[原创]COMFinder 用于查找标记COM组件中函数的IDA插件

发表于: 2019-1-8 20:57 7410

[原创]COMFinder 用于查找标记COM组件中函数的IDA插件

HOWMP

活跃值

1

2019-1-8 20:57

7410

COMFinder

IDA plugin for COM

这是一个IDA的插件，依赖于IDAPython，用于查找标记COM组件中函数

效果图

左侧为IDA中效果，右侧对比了ComRaider

原理

在IDAPython中通过pywin32的pythoncom获取COM组件中的原型

使用独立的程序获取COM组件中原型对应的虚表

特别注意：由于需要加载dll之后获取虚表，所以千万不要用于恶意程序分析

安装

安装IDA的时候，要勾选IDAPython

用IDAPython的pip，安装pywin32

默认情况下，使用命令：C:\python27-x64\Scripts\pip.exe install pywin32

将bin目录三个文件复制到插件目录

默认情况下，在这个目录：C:\Program Files\IDA 7.0\plugins

代码：https://github.com/howmp/COMFinder

插件见附件

[培训]内核驱动高级班，冲击BAT一流互联网大厂工作，每周日13:00-18:00直播授课

#[PEtools] #[spy]

上传的附件：

bin.zip （125.51kb，56次下载）

收藏・10

免费・2

支持

分享

打赏 + 2.00雪花

打赏次数 1

雪花 + 2.00

+2.00

2019/01/09

最新回复 (7)
junkboy 雪币： 11716 活跃值： (133) 能力值： ( LV2，RANK：10 ) 在线值：发帖 5 回帖 348 粉丝 2 关注私信	junkboy 2 楼支持 2019-1-9 01:51 0
芃杉雪币： 36 活跃值： (1061) 能力值： ( LV3，RANK：30 ) 在线值：发帖 1 回帖 107 粉丝 1 关注私信	芃杉 3 楼 mark 2019-1-9 10:07 0
Editor 雪币： 26245 活跃值： (63297) 能力值： (RANK：135 ) 在线值：发帖 1608 回帖 4397 粉丝 1772 关注私信	Editor 4 楼赞！ 2019-1-9 10:34 0
SevenSir 雪币： 129 活跃值： (407) 能力值： ( LV4，RANK：50 ) 在线值：发帖 5 回帖 70 粉丝 1 关注私信	SevenSir 1 5 楼赞！最近刚好在分析COM程序。用一下试试效果再来评论。 2019-1-9 10:50 0
HOWMP 雪币： 2827 活跃值： (2628) 能力值： ( LV6，RANK：80 ) 在线值：发帖 8 回帖 248 粉丝 7 关注私信	HOWMP 1 6 楼 SevenSir 赞！最近刚好在分析COM程序。用一下试试效果再来评论。欢迎反馈，也可以提issue https://github.com/howmp/COMFinder/issues/new 2019-1-9 18:18 0
王cb 雪币： 11695 活跃值： (7179) 能力值： ( LV13，RANK：550 ) 在线值：发帖 38 回帖 136 粉丝 149 关注私信	王cb 11 7 楼朋友,我也对com组件和逆向感兴趣,有兴趣一起来讨论com组件提权方面的技术吗 2019-1-17 10:47 0
husterlong 雪币： 296 活跃值： (236) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 10 粉丝 0 关注私信	husterlong 8 楼大佬，怎么用？IDA7怎么不识别 2019-11-5 21:32 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复

返回

HOWMP

发帖

回帖

RANK

他的文章

看雪公众号

专注于PC、移动、智能设备安全研究及逆向工程的开发者社区

//