вторник, 12 апреля 2011 г.

rpc extensions

А вот например начиная с w7 rpcrt4.dll (и RpcEpMap.dll) при инициализации проверяют ключики реестра HKLM Software\Microsoft\Rpc\Extensions
И соотв-но строковые значения в этом ключе используются для загрузки .dll и последующего вызова из той .dll ф-ции I_RpcExtInitializeExtensionPoint (кроме ole32.dll)
Насколько я понял новые extensions туда вписать не получится, но например у уже имеющихся вполне спокойно можно изменить имя .dll и таким образом обеспечить inject во все процессы, использующие rpc
Значения по умолчанию:
  • NdrOleExtDll - Ole32.dll, точка входа NdrOleInitializeExtension
  • RemoteRpcDll - RpcRtRemote.dll
  • TrustRidDll - logoncli.dll

Комментариев нет:

Отправить комментарий