Hijack CAccPropServicesClass and MMDeviceEnumerator

什么是COM(来自WIKI

组件对象模型(英语:Component Object Model,缩写COM)是微软的一套软件组件的二进制接口标准。这使得跨编程语言的进程间通信、动态对象创建成为可能。COM是多项微软技术与框架的基础,包括OLE、OLE自动化、ActiveX、COM+、DCOM、Windows shell、DirectX、Windows Runtime。

这个和CRL劫持.NET程序类似,也是通过修改CLSID下的注册表键值,实现对CAccPropServicesClassMMDeviceEnumerator的劫持,而系统很多正常程序启动时需要调用这两个实例,所以这个很适合我们的后门持久化。

经测试貌似64位系统下不行(或许是我姿势的问题),但是32位系统下可以,下面说一下32位系统利用方法:

%APPDATA%\Microsoft\Installer\{BCDE0395-E52F-467C-8E3D-C4579291692E}\下放入我们的后门dll,重命名为test._dl

PS:如果Installer文件夹不存在,则依次创建Installer\{BCDE0395-E52F-467C-8E3D-C4579291692E}

image

然后就是修改注册表了,在注册表位置为:HKCU\Software\Classes\CLSID\下创建项{b5f8350b-0548-48b1-a6ee-88bd00b4a5e7},然后再创建一个子项InprocServer32,默认为我们的dll文件路径:C:\Users\qiyou\AppData\Roaming\Microsoft\Installer\{BCDE0395-E52F-467C-8E3D-C4579291692E},再创建一个键ThreadingModel,其键值为:Apartment

image

然后就是测试了,打开iexplore.exe,成功弹框

image

PS:{b5f8350b-0548-48b1-a6ee-88bd00b4a5e7}对应CAccPropServicesClass{BCDE0395-E52F-467C-8E3D-C4579291692E}对应MMDeviceEnumerator

零组资料文库 all right reserved,powered by 0-sec.org未经授权禁止转载 2020-03-06 00:34:07

results matching ""

    No results matching ""