Есть ли хорошая ссылка для сигнатур COM-объектов?


13

При выполнении RE на некоторых двоичных файлах Microsoft я все время просматриваю ссылки на COM-объекты. Есть ли хорошее центральное место для перевода некоторых GUID, которые я нахожу для какого-то типа объекта, не заставляя его следовать за некоторым известным родителем (если мне повезло?). Будет ли интерес к созданию такого хранилища?

6

Я не знаю какого-либо репозитория, но OLE/COM Object Viewer (oleview.exe) делает много разыменований разумно удобным способом. Я думаю, что он поставляется с большинством Visual Studios и находится в различных наборах ресурсов Windows.

  0

Гм, вы могли бы быть более конкретным? Где я могу вставить идентификатор GUID для поиска? 30 сен. 162016-09-30 19:32:49


15

Существует такой список здесь:

http://mikolajapp.appspot.com/uuid/uuidmap

Если вы используете IDA, рассмотреть возможность включения плагина COM Helper. Когда вы создаете экземпляр структуры GUID, он проверяет список, загруженный из cfg/clsid.cfg, и, если найденное совпадение, автоматически переименовывает местоположение и пытается импортировать структуру «<Classname>Vtbl» из загруженных типов библиотек, поэтому вы можете начать используя эту структуру для идентификации вызываемых методов.

Вот краткий демо:

enter image description here

  0

Спасибо за ответ Игорь. Знаете ли вы, существуют ли какие-либо библиотеки типов для некоторых COM-объектов, которые обычно не публикуются в Microsoft Symbols (например, IE и некоторые из более специализированных объектов Win32k и Office). Я очень много им помог, и было бы неплохо, если бы я где-то мог вернуть, чтобы другим людям не пришлось проходить через ту же боль. 20 мар. 132013-03-20 02:05:20

  0

Нет, никогда не слышал ничего подобного. 20 мар. 132013-03-20 14:00:19

  0

К сожалению, http://mikolajapp.appspot.com/, кажется, сломался в какой-то момент: он по-прежнему отвечает на HTTP-запросы, но, похоже, дает 404 независимо от того, что вы просите. (Это дает мне отчетливое впечатление, что оно было вытерто и никогда не было повторно развернуто.) Существует небольшая вероятность того, что некоторым службам архива удалось заглушить копию загружаемой версии, но мне не удалось ее открыть. 30 сен. 162016-09-30 19:30:33