首页编程正文内容

SVChost中的RPCCS执行流程解析：以K模式为主线

编程

更新时间：2026-04-03 11:18:25 17

admin 管理员组

文章数量: 1184232

OD直接加载svchost.exe -k rpcss 以命令行参数形式加载
1）svchost.exe加载到内存中

01002509 >/$  E8 EEFCFFFF   call svchost.010021FC
0100250E  |.  8BFF          mov edi,edi
01002510  |.  56            push esi
01002511  |.  57            push edi
01002512  |.  68 A22E0001   push svchost.01002EA2                                  ; /pTopLevelFilter = svchost.01002EA2
01002517  |.  FF15 94100001 call dword ptr ds:[<&KERNEL32.SetUnhandledExceptionFil>; \SetUnhandledExceptionFilter
0100251D  |.  6A 01         push 0x1                                               ; /ErrorMode = SEM_FAILCRITICALERRORS
0100251F  |.  FF15 90100001 call dword ptr ds:[<&KERNEL32.SetErrorMode>]           ; \SetErrorMode
01002525  |.  FF15 8C100001 call dword ptr ds:[<&KERNEL32.GetProcessHeap>]         ; [GetProcessHeap
0100252B  |.  50            push eax
0100252C  |.  E8 61FAFFFF   call svchost.01001F92
01002531  |.  B8 68400001   mov eax,svchost.01004068
01002536  |.  68 40400001   push svchost.01004040                                  ; /pCriticalSection = svchost.01004040
0100253B  |.  A3 6C400001   mov dword ptr ds:[0x100406C],eax                       ; |
01002540  |.  A3 68400001   mov dword ptr ds:[0x1004068],eax                       ; |
01002545  |.  FF15 88100001 call dword ptr ds:[<&KERNEL32.InitializeCriticalSectio>; \InitializeCriticalSection
0100254B  |.  FF15 84100001 call dword ptr ds:[<&KERNEL32.GetCommandLineW>]        ; [GetCommandLineW
01002551  |.  50            push eax
01002552  |.  E8 5AFDFFFF   call svchost.010022B1                                  ;  2）对命令行进行解析，获得启动的服务组netsvcs
01002557  |.  8BF0          mov esi,eax
01002559  |.  85F6          test esi,esi
0100255B  |.  74 28         je Xsvchost.01002585
0100255D  |.  56            push esi
0100255E  |.  E8 6BFEFFFF   call svchost.010023CE                                  ;  3）查询键值等

跟进函数这里我发现直接看regedit 看不到 HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\SvcHost 下的服务，但是跟踪却能看到
（

01001563   .  8938          mov dword ptr ds:[eax],edi
01001565   .  8D45 FC       lea eax,dword ptr ss:[ebp-0x4]
01001568   .  50            push eax                                               ; /pBufSize
01001569   .  57            push edi                                               ; |Buffer => NULL
0100156A   .  8D45 F8       lea eax,dword ptr ss:[ebp-0x8]                         ; |
0100156D   .  50            push eax                                               ; |pValueType
0100156E   .  57            push edi                                               ; |Reserved => NULL
0100156F   .  FF75 0C       push dword ptr ss:[ebp+0xC]                            ; |ValueName
01001572   .  897D FC       mov dword ptr ss:[ebp-0x4],edi                         ; |
01001575   .  FF75 08       push dword ptr ss:[ebp+0x8]                            ; |hKey
01001578   .  FFD6          call esi                                               ; \RegQueryValueExW
0100157A   .  8BD8          mov ebx,eax                                            ;  查询出该路径下子键名为netsvcs的键值
0100157C   .  3BDF          cmp ebx,edi                                            ;  这里先获得大小
·············
01001858   .  6A 0E         push 0xE
0100185A   .  5B            pop ebx
0100185B   .  FF75 FC       push dword ptr ss:[ebp-0x4]
0100185E   .  57            push edi
0100185F   .  E8 4DFAFFFF   call svchost.010012B1                                  ;  知道了键值大小就分配大小的内存给初始化键值
01001864   .  3BC7          cmp eax,edi
01001866   .  8945 10       mov dword ptr ss:[ebp+0x10],eax
01001869   .^ 0F84 15FDFFFF je svchost.01001584
0100186F   .  8D4D FC       lea ecx,dword ptr ss:[ebp-0x4]
01001872   .  51            push ecx
01001873   .  50            push eax
01001874   .  8D45 F8       lea eax,dword ptr ss:[ebp-0x8]
01001877   .  50            push eax
01001878   .  57            push edi
01001879   .  FF75 0C       push dword ptr ss:[ebp+0xC]
0100187C   .  FF75 08       push dword ptr ss:[ebp+0x8]                            ;  这里开始查询 查询出了大量服务
0100187F   .  FFD6          call esi                                               ;  ADVAPI32.RegQueryValueExW

