利用BHO实现IE浏览器劫持技术详解<\/h1>

0x00 前言<\/h2>
Browser Helper Object (BHO)是微软提供的浏览器扩展技术，允许开发者创建与IE浏览器深度交互的组件。本文详细讲解BHO的开发流程和利用技术，包括如何通过BHO实现IE浏览器劫持、数据窃取等高级功能。<\/p>

0x01 BHO技术简介<\/h2>

BHO（浏览器辅助对象）是微软推出的浏览器扩展标准，具有以下特性：<\/p>

与浏览器实例生命周期同步（随浏览器启动\/关闭）<\/li>
可获取和控制浏览器行为（导航、页面内容等）<\/li>
需要注册到系统注册表<\/li>

注册位置：

HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{GUID}<\/code><\/li>

HKEY_CLASSES_ROOT\CLSID\{GUID}<\/code><\/li>
<\/ul>
<\/li>
<\/ul>
0x02 BHO开发环境准备<\/h2>
开发工具<\/h3>

Visual Studio 2012（或更高版本）<\/li>
ATL（Active Template Library）支持<\/li>
<\/ul>
开发步骤<\/h3>


创建ATL项目<\/strong><\/p>

新建项目 → Visual C++ → ATL项目<\/li>
添加类 → ATL → ATL简单对象<\/li>
设置简称为HelloWorldBHO<\/code><\/li>
勾选IObjectWithSite<\/code>接口（IE对象支持）<\/li>
<\/ul>
<\/li>

关键文件说明<\/strong><\/p>

HelloWorldBHO.h<\/code>\/.cpp<\/code>：主实现文件<\/li>
dllmain.cpp<\/code>：DLL入口点<\/li>
HelloWorld.rgs<\/code>：注册脚本，包含BHO的GUID<\/li>
HelloWorldBHO.rgs<\/code>：定义BHO名称<\/li>
helloworld.rc<\/code>：资源文件，包含发行者和版本信息<\/li>
<\/ul>
<\/li>
<\/ol>
0x03 BHO基础功能实现<\/h2>
示例：页面加载完成时弹窗显示URL<\/h3>
void<\/span> STDMETHODCALLTYPE CHelloWorldBHO::<\/span>OnDocumentComplete(IDispatch *<\/span>pDisp, VARIANT *<\/span>pvarURL) {
<\/span><\/span>    BSTR url =<\/span> pvarURL-><\/span>bstrVal;
<\/span><\/span>    CComBSTR u<\/span>(url);
<\/span><\/span>    HWND hwnd;
<\/span><\/span>    HRESULT hr =<\/span> m_spWebBrowser-><\/span>get_HWND((LONG_PTR*<\/span>)&<\/span>hwnd);
<\/span><\/span>    if<\/span> (SUCCEEDED(hr)) {
<\/span><\/span>        MessageBox(0<\/span>, u, L<\/span>"the url is"<\/span>, MB_OK);
<\/span><\/span>    }
<\/span><\/span>}
<\/span><\/span><\/code><\/pre>BHO注册与卸载<\/h3>


注册DLL<\/strong><\/p>
regsvr32 helloworld.dll \/s
<\/code><\/pre>
\/s<\/code>参数用于静默注册（不显示成功对话框）<\/p>
<\/li>

卸载DLL<\/strong><\/p>
regsvr32 helloworld.dll \/s \/u
<\/code><\/pre>
或直接删除注册表相关键值<\/p>
<\/li>
<\/ol>
0x04 BHO高级利用技术<\/h2>
1. 伪造微软签名隐藏BHO<\/h3>
步骤：<\/strong><\/p>


从Office文件中提取合法签名（如URLREDIR.DLL<\/code>）<\/p>
C:\Program Files\Microsoft Office\Office14\URLREDIR.DLL
<\/code><\/pre>
<\/li>

使用SigThief工具添加签名<\/p>
sigthief.py -i "C:\Program Files\Microsoft Office\Office14\URLREDIR.DLL"<\/span> -t helloworld.dll -o new.dll
<\/span><\/span><\/code><\/pre><\/li>

劫持系统签名验证功能（需管理员权限）<\/p>
REG ADD "HKLM\SOFTWARE\Microsoft\Cryptography\OID\EncodingType 0\CryptSIPDllVerifyIndirectData\{C689AAB8-8E78-11D0-8C47-00C04FC295EE}"<\/span> \/v "Dll"<\/span> \/t REG_SZ \/d "C:\Windows\System32\ntdll.dll"<\/span> \/f
<\/span><\/span>REG ADD "HKLM\SOFTWARE\Microsoft\Cryptography\OID\EncodingType 0\CryptSIPDllVerifyIndirectData\{C689AAB8-8E78-11D0-8C47-00C04FC295EE}"<\/span> \/v "FuncName"<\/span> \/t REG_SZ \/d "DbgUiContinue"<\/span> \/f
<\/span><\/span><\/code><\/pre><\/li>
<\/ol>
2. 抓取浏览器POST数据<\/h3>
实现原理：<\/strong><\/p>

