁浅。

2.另外尝试过从LPC的NtReplyWaitReceivePortEx下手，但是不知道怎么区别COM和其他调用，所以也没做出来。

有做过类似研究的大牛么？

[注意]传递专业知识、拓宽行业人脉——看雪讲师团队等你加入！

#系统底层

收藏・0

免费・0

支持

最新回复 (2)
ollyicedg 雪币： 52 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 12 回帖 59 粉丝 0 关注私信	ollyicedg 2 楼没有试过，但你可以通过当前线程堆栈中是否有代理存根中的返回地址来判断。 2015-6-3 12:44 0
hulucc 雪币： 81 活跃值： (100) 能力值： ( LV3，RANK：20 ) 在线值：发帖 22 回帖 469 粉丝 1 关注私信	hulucc 3 楼 NdrClientCall2是看lpc rpc具体的协议是怎么实现的，分析一下即可 2015-6-3 15:17 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复

圜长

发帖

回帖

RANK

关注

私信

他的文章

关于我们

联系我们

企业服务

看雪公众号

专注于PC、移动、智能设备安全研究及逆向工程的开发者社区

最新回复 (2)
ollyicedg 雪币： 52 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 12 回帖 59 粉丝 0 关注私信	ollyicedg 2 楼没有试过，但你可以通过当前线程堆栈中是否有代理存根中的返回地址来判断。 2015-6-3 12:44 0
hulucc 雪币： 81 活跃值： (100) 能力值： ( LV3，RANK：20 ) 在线值：发帖 22 回帖 469 粉丝 1 关注私信	hulucc 3 楼 NdrClientCall2是看lpc rpc具体的协议是怎么实现的，分析一下即可 2015-6-3 15:17 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复