windows ALPC简单研究

已于 2023-10-07 15:08:13 修改
阅读量9.3k 收藏 11
点赞数 2
分类专栏: 调试器里看世界 文章标签: ALPC
于 2018-11-26 20:04:44 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_43787608/article/details/84555474
版权
本文简要探讨了ALPC(Advanced/Asynchronous Local Procedure Call),它是微软替代LPC的本地RPC技术。ALPC通过Port连接进行C/S通信,广泛应用于Windows系统。内容包括ALPC的基本架构、使用流程、数据结构以及调试工具,强调了其在进程间通信中的重要性。
摘要由CSDN通过智能技术生成

0x00

本文是对ALPC的简单研究,由于时间有限,还有很多细节没有搞清楚,还有很多疏漏。希望能起到抛砖引玉的作用,能找到高手讨论学习。
ALPC(Advanced/Asynchronous Local Procedure Call),是微软发展出来替代LPC,用于本机RPC的一种C/S模型技术。但是对用户来说,能看到只有RPC概念,很少能看到ALPC。
我们看一个典型的ALPC同步调用堆栈:
在这里插入图片描述
从名字上就能看出RPCRT4.dll是rpc的runtime库,我个人感觉在C端如果要使用RPC的话主要是和这个库打交道。
从堆栈的函数调用可以看出来,RPC先进入LRPC再进入ALPC。Windows中将RPC分为LRPC(本机远程过程调用)与多机RPC。
实质上分为两种RPC其实也是很好理解,对本机来说,IPC的通讯方法多样,整体环境简单;而不同终端的IPC主要使用的tcp/ip协议,网络环境的异常处理比较复杂。
LRPC是通过ALPC实现的。
在现代的Windows环境中,ALPC的使用的频繁程度可能远远超过大部分人的想象。可能很熟悉的API内部都是通过ALPC委托为其他的应用程序(主要是各类svchost)实现的。按照 Alex Ionescu在 syscan2014上的发言,即使最简单的windows程序都会有ALPC连接。
可以打开 procexp.exe查看每个进程的ALPC Port的名字。