本文标签：中的解析编程

版权声明：本文标题：SVChost中的RPCCS执行流程解析：以K模式为主线内容由网友自发贡献，该文观点仅代表作者本人，转载请联系作者并注明出处：http://www.roclinux.cn/b/1772206764a3553323.html，本站仅提供信息存储空间服务，不拥有所有权，不承担相关法律责任。如发现本站有涉嫌抄袭侵权/违法违规的内容，一经查实，本站将立刻删除。

更多相关文章

NTBOOTAutoFix：双系统启动菜单的终极修复大师

编程

7天前

简介：双系统启动菜单工具NTBOOTautofix是一款专业软件，用于管理和修复双系统或多系统的启动菜单问题。它特别适用于Windows系列操作系统，并提供修复启动菜单、恢复MBR、修复BCD、数据备份与恢复、命令行模式操作、安全扫描

好友一碰就消失？揭秘QQ自动退出的神秘原因

技术日记

7天前

曾经遇到过该问题，以为是偶然或是RP问题，昨天有同事也出现了类似症状，觉得大概与RP无关啦，所以写下比较简单的但有效的解决方法。下面描述一下症状：针对某个QQ号码，选择某个特定的好友，准备输入消息的时候，该QQ号会自动关闭；同个

Ubuntu中的QQ玩得不愉快？解决自动关闭的秘诀！

编程

7天前

如何处理(ubuntu版QQ)自动关闭的问题。sudo gedit usrbinqq打开后在第二行加入这一句：export GDK_NATIVE_WINDOWS=true保存即可。

告别QQ浏览器2020版永不更新的痛苦，轻松开启自动更新模式！

技术日记

7天前

QQ浏览器自动更新功能关闭后如何重新开启？详细操作指南在日常使用电脑过程中，软件自动更新功能对于保障系统安全性和功能完整性至关重要。近期收到不少用户反馈，称QQ浏览器的自动更新功能被意外关闭后，无法通过常规途径获取新版本更新

Ubuntu 9.10中，摆脱QQ频繁自动关闭的困扰

技术日记

7天前

[align=center][img]转载:作者:tianwanjun8680.blog.163.comQQ每次打开聊天窗口，和别人聊天时，点击历史或者传输文件和图片时，或者正和别人聊天QQ就自动关闭了，搞得老

高效提升桥接稳定性：应对无线路由器掉线

编程

7天前

半年前用两个tplink无线路由器搭建了一个桥接的网络，但是二级路由器总是断线需要重启。经过大半年的摸索，偶然间解决了问题，在这里共享给为同样问题困扰的朋友。我的配置是tp 742做主路由器，连接联通的光纤。t

网络优化新方案：探索TPLink与Netcore路由器的桥接模式

技术日记

7天前

朋友的无线到我家就很微弱，天气状况好的时候，还是可以接受的，糟的时候网络质量就非常的差。于是果断入手了TPLink，通过桥接的方式扩展他的信号，让wifi覆盖无死角。基本配置如下（参考网络上的资料，但是不同的路由

优化WiFi体验？设置路由器自动断开弱WiFi，提升连接质量！

编程

7天前

在日常生活中，我们经常使用WiFi连接网络，但有时候会遇到WiFi自动掉线、无法上网的问题。这可能是由于多种原因导致的，例如网络信号弱、路由器设置问题、设备问题等。如果你也遇到了类似的问题，那么不要担心，只需按照以下步骤进行设置，就能