在BeforeNavigate2<\/code>事件前拦截HTTP请求<\/li>
解析POST数据内容<\/li>
<\/ul>
关键代码参考：<\/strong><\/p>
STDMETHODIMP CBhoApp::<\/span>Invoke(DISPID dispidMember, REFIID riid, LCID lcid, WORD wFlags, DISPPARAMS *<\/span>pDispParams, VARIANT *<\/span>pvarResult, EXCEPINFO *<\/span>pExcepInfo, UINT *<\/span>puArgErr)
<\/span><\/span>{
<\/span><\/span>    \/\/ 实现POST数据捕获逻辑
<\/span><\/span><\/span><\/span>}
<\/span><\/span><\/code><\/pre>日志存储：<\/strong><\/p>

使用GetTempPath<\/code>获取临时目录<\/li>
IE权限下实际路径为%Temp%\Low<\/code><\/li>
<\/ul>
3. 通过IE下载文件<\/h3>
优势：<\/p>

防火墙显示下载程序为IE浏览器<\/li>
可绕过某些安全产品的第三方程序拦截<\/li>
<\/ul>
4. 页面JS注入<\/h3>
参考开源项目：<\/p>

BHO JS注入示例<\/a><\/li>
<\/ul>
0x05 权限提升技术<\/h2>
默认BHO运行在低权限(Low Integrity)环境，如需更高权限：<\/p>

利用其他漏洞提升权限<\/li>
通过COM接口提升<\/li>
利用IE特权区域特性<\/li>
<\/ol>
0x06 防御与检测<\/h2>
防御措施<\/h3>

限制管理员权限获取<\/li>
启用IE保护模式<\/li>
禁用不必要的BHO加载项<\/li>
<\/ul>
检测方法<\/h3>


检查IE加载项<\/strong><\/p>

路径：工具 → 管理加载项<\/li>
关注点：

未验证的发行者<\/li>
可疑的加载项名称<\/li>
异常的文件日期<\/li>
<\/ul>
<\/li>
<\/ul>
<\/li>

检查进程加载的DLL<\/strong><\/p>

使用Process Explorer等工具<\/li>
检查iexplore.exe加载的非系统DLL<\/li>
<\/ul>
<\/li>

注册表监控<\/strong><\/p>

监控HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\<\/code><\/li>
监控HKEY_CLASSES_ROOT\CLSID\<\/code>下的可疑项<\/li>
<\/ul>
<\/li>
<\/ol>
0x07 总结<\/h2>
BHO技术提供了强大的浏览器控制能力，既可合法使用，也可被恶意利用。安全人员应：<\/p>

了解BHO工作机制<\/li>
掌握检测方法<\/li>
实施适当的防御措施<\/li>
<\/ol>
开源项目参考：<\/strong><\/p>

BHO POST数据记录器<\/a><\/li>
BHO基础示例<\/a><\/li>
BHO JS注入<\/a><\/li>
<\/ul>

利用BHO实现IE浏览器劫持技术详解<\/h1>

0x00 前言<\/h2> Browser Helper Object (BHO)是微软提供的浏览器扩展技术，允许开发者创建与IE浏览器深度交互的组件。本文详细讲解BHO的开发流程和利用技术，包括如何通过BHO实现IE浏览器劫持、数据窃取等高级功能。<\/p>

0x02 BHO开发环境准备<\/h2>

0x03 BHO基础功能实现<\/h2>

0x04 BHO高级利用技术<\/h2>

4. 页面JS注入<\/h3> 参考开源项目：<\/p> BHO JS注入示例<\/a><\/li> <\/ul> 0x05 权限提升技术<\/h2> 默认BHO运行在低权限(Low Integrity)环境，如需更高权限：<\/p>

0x05 权限提升技术<\/h2> 默认BHO运行在低权限(Low Integrity)环境，如需更高权限：<\/p>

0x06 防御与检测<\/h2>

防御措施<\/h3> 限制管理员权限获取<\/li> 启用IE保护模式<\/li>

0x00 前言<\/h2>
Browser Helper Object (BHO)是微软提供的浏览器扩展技术，允许开发者创建与IE浏览器深度交互的组件。本文详细讲解BHO的开发流程和利用技术，包括如何通过BHO实现IE浏览器劫持、数据窃取等高级功能。<\/p>