LSASS到底是個什么東西啊？

lsass-lsass.EXE-進(jìn)程信息

進(jìn)程文件:lsassorlsass.exe

進(jìn)程名稱:本地安全權(quán)限服務(wù)

描述:這個本地安全權(quán)限服務(wù)控制Windows安全機制。

常見錯誤:N/A

是否為系統(tǒng)進(jìn)程:是

本地安全權(quán)限服務(wù)控制Windows安全機制。管理IP安全策略以及啟動ISAKMP/Oakley(IKE)和IP安全驅(qū)動程序等。它會為使用winlogon服務(wù)的授權(quán)用戶生成一個進(jìn)程。這個進(jìn)程是通過使用授權(quán)的包，例如默認(rèn)的msgina.dll來執(zhí)行的。如果授權(quán)是成功的，lsass就會產(chǎn)生用戶的進(jìn)入令牌，令牌別使用啟動初始的shell。其他的由用戶初始化的進(jìn)程會繼承這個令牌的。而windows活動目錄遠(yuǎn)程堆棧溢出漏洞，正是利用LDAP3搜索請求功能對用戶提交請求缺少正確緩沖區(qū)邊界檢查，構(gòu)建超過1000個"AND"的請求，并發(fā)送給服務(wù)器，導(dǎo)致觸發(fā)堆棧溢出，使Lsass.exe服務(wù)崩潰，系統(tǒng)在30秒內(nèi)重新啟動。這里請記住該進(jìn)程的正常路徑為C:\WINDOWS\system32，一些病毒，如W32.Nimos.Worm病毒會在其它位置模仿LSASS.EXE來運行。

正常的LSASS不是木馬但是木馬可以假冒LSASS

如果只發(fā)現(xiàn)一個就應(yīng)該不是木馬了