在惡意軟體分析服務的報告中,我發現了以下有關分析文件的內容:
Connects to LPC ports
details: "<Input Sample>" connecting to "\ThemeApiPort"
source: API Call
這是什麼意思?什麼是 \ThemeApiPort?
答案1
什麼是 \ThemeApiPort?
\ThemeApiPort?是一個用於進程間通訊的 LPC 端口,在本例中用於在 Windows XP 上提供主題管理。
LPC(本機程序呼叫)是 Microsoft Windows 核心元件,用於進程間通訊 (IPC)。這個未記錄的介面用於已知的 Windows API 的後台。大多數系統組件使用LPC介面與較低階的安全程序進行通信
來源透過 LPC 和 ALPC 介面進行 WINDOWS 權限升級(pdf)。
上述論文識別了與 LPC 和 ALPC 介面相關的權限提升漏洞。
(A)LPC 介面是Windows NT 未公開的本機API 的一部分,因此無法供應用程式直接使用。但是,在以下情況下可以間接使用它:
- 當使用 Microsoft RPC API 進行本機通訊時,即同一台電腦上的進程之間
- 透過呼叫使用 (A)LPC 實現的 Windows API
有許多病毒利用\ThemeApiPort漏洞將程式碼注入Windows進程,例如:
TR/Spy.1350396
注射 >
%WINDIR%\System32\svchost.exe{<-\ThemeApiPort}