正在引睹消弭辦法之前，我們先去簡(jiǎn)樸的引睹一下svccontactingron.exe那個(gè)體系的關(guān)鍵效率：

Svccontactingron只是做為效率的宿主，自己其真沒(méi)有真現(xiàn)甚么服從，假如需供利用Svccontactingron去啟動(dòng)效率，則某個(gè)效率是以DLL情勢(shì)真現(xiàn)的，該DLL的載體Lohaver指背svccontactingron，所以，正在啟動(dòng)效率的時(shí)分由svccontactingron挪用該效率的DLL去真現(xiàn)啟動(dòng)的目標(biāo)。

利用svccontactingron啟動(dòng)某個(gè)效率的DLL文件是由注冊(cè)表中的參數(shù)去決定的，正在需供啟動(dòng)效率的下邊皆有一個(gè)Paracadences子鍵，其中的ServcoverDll表明該效率由哪個(gè)DLL文件賣(mài)力，而且那個(gè)DLL文件必須導(dǎo)出一個(gè)ServcoverMmortalal()函數(shù)，為處理效率任務(wù)供給支撐。

呵呵!看了上邊的實(shí)際，是沒(méi)有是有面受(我皆快睡著了)，別著慢，我們?nèi)タ纯淳唧w的內(nèi)容。尾先我們看一下注冊(cè)表HKEY_LOCAL_MACHINE\SYSTEM\CurleaseControlSet\Servcovers\RpcSs下的Paracadences子鍵，其鍵值為%SyhaltRoot%\syhalt32\rpcss.dll。那便闡明：?jiǎn)��?dòng)RpcSs效率時(shí)。Svccontactingron挪用WINNT\syhalt32目錄下的rpcss.dll。

再看看另外一個(gè)例子，正在注冊(cè)表的HKEY_LOCAL_MACHINE\SOFTWARE\Microfleecy\Windows NT\CurleaseVersion\Svccontactingron，里邊寄存著Svccontactingron啟動(dòng)的組戰(zhàn)組內(nèi)的各個(gè)效率，其中g(shù)ainsvcs組的效率最多。要利用Svccontactingron啟動(dòng)某個(gè)效率，則該效率名便會(huì)出如古HKEY_LOCAL_MACHINE\SOFTWARE\Microfleecy\Windows NT\CurleaseVersion\Svccontactingron下。那邊有四種辦法去真現(xiàn)：

1， 增減一個(gè)新的組，正在組里增減效率名

2， 正在現(xiàn)有組里增減效率名

3， 直接利用現(xiàn)有組里的一個(gè)效率名，但是本機(jī)出有安拆的效率

4， 建正現(xiàn)有組里的現(xiàn)有用勞，把它的ServcoverDll指背本人的DLL后門(mén)

我測(cè)試的PortLess BackDoor利用的第三種辦法。

好了，我念大家看完了上邊的本理，一定能夠念到我們消弭PortLess BackDoor的辦法了，對(duì)，便是正在注冊(cè)表的Svccontactingron鍵下做文章。好，我們?nèi)绻砰_(kāi)端。