阅读:2397回复:19
有没有办法在驱动中拦截类似于Word.application、InternetExplorer.application 之类OLE对象创建
有一个穿透程序总是通过InternetExplorer.application获得现有的或者新建一个OLE对象进行发包。而 IE程序是白名单中的白名单。我使用什么办法能够在驱动中实现类似于拦截CreateObject或者GetObject函数的效果。以便对穿透程序进行阻止
|
|
沙发#
发布于:2006-12-31 19:05
越看guaiguaiguan越象是在做安全软件,企业主动防御?
|
|
|
板凳#
发布于:2006-12-31 22:45
驱动不行~只有Com组件过滤可以~
我以前也想用驱动作~~ |
|
|
地板#
发布于:2007-01-01 19:04
怎么个过滤法,有没有通用性,比如说我希望所有的COM或者OLE对象的创建或者获取现有事例,都经过自己的COM组件。然后由这个COM组件统一调度。
|
|
地下室#
发布于:2007-01-01 20:49
引用第3楼guaiguaiguan于2007-01-01 19:04发表的“”: 好像M$有例子 |
|
|
5楼#
发布于:2007-01-01 21:12
com 接口 hook
codeproject上有例子 |
|
|
6楼#
发布于:2007-01-01 22:23
谢谢楼上各位,包括WQXNETQIQI
|
|
7楼#
发布于:2007-01-01 23:32
。。。。你
|
|
|
8楼#
发布于:2007-01-03 09:59
谢谢楼上各位,包括WQXNETQIQI
|
|
9楼#
发布于:2007-01-03 14:34
|
|
|
10楼#
发布于:2007-01-03 15:05
V大居然去我同学的BLOG。。。
|
|
|
11楼#
发布于:2007-01-03 17:41
我的实现目标是允许正常的IE访问网络,而阻塞某些软件使用OLE机制借用IE访问网络。这些软件是通过CreateObject("InternetExplorer.Application");或者GetObject("InternetExplorer.Application");得到一个自动化指针,然后使用它明修栈道暗度陈仓。
我可以通过注册表HOOK拦截//REGISTRY//MACHINE//CLASSES//InternetExplorer.Application键达到这个目的,但是感觉这个办法不太好,有没有更好的思路?这些应用在应用层实现总是感觉有些不爽,比如说,它需要进程注入和钩子。从而限制了它的应用。 |
|
12楼#
发布于:2007-01-03 19:53
SSM也不能拦CreateObject开IE的
PS:我终于知道guaiguaiguan是干什么的了 |
|
|
13楼#
发布于:2007-01-03 20:47
引用第12楼WQXNETQIQI于2007-01-03 19:53发表的“”: 你这不是逼着我使用马甲吗? |
|
14楼#
发布于:2007-01-03 21:02
你的帖子很有特色,用马甲也一定会被认出来的
快从实招来你做什么的吧 |
|
|
15楼#
发布于:2007-01-04 08:43
引用第14楼WQXNETQIQI于2007-01-03 21:02发表的“”: 安全 |
|
16楼#
发布于:2007-01-04 08:59
具体做什么东东呢,悄悄告诉偶。。。
|
|
|
17楼#
发布于:2007-01-04 10:17
悄悄告诉你,别告诉别人啊,是Windows 安全,
可惜,你们哪儿又不招人?告诉你,也没有什么用 |
|
18楼#
发布于:2007-01-04 10:34
我们招人,你看xyzreg就是一个我们组织内的榜样阿~~
嘿嘿,我快离职了~~ |
|
|
19楼#
发布于:2007-01-04 11:32
引用第18楼killvxk于2007-01-04 10:34发表的“”: 你们那高人太多,我等菜鸟去了,岂不要累得吐血而死。 |
|