端口监视器

对手可能会使用端口监视器在系统启动期间运行对手提供的DLL，以实现持久性或权限提升。可以通过AddMonitor API调用设置端口监视器，以设置在启动时加载的DLL。(引用: AddMonitor) 该DLL可以位于C:\Windows\System32中，并将在启动时由打印后台处理程序服务spoolsv.exe加载并运行，具有SYSTEM级别权限。(引用: Bloxham) 或者，如果权限允许写入DLL的完全限定路径名，则可以加载任意DLL到HKLM\SYSTEM\CurrentControlSet\Control\Print\Monitors的现有或新任意命名子键的Driver值。注册表项包含以下条目的条目： * 本地端口 * 标准TCP/IP端口 * USB监视器 * WSD端口