-
-
[翻译]CreateSvcRpc - 一个自定义的RPC客户端,以SYSTEM用户身份执行程序
-
发表于:
2022-2-10 10:37
5510
-
[翻译]CreateSvcRpc - 一个自定义的RPC客户端,以SYSTEM用户身份执行程序
[b]翻译[/b]
原文地址:https://www.x86matthew.com/view_post?id=create_svc_rpc
功能: 一个自定义的RPC客户端,以SYSTEM用户身份执行程序
Windows RPC协议是一个我以前没有做过很多实验的领域。我现在已经创建了一个自定义的RPC客户端,它使用原始数据与ntsvcs管道进行通信。这意味着可以只使用CreateFile和WriteFile APIs来创建和执行一个Windows服务。
RPC协议似乎有一些记录,但相关的信息非常零散,我发现从头开始逆向工程更容易。
我通过拦截NtWriteFile、NtReadFile和NtFsControlFile函数,记录了Windows服务API的通信。我分析了这个数据流,以逐步建立我自己的RPC客户端。
[培训]内核驱动高级班,冲击BAT一流互联网大厂工作,每周日13:00-18:00直播授课