192.168.1.1轻松登录：Adobe Flash Player玩转新途径

技术日记

7天前

【登陆官网】网友提问：怎么用的呢？的时候，官网登陆不了怎么办？热心网友答：要进入192.1.1.1，需要手机连接路由器发射出来的Wi

192.168.0.1路由器设置疑难解答：让你的网络畅通无阻

编程

7天前

摘要 (导读：192.168.0.1路由器设置)1、路由器正确安装：2、IP地址设置3、登录路由器4、设置路由器目录本文将介绍192.168.0.1路由器设置的方法及教程；适用于小白新手换新路由器或者路" (导读

192.168.1.1与FTP服务器连接问题？一文帮你搞定！

技术日记

7天前

、属于IP地址的C类地址，属于保留IP，专门用于设置。一般来讲这个地址的密码根据厂商的设置会有所不同，但一般会是：用户名（区分大小写）：ADMIN 密码：ADMIN如果您已经修改了这个

192.168.0.1与192.168.1.1：家庭网络地址的细微区别

编程

7天前

哈哈，这个问题问得真好！让我来给你讲讲192.168.0.1和192.168.1.1这两个"网络小管家"的区别吧～其实啊，它们就像是两个不同性格的邻居，虽然住在一个大社区（192.168.0.0-192.168

从192.168.1.1开始：Adobe Flash Player官方入口的全面解读

技术日记

7天前

【登陆官网】网友提问：怎么用的呢？的时候，官网登陆不了怎么办？热心网友答：要进入192.1.1.1，需要手机连接路由器发射出来的Wi

Windows系统维护新纪元：Dism命令的高效应用实践

技术日记

7天前

Dism是什么？ dism 命令（Deployment Image Servicing and Management）是Windows操作系统中的一个命令行工具，用于管理和维护映像文件（如Windows安装映像或修复映像）。d

告别系统崩溃，通过DISM工具让电脑重获新生

技术日记

7天前

介绍了解： DISM（部署映像服务和管理）是三种 Windows 诊断工具中最强大的。当遇到频繁的崩溃、冻结和错误，或者 SFC 要么无法修复您的系统文件，或者根本无法运行时，可以使用该工具。相连文章：修复

当Windows系统出问题时，如何借助DISM挂载映像进行修复，让电脑焕然一新？

技术日记

7天前

如何使用DISM对Windows系统映像进行修复在前些天我更新电脑驱动的时候，更新程序报错了。我检查后发现是系统映像完整性的问题。在我解决完问题后，我决定把这个解决的过程记录下来，希望能帮到别人。那么正文开始

C盘大搬家？别怕，Ghost备份带你安全过！

编程

7天前

推荐用U盘制作启动工具大白菜or老毛桃备份：以老毛桃为例，进入PE,点击左下角开始，可见ghost功能选项运行Ghost后，单击“OK”。选择“Local”→“Partition”→“

一次学透Ghost系统备份与恢复，保护你的电脑安全！

技术日记

7天前

Ghost是赛门铁克公司推出的一个用于系统、数据备份与恢复的工具。其最新版本是Ghost11。但是自从Ghost9之后，它就只能在windows下面运行，提供数据定时备份、自动恢复与系统备份恢复的功能。本文将要介绍的

老毛桃：你的个人数据保护小能手，备份恢复系统轻松搞定！

技术日记

7天前

我们工作中难免遇到各种各样的问题，造成系统损坏、文件或数据丢失等等，为了快速恢复我们的数据，我们应该习惯性的备份系统和数据，以免造成不必要的损失，正所谓“数据无价”。我前两天就吃了没备份的亏咯，数据全没了，试想一下这要是

Linux备份与恢复必修课：SWF文件安全策略从入门到精通

编程

7天前

在linux工作，系统备份是很有必要的，养成系统备份的好习惯会提高你的工作效率。下面我就简单的说一下：1.备份系统首先成为root用户：sudo su然后进入文件系统的根目录