0x

最低0.47元/天 解锁文章
应该是只菜鸟
关注
专栏目录
LPC服务器拒绝客户端的表白
nethm的专栏
09-25 702
  开场白: 项目中遇见了一个奇怪的问题。在64位系统下,LPC的服务端是wow32位进程,在调用了ZwAcceptConnectPort拒绝客户端的连接后,ZwAcceptConnectPort返回   // // MessageId: STATUS_INVALID_MESSAGE // // MessageText: // // The ALPC message supplied is ...
Windows ALPC漏洞复现
skyh的博客
06-10 2365
ALPC 漏洞复现
进程间通信之alpc
pureman_mega的博客
01-05 720
常见的进程间通信有管道,共享内存等。下面演示一种交少见的机制,alpc (advanced local procedure call)。文件CPP-ALPC-Basic-Client.cpp。下面出现的代码都来自参考链接中,非本人编写。文件CommandALPC.cpp。
火狐受阻:rpcrt4.dll 文件丢失引发的浏览器难题
最新发布
czl922的博客
07-22 434
当您在使用Mozilla Firefox浏览器时遇到“rpcrt4.dll文件丢失”的错误提示,这通常意味着您的系统缺少或损坏了这个动态链接库(DLL)文件。RPCRT4.DLL是Microsoft RPC运行时组件的一部分,它对于Windows系统的许多应用程序和服务都是必需的。
alpc需要清醒
网站架构札记
02-05 1089
首先对zoe在哈尔滨取得的好成绩表示祝贺,对三名队员这一年来付出的努力换来的学校历史上最好成绩表示祝贺! 这一年来我们冲破封网络,封校这一系列其他学校同学所无法感受的困难之后,在学校搞得非常非常的不爽之后,我们确实需要这样一场振奋人心的胜利来鼓舞士气,来忽悠学校吸引一下他们的注意力,来抓住将来我们要忽悠进集训队的后生们. 有个成语叫着乐极生悲,所以我需要提醒你们保持清醒,你们应该知道这是一个怎样的
windbg命令索引
qq_31932681的博客
01-07 271
分类 命令描述示例($$后为注释) 帮助 ? 显示所有标准命令? .help显示所有元命令.help .help /D      $$ 显示带有DML导航链接的帮助 .help /D r* .hh打开帮助文件.hh .reload !help显示扩展命令eg1:    !ext.helpeg2:    !help d...
alpc-1.0.jar
10-09
该行显示生成的文档是一个版本为1.0的文件,在lpc中,摘要保存在lpc对象中,当文档关闭时已经写入lpc中了,因此,没有关于为什么不能修改库来满足任何时候添加或更改摘要的技术原因
alpc:航空语言语音转换器,用Rust编写
03-06
航空语言语音转换器是一个简单的Rust CLI,用于将字母转换为航空语言中的相应语音字母。 安装 您需要安装Rust工具箱 克隆仓库: git clone https://github.com/DevHyperCoder/alpc/ 运行程序: cargo run 它将很快...
alpc48模板_ACM代码模板.pdf
09-17
"alpc48模板_ACM代码模板.pdf"正是为参赛者提供的一份宝贵的资源,它涵盖了ACM比赛常用的各种算法模板,旨在帮助参赛者更高效地解决问题。 ACM Fighting!这份文档不仅是参赛者的技术指南,也是学习计算几何和算法...
新型Windows内核池风水利用工具研究
如鹿渴慕泉水的专栏
08-20 878
新型Windows内核池风水利用工具研究
发现ALPC-BypassUAC:绕过Windows UAC的新路径
gitblog_00076的博客
06-11 398
发现ALPC-BypassUAC:绕过Windows UAC的新路径 项目地址:https://gitcode.com/DimopoulosElias/alpc-mmc-uac-bypass 在安全领域,每一处未被发掘的细节都可能成为突破点。今天,我们将探索一个独特且技术驱动的开源项目——ALPC-BypassUAC,它为安全研究人员和IT专业人士提供了一个新的视角,展示了如何利用Advanced...
systeminfo卡死一例分析
u010607621的博客
06-07 1353
Win7 64位OS。设备与打印机窗口的进度条持续不能走完,此时打开设备管理器也依然卡住,systeminfo.exe程序也会卡住。此故障现象偶现难以复现。鉴于另外两个进程的线程太多了,就优先从systeminfo进程入手研究。 给systeminfo进程下dmp,用windbg打开dmp,先查看每个线程的栈回溯: 姑且猜测是0号线程,在等待应答,进而整个进程卡住。0号线程最后调用的是NtAlpcSendWaitReceivePort。这个api类似于网络socket的send和recv一体。它的声明如下:
理解Windows内核模式与用户模式
weixin_30262255的博客
05-21 411
问题汇总: User Mode:用户模式 Knrnel Mode:内核模式 USER32.DLL :Windows Subsystem (win32k.sys) NTDLL.DLL: I/O Manager Executive Service Routines Security Reference Monitor Process/Thread Manager ...
2018年上半赛季总结
alpc_qleonardo
06-12 759
        从去年ACM/ICPC ECL Final到现在,六个月已经过去。不知不觉中2018年上半年的赛事也已经结束了……        也许是凭借经验,也许是凭借发挥;也许是队友给力,也许是强手没来;也许是运气,也许是实力。至少在这上半年中,从成绩上看,我们确实是取得了长足的进步。但是,自己打心底里还是对自己、对我们队的实力有很大疑问。我们是否真的已经能够称得上是强队,是否真的能够拿到下...
实现两个long long 相乘取模的汇编代码
alpc_paul的专栏
07-27 1887
long long multi(long long tp1,long long tp2){ long long ret=0; __asm__("movq %1,%%rax\n imulq %2\n idivq %3\n":"=d"(sum[i]):"m"(tp1),"m"(tp2),"m"(mod):"%rax"); return ret; }
读写外挂
alpc_paul的专栏
08-15 729
非常实用 void read(int &a) { int t; while (t = getchar(), isspace(t)); a = t - '0'; while (t = getchar(), !isspace(t)) a = a * 10 + t - '0'; }
RPC、COM、ALPC
04-16
这些都是不同的进程间通信技术。RPC(Remote Procedure Call)是一种用于分布式计算的通信协议,它允许在不同进程间的数据传输和函数调用。COM(Component Object Model)是一种用于Windows软件开发的技术,它提供了一种标准的、可重用的组件模型,以方便程序员进行开发。ALPC(Advanced Local Procedure Call)是Windows操作系统提供的一种高级进程间通信机制,它提供了更高级别的API,可以支持更丰富的交互方式。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值