악성 코드 분석 서비스 보고서에서 분석된 파일에 대해 다음과 같은 내용을 발견했습니다.
Connects to LPC ports
details: "<Input Sample>" connecting to "\ThemeApiPort"
source: API Call
이것은 무엇을 의미 하는가? \ThemeApiPort가 무엇인가요?
답변1
\ThemeApiPort가 무엇인가요?
\ThemeApiPort?프로세스 간 통신에 사용되는 LPC 포트입니다. 이 경우 Windows XP에서 테마 관리를 제공합니다.
LPC(Local Procedure Call)는 프로세스 간 통신(IPC)에 사용되는 Microsoft Windows 커널 구성 요소입니다. 이 문서화되지 않은 인터페이스는 알려진 Windows API의 백그라운드에서 사용됩니다. 대부분의 시스템 구성 요소는 LPC 인터페이스를 사용하여 하위 수준 보안 프로그램과 통신합니다.
원천LPC 및 ALPC 인터페이스를 통한 WINDOWS 권한 상승(PDF).
위 문서에서는 LPC 및 ALPC 인터페이스와 관련된 권한 상승 취약점을 식별합니다.
(A)LPC 인터페이스는 Windows NT의 문서화되지 않은 기본 API의 일부이므로 응용 프로그램에서 직접 사용할 수 없습니다. 그러나 다음과 같은 경우에는 간접적으로 사용될 수 있습니다.
- Microsoft RPC API를 사용하여 로컬로 통신할 때(예: 동일한 시스템의 프로세스 간)
- (A)LPC로 구현된 Windows API를 호출하여
\ThemeApiPort취약점을 이용하여 Windows 프로세스에 코드를 삽입하는 여러 가지 바이러스가 있습니다 . 예를 들면 다음과 같습니다.
TR/스파이.1350396
주사 >
%WINDIR%\System32\svchost.exe{<-\ThemeApiPort}