lsass是什么进程
曾经案例:大名鼎鼎的蠕虫病毒“震荡波”利用的就是Windows LSASS的一个缓冲溢出漏洞。针对此漏洞进行攻击可以使LSASS.EXE缓冲区溢出,并使得攻击者取得对目标系统的完全控制权限。被攻击的系统会出现一些症状,比如LSASS.EXE出乎意料地弹出一个一分钟倒计时窗口,提示“LSASS.EXE出错需要关机”。www.sq120.com推荐文章
默默无闻的LSASS进程
悟空等人一大早便来到教室,见谭教授进入教室,悟空马上问道:“这一课会讲些什么内容啊?”谭教授笑着答道:“今天我们讲的这个系统进程,虽然并不显眼,但是它却在系统中起关键的作用——它就是LSASS进程。”
谭教授解释道:“这是一个本地的安全授权服务,它会为使用Winlogon服务的授权用户生成一个进程。这个进程是通过使用授权的包,例如使用默认的msgina.dll来执行的。如果授权是成功的,LSASS就会产生用户的进入令牌,令牌使用启动初始的Shell。其他的由用户初始化的进程继承这个令牌。而Windows活动目录远程堆栈溢出漏洞,正是利用LDAP 3搜索请求功能对用户提交请求缺少正确缓冲区边界检查,构建超过1000个‘AND’的请求,并发送给服务器,导致触发堆栈溢出并且使LSASS.EXE服务崩溃,系统在60秒内重新启动。
小知识:LSASS是微软安全机制的系统进程,主要处理一些特殊的安全机制和登录策略,为Windows系统本地安全权限服务。注意:LSASS也有可能是Windang.worm、irc.ratsou.b、Webus.B、MyDoom.L、Randex.AR、Nimos.worm创建的,病毒通过软盘、群发邮件和P2P文件共享进行传播。
LSASS进程的作用
听完谭教授的解说,各位同学都面面相觑,最后还是八戒站起来问道:“这个LSASS进程是干什么的?它在系统中起什么作用?”谭教授回答道:“LSASS是Windows XP系统的一个核心进程,为很多系统服务提供了支持,这其中最主要的就是Policy Agent服务。该服务就是我们常说的IP安全策略服务,在Windows XP系统中默认安装的启动类型为自动,依赖于IPSEC driver、Remote Procedure Call、TCP/IP Protocol Driver等服务的支持。”
唐僧提问:“IP安全策略在Windows系统中可以起到什么作用?”
谭教授解释说:“IPSEC是一种用来保护内部网、专用网络以及外部网免遭黑客攻击的重要防御方法,主要特征在于它可对所有IP级的通信进行加密和认证。可以为我们系统起一个功能弱但是够用的防火墙,特别是在装机过程中,不需借助其他软件就很好地保护了系统。正是这一点才使IPSEC可以确保包括远程登录、客户/服务器、电子邮件、文件传输及Web访问在内的多种应用程序的安全。”
辨别真假LSASS进程
这时沙僧问道:“前面讲了这么多关于LSASS的知识,那么该进程的危害到底是什么?”
谭教授慢慢地说道:“LSASS进程最大的危险还是进程自身存在各种各样的漏洞。黑客利用这些漏洞生成各种各样的危险病毒,并且利用这些漏洞生成大量的网页木马。”
悟空马上接着说:“除此以外,该进程还可能被进行线程插入操作。虽然在以前的课程中并不是每个进程都提到了线程的插入,但是现在一些刚刚推出的木马程序,在进行线程插入的时候已经不会单单是插入到某个特定的进程中了,而是可以让用户自定义插入进程。例如最近就有一款名为‘上兴’的木马程序,在它的服务端配置程序中就有‘插入system32目录的系统文件’这一项。于是黑客完全可以将服务端进程插入到包括LSASS.EXE在内的任何系统进程中,所以说是非常危险的。”
沙僧又问道:“如何分辨真假LSASS进程呢?”谭教授说道:“首先我们要确定系统中只有一个LSASS进程,如果出现两个以上的这个进程,那么其中必有一个是假冒的。LSASS进程是一个本地服务,所以它一定不会连接互联网的。如果防火墙提示用户说LSASS进程要连接网络,那么这个进程必然是假的,我们通过防火墙提示的路径顺藤摸瓜就可以找到假的了。”
谭教授讲完以上的内容,微微一笑说:“各位同学,经过本期的学习,你们已经了解了有关LSASS进程的知识。但是要熟练掌握这些知识,同学们只有多复习、多实践,我相信大家一定能成功驾驭各种进程的。”
结束语
电脑启动时显示“应用程序lsass.exe错误”怎么解决?
说明系统的SAM密码文件损坏或丢失。没有SAM文件,直接用命令方法重新建一个用户账户即可,详细步骤:1、按下键盘上win+R键,打开运行对话框。2、在对话框中输入cmd命令。3、输入完成后 按下enter键,即打开了系统模拟的DOS环境--cmd命令行程序窗口。4、在cmd命令行程序窗口中输入:net user test 123456/add 命令。5、按下enter键就成功设置test用户。6、即可查看当前登录账号。
Lsass.exe是什么进程?
它用于本地安全和登陆策略。但请注意: lsass.exe也有可能是近来非常流行的“系统文件感染病毒”所释放,该类病毒可以通过各种移动存储介质(U盘、移动硬盘)、群发电子邮件、内网感染以及网页挂马传播,有些情况下你看到的lsass.exe这一进程,实则为木马所注册。木马允许黑客远程访问您的计算机窃取密码,网上银行以及各种隐私数据。成为了一个极大的安全隐患。由于其他安全软件查杀该病毒后并不修复系统文件,导致电脑出现lsass.exe文件丢失使,可以使用可牛系统急救箱进行系统文件完美修复!截止今天,可牛杀毒安全中心监测到有为数不少的网游玩家的电脑感染了lsass.exe病毒,造成lsass.exe等系统文件丢失,以及网游账号被盗。现在使用可牛免费杀毒进行全盘扫描能够完美清除该病毒,修复系统文件。木马“化身”lsass.exe系统文件,盗取网游账号,网民浑然不知2009年末,木马感染系统文件成为最新趋势。在过去,木马为了侵入网游,必须在启动项中进行加载,所以安全软件可以通过启动项检查发现是否有木马进入系统。而如上文所提到的通过感染lsass.exe文件,从而将木马加载进网游进程的形势,可以绕过大多数安全软件的检测。这也是“系统文件感染病毒” 至今没有被主流杀软查杀的原因。多数杀毒软件对这款盗号木马只能查杀但却不会进行修复,造成系统找不到lsass.exe文件,导致运行网游时弹出系统文件丢失提示。
lsass.exe占用50%CPU,开机两个小时左右就出现这种情况,杀毒了不行,重做系统也不行,求
使用注意事项:
1.不用时要彻底关闭电源,避免过热、电池没电造成硬件损坏,从而无法再次使用。
2.当需要某些软件时再下载,不要盲目下载软件,避免中病毒。
3.安装杀毒软件并查杀病毒,清理缓存、硬盘,加快设备运行速率。
4.贴膜和装保护壳,起到保护和缓冲作用,避免机身变形而造成硬件损坏。
5.外出时看管好设备,谨防丢失或被盗。
