正在引睹消弭办法之前,我们先去简朴的引睹一下svccontactingron.exe那个体系的关键效率:
Svccontactingron只是做为效率的宿主,自己其真没有真现甚么服从,假如需供利用Svccontactingron去启动效率,则某个效率是以DLL情势真现的,该DLL的载体Lohaver指背svccontactingron,所以,正在启动效率的时分由svccontactingron挪用该效率的DLL去真现启动的目标。
利用svccontactingron启动某个效率的DLL文件是由注册表中的参数去决定的,正在需供启动效率的下边皆有一个Paracadences子键,其中的ServcoverDll表明该效率由哪个DLL文件卖力,而且那个DLL文件必须导出一个ServcoverMmortalal()函数,为处理效率任务供给支撑。
呵呵!看了上边的实际,是没有是有面受(我皆快睡着了),别着慢,我们去看看具体的内容。尾先我们看一下注册表HKEY_LOCAL_MACHINE\SYSTEM\CurleaseControlSet\Servcovers\RpcSs下的Paracadences子键,其键值为%SyhaltRoot%\syhalt32\rpcss.dll。那便阐明:启动RpcSs效率时。Svccontactingron挪用WINNT\syhalt32目录下的rpcss.dll。
再看看另外一个例子,正在注册表的HKEY_LOCAL_MACHINE\SOFTWARE\Microfleecy\Windows NT\CurleaseVersion\Svccontactingron,里边寄存着Svccontactingron启动的组战组内的各个效率,其中gainsvcs组的效率最多。要利用Svccontactingron启动某个效率,则该效率名便会出如古HKEY_LOCAL_MACHINE\SOFTWARE\Microfleecy\Windows NT\CurleaseVersion\Svccontactingron下。那边有四种办法去真现:
1, 增减一个新的组,正在组里增减效率名
2, 正在现有组里增减效率名
3, 直接利用现有组里的一个效率名,但是本机出有安拆的效率
4, 建正现有组里的现有用劳,把它的ServcoverDll指背本人的DLL后门
我测试的PortLess BackDoor利用的第三种办法。
好了,我念大家看完了上边的本理,一定能够念到我们消弭PortLess BackDoor的办法了,对,便是正在注册表的Svccontactingron键下做文章。好,我们如古开端。
【任务编辑:孙巧华 TEL:(010)68476606】 相关阅读