在恶意软件分析服务的报告中,我发现了与已分析文件有关的以下信息:
Connects to LPC ports
details: "<Input Sample>" connecting to "\ThemeApiPort"
source: API Call
这是什么意思?什么是\ ThemeApiPort?
\ThemeApiPort? 是用于进程间通信的LPC端口,在这种情况下,该端口用于在Windows XP上提供主题管理。
LPC(本地过程调用)是Microsoft Windows内核组件,用于进程之间的通信(IPC)。该未公开的接口在已知的Windows API的背景中使用。大多数系统组件使用LPC接口与较低级别的安全程序进行通信
来源WINDOWS特权升级THROUGH LPC和ALPC INTERFACES(PDF)。
上面的文章指出了与LPC和ALPC接口相关联的特权提升漏洞。
(A)LPC接口是Windows NT未公开的本机API的一部分,因此不可直接用于应用程序。但是,在以下情况下可以间接使用它:
- 使用Microsoft RPC API进行本地通信时,即在同一台计算机上的进程之间进行通信时
- 通过调用用(A)LPC实现的Windows API
有几种利用\ThemeApiPort漏洞将代码注入Windows进程的病毒,例如:
TR /间谍1350396
注射>
%WINDIR%\System32\svchost.exe{<-\ThemeApiPort}
本文收集自互联网,转载请注明来源。
如有侵权,请联系[email protected] 删除。
我来说两句