COM-Hound是一款COM劫持工具,它整合了acCOMplice和COM-Hunter的主要功能。并改进了它们的一些不足,如COM-Hunter不支持32位程序,也不支持快速清理劫持注册表键
几大痛点:
-
acCOMplice是基于powershell,感觉运行起来有点麻烦。另外,有的环境可能禁用powershell。
-
acCOMplice检测可劫持的CLSID,但CLSID对应的DLL不知道是哪一个,选择CLSID来做劫持时有点选择困难。需要进行手工查询,很麻烦很费时间。
-
另一款工具COM-Hunter,也有一些不足。首先是不支持32位程序,再一个是不能快速清除劫持的键。
e.g
detect命令
从Procmon导出文件中检测可劫持的键
query命令
快速查询单个CLSID对应的注册表键
e.g
这里也可以验证COM-hunter把32位程序劫持的注册表键错误添加到64位注册表下了
persist命令
快速进行COM劫持利用
clean命令
快速删除劫持的注册表键
e.g
后续再添加基于其他功能。先完成,再完善。