Início / computer / Perguntas / 1463913
Accepted
DaddyMike
Asked: 2019-07-26 02:46:28 +0800 CST

O que o temaapiport faz?

  • 772

No relatório de um serviço de análise de malware encontrei o seguinte relativamente a um ficheiro analisado:

Connects to LPC ports

details: "<Input Sample>" connecting to "\ThemeApiPort"
source: API Call

O que isto significa? O que é \ThemeApiPort?

malware

1 respostas

  1. Best Answer

    O que é \ThemeApiPort?

    \ThemeApiPort?é uma porta LPC usada para comunicação entre processos, neste caso para fornecer gerenciamento de temas no Windows XP.

    LPC (Local Procedure Call) é um componente do kernel do Microsoft Windows usado para comunicação entre processos (IPC). Essa interface não documentada é usada em segundo plano da conhecida API do Windows. A maioria dos componentes do sistema usa a interface LPC para se comunicar com programas de segurança de nível inferior

    Fonte ESCALAÇÃO DE PRIVILÉGIOS DO WINDOWS ATRAVÉS DE INTERFACES LPC E ALPC (pdf).

    O documento acima identifica as vulnerabilidades de escalonamento de privilégios associadas às interfaces LPC e ALPC.

    A interface (A)LPC faz parte da API nativa não documentada do Windows NT e, como tal, não está disponível para aplicativos para uso direto. No entanto, pode ser usado indiretamente nas seguintes instâncias:

    • ao usar a API Microsoft RPC para se comunicar localmente, ou seja, entre os processos na mesma máquina
    • chamando APIs do Windows que são implementadas com (A)LPC

    Comunicação entre processos locais de origem - Wikipedia

    Existem vários vírus que se aproveitaram de \ThemeApiPortvulnerabilidades para injetar código em processos do Windows, por exemplo:

    TR/Spy.1350396

    Injeções >%WINDIR%\System32\svchost.exe{<-\ThemeApiPort}

    Fonte TR/Spy.1350396 - Avira Virus Lab

    • 0

relate perguntas