终端服务 DLL

对手可能会滥用终端服务组件，以启用对系统的持久访问。Microsoft 终端服务，在某些 Windows Server 操作系统中自 2022 年起重命名为远程桌面服务，使远程终端连接到主机成为可能。终端服务允许服务器通过 RDP 向客户端传输完整的交互式图形用户界面。(引用: Microsoft Remote Desktop Services) 作为“通用”进程（例如：svchost.exe）运行的Windows 服务会加载服务的 DLL 文件，其位置存储在名为 ServiceDll 的注册表项中。(引用: Microsoft System Services Fundamentals) termsrv.dll 文件通常存储在 %SystemRoot%\System32\ 中，是 HKLM\System\CurrentControlSet\services\TermService\Parameters\ 中终端服务的默认 ServiceDll 值。 对手可能会修改和/或替换终端服务 DLL，以启用对受害主机的持久访问。(引用: James TermServ DLL) 对此 DLL 的修改可以执行任意有效负载（同时可能保留正常的 termsrv.dll 功能），也可以简单地启用终端服务的可滥用功能。例如，对手可能会通过修补 termsrv.dll 文件或修改 ServiceDll 值以指向提供增强 RDP 功能的 DLL 来启用并发远程桌面协议会话等功能。(引用: Windows OS Hub RDP)(引用: RDPWrap Github) 在非服务器 Windows 操作系统上，这种增强功能还可能使对手在创建新 RDP 会话时避免终端服务提示警告/注销用户。