发表评论

全部评论 0

暂无评论

Linux大棚 – 不忘初心的技术博客，浮躁时代的安静角落

SVChost中的RPCCS执行流程解析：以K模式为主线

更多相关文章

NTBOOTAutoFix：双系统启动菜单的终极修复大师

好友一碰就消失？揭秘QQ自动退出的神秘原因

Ubuntu中的QQ玩得不愉快？解决自动关闭的秘诀！

告别QQ浏览器2020版永不更新的痛苦，轻松开启自动更新模式！

Ubuntu 9.10中，摆脱QQ频繁自动关闭的困扰

高效提升桥接稳定性：应对无线路由器掉线

网络优化新方案：探索TPLink与Netcore路由器的桥接模式

优化WiFi体验？设置路由器自动断开弱WiFi，提升连接质量！

192.168.1.1轻松登录：Adobe Flash Player玩转新途径

192.168.0.1路由器设置疑难解答：让你的网络畅通无阻

192.168.1.1与FTP服务器连接问题？一文帮你搞定！

192.168.0.1与192.168.1.1：家庭网络地址的细微区别

从192.168.1.1开始：Adobe Flash Player官方入口的全面解读

Windows系统维护新纪元：Dism命令的高效应用实践

告别系统崩溃，通过DISM工具让电脑重获新生

当Windows系统出问题时，如何借助DISM挂载映像进行修复，让电脑焕然一新？

C盘大搬家？别怕，Ghost备份带你安全过！

一次学透Ghost系统备份与恢复，保护你的电脑安全！

老毛桃：你的个人数据保护小能手，备份恢复系统轻松搞定！

Linux备份与恢复必修课：SWF文件安全策略从入门到精通

发表评论

推荐文章

探索.NET Framework 2.0：揭秘其关键特性和如何在实际项目中应用

Adobe reader update 无法将数值disableexceptionchainvaliddation写入键sofeware...请验证您对该有足够_无法将数值 写入键 1softwarelclassesl.pdf。请验证您对该键拥有足够的访问

【25年11月路由器推荐清单】教父级WiFi76路由器选购指南！谁是你的家庭网络管家？新手必看无线路由器购买攻略！

英伟达GPU架构演进

WiFi共享精灵：CSDN上的秘密武器，免费网络随心用！

热门文章

你的电脑可能被控制了！探究Adobe Flash Player与病毒之间的联系

彻底卸载360安全卫士的步骤解析

移动硬盘无法读取与修复策略：原因分析与解决方案,

究竟什么占用了你的显存容量_什么东西占显存

算法竞赛备考冲刺必刷题（C++） | AcWing 1189 刻录光盘_刻录光盘c++题解

H264数据流保存方法

抖音API实现发送私信指南

彻底解决网页后台图片不显示问题的完整方案

5037端口卡死？Firefly中的Flash中心畅通无阻

连了网线，Wi-Fi还掉线？Android手机的6个实用解决方法！

最新文章

一文教会你AIX系统备份：mksysb实用指南

SWF文件备份失败？这些步骤让你轻松搞定

Win10系统备份轻松搞定：掌握captureimage命令的关键技巧

Linux系统安全小贴士：掌握备份与恢复，安心每一天

省时省心！三步完成电脑系统高效备份！

Ubuntu系统维护秘籍：备份步骤详解，保护你的劳动成果！

Linux系统不哭：高效备份与快速恢复方案

Ubuntu系统安全大计，备份技巧大公开

GHOST教程：系统备份和还原，小白也能变成高手！

Linux备份与恢复必修课：SWF文件安全策略从入门到精通

Exploring the Finest Accommodations: A Comprehensive Guide to Ruston LA Hotels

The Enchanting Experience of ScaliniTella NYC: A Culinary Gem in the Heart of Manhattan

Exploring the Exquisite Aloft Chicago O'Hare: A Blend of Modern Luxury and Convenience

A Culinary Journey: Discovering the Finest Dining Experiences in Waco, TX

A Culinary Journey: Discovering the Finest Dining Experiences in Athens, GA

电脑设备管理器在哪里？一次让我抓狂又兴奋的寻找经历

与GWX的持久战：一段关于Windows10升级弹窗的私人记忆

以管理员身份运行：那些年我们追过的权限与踩过的坑

Adobe reader update 无法将数值disableexceptionchainvaliddation写入键sofeware...请验证您对该有足够_无法将数值写入键 1softwarelclassesl.pdf。请验证您对该键拥有足够的访问