主页 / computer / 问题 / 1463913
Accepted
DaddyMike
Asked: 2019-07-26 02:46:28 +0800 CST

themeapiport 有什么作用?

  • 772

在恶意软件分析服务的报告中,我发现了以下有关分析文件的信息:

Connects to LPC ports

details: "<Input Sample>" connecting to "\ThemeApiPort"
source: API Call

这是什么意思?\ThemeApiPort 是什么?

malware

1 个回答

  1. Best Answer

    \ThemeApiPort 是什么?

    \ThemeApiPort?是用于进程间通信的 LPC 端口,在本例中用于在 Windows XP 上提供主题管理。

    LPC(Local Procedure Call)是Microsoft Windows内核组件,用于进程间通信(IPC)。这个未记录的接口用于已知 Windows API 的后台。大多数系统组件使用 LPC 接口与较低级别的安全程序通信

    来源WINDOWS PRIVILEGE ESCALATION THROUGH LPC AND ALPC INTERFACES (pdf)。

    上述文件确定了与 LPC 和 ALPC 接口相关的权限升级漏洞。

    (A)LPC 接口是 Windows NT 未记录的本机 API 的一部分,因此不能供应用程序直接使用。但是,它可以在以下情况下间接使用:

    • 当使用 Microsoft RPC API 进行本地通信时,即在同一台机器上的进程之间
    • 通过调用使用 (A)LPC 实现的 Windows API

    本地进程间通信 - 维基百科

    有几种病毒利用\ThemeApiPort漏洞向 Windows 进程注入代码,例如:

    TR/间谍.1350396

    注射剂 >%WINDIR%\System32\svchost.exe{<-\ThemeApiPort}

    来源TR/Spy.1350396 - Avira 病毒实验室

    • 0

相关问题