端口监视器

可以通过 API 调用设置端口监视器， 以设置要在启动时加载的 DLL。 此 DLL 可以位于 C:\Windows\System32，并且在启动时被打印机，spoolsv.exe 被加载。spoolsv.exe 进程也在 SYSTEM 级别权限下运行。 或者，如果权限允许为该 DLL 写入完整的路径名到HKLM\SYSTEM\CurrentControlSet\Control\Print\Monitors​​，则可以加载任意 DLL。注册表项包含以下条目：1. 本地端口 2. 标准 TCP / IP 端口 3. USB 监视器 WSD 端口

攻击者可以使用此技术在启动时加载恶意代码，这些代码将在系统重新启动时持续存在并以 SYSTEM 级别权限执行。

缓解

利用能够监控以 SYSTEM 权限运行的进程的 DLL 加载情况的白名单 工具，识别并拦截可能以这种方式持久存在的潜在恶意软件。

• 监视进程 API 调用。
• 监视 spoolsv.exe 为异常 DLL 加载的 DLL。
• 写入 System32 目录且与已知的良好软件或补丁无关的新 DLL 可能是可疑的。
• 监视注册表中HKLM\SYSTEM\CurrentControlSet\Control\Print\Monitors的更改。
• 运行 Autorun，它将作为持久性机制检查注册表项 。