Comodo COM保护补充介绍

星之梦

COM: Component Object Model Technologies
微软的COM（组件对象模型）技术使Windows系列操作系统中软件的组件可以进行沟通。所使用的COM开发人员能够创建可重复使用的软件组件，连接组件集成在一起，建立应用程序，并可以利用Windows服务。COM技术包括COM + 、分布式COM （ DCOM技术）和ActiveX ®控件。

例如：COM OLE技术能使Word文件动态链接Excel表格中的数据和COM自动允许用户建立自己的应用程序中的脚本来执行重复任务或实现从另一个程序控制一个程序。(Comodov2的时候就有专门的功能控制，V3里阻止某个行为可以有多种方式，不局限于COM保护)

之前U版的打磨贴中
http://bbs.kafan.cn/viewthread.php?tid=174493
和月光下的忍者的回复
http://bbs.kafan.cn/viewthread.php?tid=428739
已经初步介绍了一下，下面我补充几个：

Pseudo COM Interfaces - Privileges
LocalSecurityAuthority.IncreaseBasePriority
进程优先级

Pseudo COM Interfaces - Important Ports
\RPC Control\AudioSrv
声音服务

\RPC Control\epmapper
epmapper与(LPC或命名管道相关)，不同程序阻止后效果也各异，
如复制不能、QQ迷你首页不能弹出、群共享无法访问等。

\RPC Control\OLE*
这个我一般全局阻止

\KnownDlls\*
这个是一个Windows NT (和Win9x)系统常用DLL的"缓冲"机制，最初是为了改善应用加载时间。
一般当一个程序找到DLL导入记录到程序中的时候，先读取DLL文件然后Map到内存。
没错，但并非完全如此。事实上，在这之前程序先寻找一个叫\KnownDlls\(DLL文件名)的部分，
如果这部分存在，读DLL文件这步就会被替代。MSDN里叫做加载时动态链接库和运行时动态链接库。
一个列入KnownDlls的DLL比普通情况下的DLL更难被木马注入，但反过来木马如果要利用这里的话。。。


大部分COM保护的原则是：系统程序放行，其他程序阻止。
往往可以给恶意程序一招致命。

另外就是\RPC Control\*下还有很多好玩的。。。我列举的仅仅是九牛一毛。。。

像{9BA05972- F6A8- 11CF- A442-00A0C90A8F39}这种字母数字的COM多到数不清，

所以尽量不要考虑在COM保护里用*

[ 本帖最后由 星之梦 于 2009-4-4 14:50 编辑 ]

月光下的忍者

欢迎补充~

期待把九牛剩下的九毛都补充出来~

（尤其是好玩的，我就喜欢好玩的~）

Anderson997

大家补充一下然后总结个白名单啊

liudianshui

偶就知道常用的。其他的都是什么啊，乱七八糟的。

cqpreson

强帖，我只知道一些。

gamegm

九毛是多少啊 ！！

loveyuwei

前排支持哦。

Mr.Z

支持,增進知識

author

这个要好好学习一下！

chen月

哇塞  长见识了呀  真的从来没有听说过的分析呢  谢谢LZ