суббота, 30 октября 2010 г.

lsasrv.dll RPC interfaces

ковырялось на vista sp2 32бита. Я знаю что это ацкий баян, но как ни странно там описаны далеко не все методы например lsarpc
Все перечисленные ниже интерфейсы висят на следующих endpoints внутри процесса lsass.exe:
  • pipe\lsass
  • pipe\protected_storage
  • LPC port protected_storage
  • LPC port audit
  • LPC port samss lpc
  • LPC port securityevent
s_ICryptProtect 11220835-5b26-4d94-ae86-c3e475a809de version 1.0
3 methods:
  •  s_SSCryptProtectData
  •  s_SSCryptUnprotectData
  •  s_SSCryptUpdateProtectedState
s_PasswordRecovery 5cbe92cb-f4be-45c9-9fc9-33e73e557b20 version 1.0
3 methods:
  •  s_SSRecoverQueryStatus
  •  s_SSRecoverImportRecoveryKey
  •  s_SSRecoverPassword
dssetup 3919286A-B10C-11D0-9BA8-00C04FD92EF5 version 0.0
1 method:
  •  DsRolerGetPrimaryDomainInformation
efsrpc C681D488-D850-11D0-8C52-00C04FD90F7E version 1.0
0x15 methods:
  •  EfsRpcOpenFileRaw
  •  EfsRpcReadFileRaw
  •  EfsRpcWriteFileRaw
  •  EfsRpcCloseRaw
  •  EfsRpcEncryptFileSrv
  •  EfsRpcDecryptFileSrv
  •  EfsRpcQueryUsersOnFile
  •  EfsRpcQueryRecoveryAgents
  •  EfsRpcRemoveUsersFromFile
  •  EfsRpcAddUsersToFile
  •  EfsRpcSetFileEncryptionKey
  •  EfsRpcNotSupported
  •  EfsRpcFileKeyInfo
  •  EfsRpcDuplicateEncryptionInfoFile
  •  EfsUsePinForEncryptedFiles
  •  EfsRpcAddUsersToFileEx
  •  EfsRpcFileKeyInfoEx
  •  EfsRpcGenerateEfsStream
  •  EfsRpcGetEncryptedFileMetadata
  •  EfsRpcSetEncryptedFileMetadata
  •  EfsRpcFlushEfsCache
lsarpc 12345778-1234-ABCD-EF00-0123456789AB version 0.0
0x66 methods:
  •  LsarClose
  •  LsarDelete
  •  LsarEnumeratePrivileges
  •  LsarQuerySecurityObject
  •  LsarSetSecurityObject
  •  LsarChangePassword
  •  LsarOpenPolicyRPC
  •  LsarQueryInformationPolicy
  •  LsarSetInformationPolicy
  •  LsarSetPolicyReplicationHandle
  •  LsarCreateAccount
  •  LsarEnumerateAccounts
  •  LsarCreateTrustedDomain
  •  LsarEnumerateTrustedDomains
  •  LsarLookupNames
  •  LsarLookupSids
  •  LsarCreateSecret
  •  LsarOpenAccount
  •  LsarEnumeratePrivilegesAccount
  •  LsarAddPrivilegesToAccount
  •  LsarRemovePrivilegesFromAccount
  •  LsarGetQuotasForAccount
  •  EfsSsoOnReconnect_WL
  •  LsarGetSystemAccessAccount
  •  LsarSetSystemAccessAccount
  •  LsarOpenTrustedDomain
  •  LsarQueryInfoTrustedDomain
  •  LsarSetInformationTrustedDomain
  •  LsarOpenSecret
  •  LsarSetSecret
  •  LsarQuerySecret
  •  LsarLookupPrivilegeValue
  •  LsarLookupPrivilegeName
  •  LsarLookupPrivilegeDisplayName
  •  LsarDeleteObject
  •  LsarEnumerateAccountsWithUserRight
  •  LsarEnumerateAccountRights
  •  LsarAddAccountRights
  •  LsarRemoveAccountRights
  •  LsarQueryTrustedDomainInfo
  •  LsarSetTrustedDomainInfo
  •  LsarDeleteTrustedDomain
  •  LsarStorePrivateData
  •  LsarRetrievePrivateData
  •  LsarOpenPolicy2
  •  LsarGetUserName
  •  LsarQueryInformationPolicy2
  •  LsarSetInformationPolicy2
  •  LsarQueryTrustedDomainInfoByName
  •  LsarSetTrustedDomainInfoByName
  •  LsarEnumerateTrustedDomainsEx
  •  LsarCreateTrustedDomainEx
  •  LsarSetPolicyReplicationHandle
  •  LsarQueryDomainInformationPolicy
  •  LsarSetDomainInformationPolicy
  •  LsarOpenTrustedDomainByName
  •  LsaITestCall
  •  LsarLookupSids2
  •  LsarLookupNames2
  •  LsarCreateTrustedDomainEx2
  •  CredrWrite
  •  CredrRead
  •  CredrEnumerate
  •  CredrWriteDomainCredentials
  •  CredrReadDomainCredentials
  •  CredrDelete
  •  CredrGetTargetInfo
  •  CredrProfileLoaded
  •  LsarLookupNames3
  •  CredrGetSessionTypes
  •  LsarRegisterAuditEvent
  •  LsarGenAuditEvent
  •  LsarUnregisterAuditEvent
  •  LsarQueryForestTrustInformation
  •  LsarSetForestTrustInformation
  •  CredrRename
  •  LsarLookupSids3
  •  LsarLookupNames4
  •  LsarOpenPolicySce
  •  LsarAdtRegisterSecurityEventSource
  •  LsarAdtUnregisterSecurityEventSource
  •  LsarAdtReportSecurityEvent
  •  CredrFindBestCredential
  •  LsarSetAuditPolicy
  •  LsarQueryAuditPolicy
  •  LsarEnumerateAuditPolicy
  •  LsarEnumerateAuditCategories
  •  LsarEnumerateAuditSubCategories
  •  LsarLookupAuditCategoryName
  •  LsarLookupAuditSubCategoryName
  •  LsarSetAuditSecurity
  •  LsarQueryAuditSecurity
  •  CredrReadByTokenHandle
  •  CredrRestoreCredentials
  •  CredrBackupCredentials
  •  LsarManageSidNameMapping
  •  CredrProfileUnloaded
  •  LsarAddLanmanConnection
  •  LsarCancelLanmanConnection
  •  LsarAddDfsConnection
  •  LsarCancelDfsConnection
  •  LsarIsDfsConnectionInUse
Update: под windows 7 в lsasrv.dll добавился еще один RPC interface
S_LSP_PRIVATE_DATA ACE1C026-8B3F-4711-8918-F345D17F5BFF version 1.0
2 methods:
  •  S_RPC_LspUpdatePrivateData
  •  S_RPC_LspReadPrivateData

    Комментариев нет:

    Отправить комментарий