网络提供程序 DLL

对手可能会注册恶意的网络提供程序动态链接库 (DLL)，以在身份验证过程中捕获明文用户凭据。网络提供程序 DLL 允许 Windows 与特定网络协议接口，并且还可以支持附加的凭据管理功能。(引用: Network Provider API) 在登录过程中，Winlogon（交互式登录模块）通过 RPC 将凭据发送到本地的 mpnotify.exe 进程。mpnotify.exe 进程在通知发生登录事件时，将明文凭据与注册的凭据管理器共享。(引用: NPPSPY - Huntress)(引用: NPPSPY Video)(引用: NPLogonNotify) 对手可以配置恶意的网络提供程序 DLL 以从 mpnotify.exe 接收凭据。(引用: NPPSPY) 一旦作为凭据管理器安装（通过注册表），恶意 DLL 可以在每次用户登录到 Windows 工作站或域时通过 NPLogonNotify() 函数接收并保存凭据。(引用: NPLogonNotify) 对手可能会将恶意的网络提供程序 DLL 植入已知具有较多登录活动和/或管理员登录活动的系统上，例如服务器和域控制器。(引用: NPPSPY - Huntress)