[原创]COMFinder 用于查找标记COM组件中函数的IDA插件

2019-1-8 20:57 6985

[原创]COMFinder 用于查找标记COM组件中函数的IDA插件

HOWMP

活跃值

1

2019-1-8 20:57

6985

COMFinder

IDA plugin for COM

这是一个IDA的插件，依赖于IDAPython，用于查找标记COM组件中函数

效果图

左侧为IDA中效果，右侧对比了ComRaider

原理

在IDAPython中通过pywin32的pythoncom获取COM组件中的原型

使用独立的程序获取COM组件中原型对应的虚表

特别注意：由于需要加载dll之后获取虚表，所以千万不要用于恶意程序分析

安装

安装IDA的时候，要勾选IDAPython

用IDAPython的pip，安装pywin32

默认情况下，使用命令：C:\python27-x64\Scripts\pip.exe install pywin32

将bin目录三个文件复制到插件目录

默认情况下，在这个目录：C:\Program Files\IDA 7.0\plugins

代码：https://github.com/howmp/COMFinder

插件见附件

[培训]《安卓高级研修班(网课)》月薪三万计划，掌握调试、分析还原ollvm、vmp的方法，定制art虚拟机自动化脱壳的方法

#[PEtools] #[spy]

上传的附件：

bin.zip （125.51kb，56次下载）

收藏・10

点赞・2

打赏

分享

打赏 + 2.00雪花

打赏次数 1

雪花 + 2.00

+2.00

2019/01/09

最新回复 (7)
junkboy 雪币： 11716 活跃值： (133) 能力值： ( LV2，RANK：10 ) 在线值：发帖 5 回帖 347 粉丝 2 关注私信	junkboy 2019-1-9 01:51 2 楼 0 支持
芃杉雪币： 36 活跃值： (941) 能力值： ( LV3，RANK：30 ) 在线值：发帖 1 回帖 108 粉丝 1 关注私信	芃杉 2019-1-9 10:07 3 楼 0 mark
Editor 雪币： 17842 活跃值： (59828) 能力值： (RANK：125 ) 在线值：发帖 1190 回帖 2881 粉丝 1480 关注私信	Editor 2019-1-9 10:34 4 楼 0 赞！
SevenSir 雪币： 134 活跃值： (377) 能力值： ( LV4，RANK：50 ) 在线值：发帖 5 回帖 66 粉丝 1 关注私信	SevenSir 1 2019-1-9 10:50 5 楼 0 赞！最近刚好在分析COM程序。用一下试试效果再来评论。
HOWMP 雪币： 1542 活跃值： (1548) 能力值： ( LV6，RANK：80 ) 在线值：发帖 8 回帖 246 粉丝 7 关注私信	HOWMP 1 2019-1-9 18:18 6 楼 0 SevenSir 赞！最近刚好在分析COM程序。用一下试试效果再来评论。欢迎反馈，也可以提issue https://github.com/howmp/COMFinder/issues/new
王cb 雪币： 8191 活跃值： (5879) 能力值： ( LV12，RANK：430 ) 在线值：发帖 33 回帖 91 粉丝 132 关注私信	王cb 8 2019-1-17 10:47 7 楼 0 朋友,我也对com组件和逆向感兴趣,有兴趣一起来讨论com组件提权方面的技术吗
husterlong 雪币： 296 活跃值： (236) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 9 粉丝 0 关注私信	husterlong 2019-11-5 21:32 8 楼 0 大佬，怎么用？IDA7怎么不识别
	游客登录 \| 注册方可回帖　回帖　表情雪币赚取及消费高级回复

返回

HOWMP

发帖

回帖

RANK

关注

他的文章

[原创]CobaltStrike的检测

[原创]COMFinder 用于查找标记COM组件中函数的IDA插件

[原创]静态获取MFC的MESSAGE_MAP表

[原创]记一次安卓游戏破解

看雪公众号

专注于PC、移动、智能设备安全研究及逆向工程的开发者社区