themeapiport 有什么作用?

themeapiport 有什么作用?

在一份恶意软件分析服务的报告中,我发现了以下有关所分析文件的内容:

Connects to LPC ports

details: "<Input Sample>" connecting to "\ThemeApiPort"
source: API Call

这是什么意思?\ThemeApiPort 是什么?

答案1

什么是 \ThemeApiPort?

\ThemeApiPort?是用于进程间通信的 LPC 端口,在本例中用于在 Windows XP 上提供主题管理。

LPC(本地过程调用)是 Microsoft Windows 内核组件,用于进程间通信(IPC)。此未记录的接口在已知的 Windows API 的后台使用。大多数系统组件使用 LPC 接口与较低级别的安全程序进行通信

来源通过 LPC 和 ALPC 接口升级 Windows 权限(pdf)。

上述论文确定了与 LPC 和 ALPC 接口相关的权限提升漏洞。

(A)LPC 接口是 Windows NT 未记录的 Native API 的一部分,因此应用程序无法直接使用。但是,可以在以下情况下间接使用它:

  • 当使用 Microsoft RPC API 进行本地通信时,即在同一台计算机上的进程之间
  • 通过调用使用 (A)LPC 实现的 Windows API

来源本地进程间通信 - 维基百科

有几种病毒利用\ThemeApiPort漏洞将代码注入 Windows 进程,例如:

TR/间谍.1350396

注射 >%WINDIR%\System32\svchost.exe{<-\ThemeApiPort}

来源TR/Spy.1350396 - Avira 病毒实验室

相关内容