lsass.exe是什么進程? 系統(tǒng)安全進程介紹

lsass.exe是一個系統(tǒng)進程，用于微軟Windows系統(tǒng)的安全機制。它用于本地安全和登陸策略。注意：lsass.exe也有可能是Windang.worm、irc.ratsou.b、Webus.B、MyDoom.L、Randex.AR、Nimos.worm創(chuàng)建的，病毒通過軟盤、群發(fā)郵件和P2P文件共享進行傳播。

進程信息

進程文件：lsass 或者 lsass.exe
進程名稱：Local Security Authority Service、本地安全權(quán)限服務
出品者：Microsoft Corp.
屬于：Microsoft Windows Operating System
系統(tǒng)進程：是
后臺程序：是
使用網(wǎng)絡：否
硬件相關：否
常見錯誤：未知N/A
內(nèi)存使用：未知N/A
安全等級 (0-5)： 0
間諜軟件：否
廣告軟件：否
Virus： 否
木馬：否

進程描述

本地安全權(quán)限服務控制Windows安全機制。管理IP安全策略以及啟動 ISAKMP/Oakley (IKE) 和 IP 安全驅(qū)動程序等，是一個本地的安全授權(quán)服務，并且它會為使用winlogon服務的授權(quán)用戶生成一個進程。這個進程是通過使用授權(quán)的包，例如默認的msgina.dll來執(zhí)行的。如果授權(quán)是成功的，lsass就會產(chǎn)生用戶的進入令牌，令牌別使用啟動初始的shell。其他的由用戶初始化的進程會繼承這個令牌的。而windows活動目錄遠程堆棧溢出漏洞，正是利用LDAP 3搜索請求功能對用戶提交請求缺少正確緩沖區(qū)邊界檢查，構(gòu)建超過1000個"AND"的請求，并發(fā)送給服務器，導致觸發(fā)堆棧溢出，使Lsass.exe服務崩潰，系統(tǒng)在30秒內(nèi)重新啟動。[1]。