-
-
[翻译]CreateSvcRpc - 一个自定义的RPC客户端,以SYSTEM用户身份执行程序
-
发表于: 2022-2-10 10:37 5510
-
[b]翻译[/b]
原文地址:https://www.x86matthew.com/view_post?id=create_svc_rpc
功能: 一个自定义的RPC客户端,以SYSTEM用户身份执行程序
Windows RPC协议是一个我以前没有做过很多实验的领域。我现在已经创建了一个自定义的RPC客户端,它使用原始数据与ntsvcs管道进行通信。这意味着可以只使用CreateFile和WriteFile APIs来创建和执行一个Windows服务。
RPC协议似乎有一些记录,但相关的信息非常零散,我发现从头开始逆向工程更容易。
我通过拦截NtWriteFile、NtReadFile和NtFsControlFile函数,记录了Windows服务API的通信。我分析了这个数据流,以逐步建立我自己的RPC客户端。
赞赏
他的文章
- [原创]物联网安全:基础篇 4117
- 威胁情报小课堂:阻止活跃勒索软件的感染 2176
- [翻译]发现利用 Facebook 和 MS 管理控制台实施的 Kimsuky APT 攻击 7055
- 威胁情报小课堂:LockBit Black 2052
- 威胁情报小课堂:Nitrogen 2077
看原图
赞赏
雪币:
留言: