在一份恶意软件分析服务的报告中,我发现了以下有关所分析文件的内容:
Connects to LPC ports
details: "<Input Sample>" connecting to "\ThemeApiPort"
source: API Call
这是什么意思?\ThemeApiPort 是什么?
答案1
什么是 \ThemeApiPort?
\ThemeApiPort?是用于进程间通信的 LPC 端口,在本例中用于在 Windows XP 上提供主题管理。
LPC(本地过程调用)是 Microsoft Windows 内核组件,用于进程间通信(IPC)。此未记录的接口在已知的 Windows API 的后台使用。大多数系统组件使用 LPC 接口与较低级别的安全程序进行通信
来源通过 LPC 和 ALPC 接口升级 Windows 权限(pdf)。
上述论文确定了与 LPC 和 ALPC 接口相关的权限提升漏洞。
(A)LPC 接口是 Windows NT 未记录的 Native API 的一部分,因此应用程序无法直接使用。但是,可以在以下情况下间接使用它:
- 当使用 Microsoft RPC API 进行本地通信时,即在同一台计算机上的进程之间
- 通过调用使用 (A)LPC 实现的 Windows API
有几种病毒利用\ThemeApiPort漏洞将代码注入 Windows 进程,例如:
TR/间谍.1350396
注射 >
%WINDIR%\System32\svchost.exe{<-\ThemeApiPort}