lsass-lsass.exe-进程信息
进程文件:lsassorlsass.exe
进程名称:本地安全权限服务
描述:这个本地安全权限服务控制Windows安全机制。
常见错误:N/A
是否为系统进程:是
本地安全权限服务控制Windows安全机制。管理IP安全策略以及启动ISAKMP/Oakley(IKE)和IP安全驱动程序等。它会为使用winlogon服务的授权用户生成一个进程。这个进程是通过使用授权的包,例如默认的msgina.dll来执行的。如果授权是成功的,lsass就会产生用户的进入令牌,令牌别使用启动初始的shell。其他的由用户初始化的进程会继承这个令牌的。而windows活动目录远程堆栈溢出漏洞,正是利用LDAP3搜索请求功能对用户提交请求缺少正确缓冲区边界检查,构建超过1000个"AND"的请求,并发送给服务器,导致触发堆栈溢出,使Lsass.exe服务崩溃,系统在30秒内重新启动。这里请记住该进程的正常路径为C:\WINDOWS\system32,一些病毒,如W32.Nimos.Worm病毒会在其它位置模仿LSASS.EXE来运行。
正常的LSASS不是木马但是木马可以假冒LSASS
如果只发现一个就应该不是木马了
标签:LSASS