lsass-lsass.exe-程序資訊
程序檔案:lsassorlsass.exe
程序名稱:本地安全許可權服務
描述:這個本地安全許可權服務控制Windows安全機制。
常見錯誤:N/A
是否為系統程序:是
本地安全許可權服務控制Windows安全機制。管理IP安全策略以及啟動ISAKMP/Oakley(IKE)和IP安全驅動程式等。它會為使用winlogon服務的授權使用者生成一個程序。這個程序是透過使用授權的包,例如預設的msgina.dll來執行的。如果授權是成功的,lsass就會產生使用者的進入令牌,令牌別使用啟動初始的shell。其他的由使用者初始化的程序會繼承這個令牌的。而windows活動目錄遠端堆疊溢位漏洞,正是利用LDAP3搜尋請求功能對使用者提交請求缺少正確緩衝區邊界檢查,構建超過1000個"AND"的請求,併發送給伺服器,導致觸發堆疊溢位,使Lsass.exe服務崩潰,系統在30秒內重新啟動。這裡請記住該程序的正常路徑為C:\WINDOWS\system32,一些病毒,如W32.Nimos.Worm病毒會在其它位置模仿LSASS.EXE來執行。
正常的LSASS不是木馬但是木馬可以假冒LSASS
如果只發現一個就應該不是木馬了
lsass-lsass.exe-程序資訊
程序檔案:lsassorlsass.exe
程序名稱:本地安全許可權服務
描述:這個本地安全許可權服務控制Windows安全機制。
常見錯誤:N/A
是否為系統程序:是
本地安全許可權服務控制Windows安全機制。管理IP安全策略以及啟動ISAKMP/Oakley(IKE)和IP安全驅動程式等。它會為使用winlogon服務的授權使用者生成一個程序。這個程序是透過使用授權的包,例如預設的msgina.dll來執行的。如果授權是成功的,lsass就會產生使用者的進入令牌,令牌別使用啟動初始的shell。其他的由使用者初始化的程序會繼承這個令牌的。而windows活動目錄遠端堆疊溢位漏洞,正是利用LDAP3搜尋請求功能對使用者提交請求缺少正確緩衝區邊界檢查,構建超過1000個"AND"的請求,併發送給伺服器,導致觸發堆疊溢位,使Lsass.exe服務崩潰,系統在30秒內重新啟動。這裡請記住該程序的正常路徑為C:\WINDOWS\system32,一些病毒,如W32.Nimos.Worm病毒會在其它位置模仿LSASS.EXE來執行。
正常的LSASS不是木馬但是木馬可以假冒LSASS
如果只發現一個就應該不是木馬了