Astharot15/COMLoaderAstharot
GitHub: Astharot15/COMLoaderAstharot
针对特定 CLSID 的 COM 劫持工具,通过 COM 对象实现进程持久化加载与网络通信。
Stars: 40 | Forks: 8
## 针对 CLSID {9FC8E510-A27C-4B3B-B9A3-BF65F00256A8} 的 COM 劫持
### 有趣的细节
该劫持针对 chrome 和 msedge;它在 explorer 中也有效,但很可能会导致崩溃。
使用的回调函数是 **LdrCallEnclave**。
一个 Download 函数被注释掉了。它在 .exe 编译时可以正常工作,但当编译为 dll 时,会被 AV 捕获;因此使用了 winhttp 来代替 wininet。
该 payload 使用 event 对象进行进程同步,而不是传统的 mutex。
这个 COM 对象非常可靠;它已经连续工作了 6 个月且没有崩溃。
标签:API接口, COM劫持, UML, 免杀技术, 安全, 暴力破解检测, 端点可见性, 超时处理