lsass.exe คืออะไรและเหตุใดมันจึงทำงาน

ดังนั้นคุณจะพบคนโง่exe ทำงานบนระบบ Windows ของคุณ คุณอาจต้องการทราบว่าเป็นไวรัสหรือเป็นสิ่งที่ควรจะอยู่ที่นั่น เรามีข่าวดีมาก่อน กระบวนการนี้ไม่ใช่ไวรัส lsass.exe สร้างขึ้นโดย Microsoft และเป็นระบบหลัก“ Local Security Authority Process” ที่สร้างขึ้นใน Windows อย่างไรก็ตามมีความเสี่ยงของไฟล์สำเนาแมว สำหรับรายละเอียดเพิ่มเติมอ่านต่อ

เรียกว่าการรับรองความปลอดภัยในเครื่องเซิร์ฟเวอร์ไฟล์นี้สร้างกระบวนการที่รับผิดชอบการตรวจสอบสิทธิ์ผู้ใช้ในบริการ WinLogon กระบวนการนี้ดำเนินการโดยใช้แพ็คเกจการรับรองความถูกต้องเช่น msgina.dll เริ่มต้น เมื่อการรับรองความถูกต้องสำเร็จ lsass.exe จะสร้างโทเค็นการเข้าถึงของผู้ใช้ซึ่งใช้เพื่อเรียกใช้เชลล์เริ่มต้น กระบวนการอื่น ๆ ที่ผู้ใช้เริ่มสืบทอดโทเค็นนี้

ดูที่ lsass.exe ใน process explorer พบว่ามันจัดการกับ 3 บริการพิสูจน์ตัวตนหลักใน Windows:

• EFS (ระบบไฟล์เข้ารหัส)
  • จัดเตรียมเทคโนโลยีการเข้ารหัสไฟล์หลักที่ใช้เพื่อเก็บไฟล์ที่เข้ารหัสในวอลุ่มระบบไฟล์ NTFS หากบริการนี้หยุดหรือปิดการใช้งานแอปพลิเคชันจะไม่สามารถเข้าถึงไฟล์ที่เข้ารหัสได้
• KeyIso (การแยกคีย์ CNG)
  • การแยกคีย์ CNG ถูกโฮสต์ใน LSAกระบวนการ. บริการจัดเตรียมการแยกกระบวนการให้กับคีย์ส่วนตัวและการดำเนินการเข้ารหัสที่เกี่ยวข้องตามที่กำหนดไว้ใน Common Criteria บริการจัดเก็บและใช้กุญแจที่มีอายุการใช้งานยาวนานในกระบวนการที่ปลอดภัยซึ่งเป็นไปตามข้อกำหนดของเกณฑ์ทั่วไป
• SamSs (ผู้จัดการบัญชีความปลอดภัย)
  • การเริ่มต้นบริการนี้เป็นสัญญาณอื่น ๆบริการที่ผู้จัดการบัญชีความปลอดภัย (SAM) พร้อมที่จะรับคำขอ การปิดใช้งานบริการนี้จะป้องกันไม่ให้บริการอื่น ๆ ในระบบได้รับแจ้งเมื่อ SAM พร้อมซึ่งอาจทำให้บริการเหล่านั้นไม่สามารถเริ่มทำงานได้อย่างถูกต้อง ไม่ควรปิดบริการนี้

จัดการโดย lsass.exe เป็นนโยบาย IPSEC ในพื้นที่ สิ่งนี้จัดการและเริ่มต้น ISAKMP / Oakley (IKE) และไดรเวอร์ความปลอดภัย IP ใน Windows Server

ความอ่อนแอ

ในบันทึกความปลอดภัยกระบวนการนี้ปลอดภัย อย่างไรก็ตามมีการรู้กันว่าไวรัส copy-cat ติดเชื้อ กระบวนการที่เป็นอันตรายมีชื่อว่า isass.exe (Isass.exe = bad) ซึ่งมีลักษณะคล้ายกับ Lsass.exe (lsass.exe = good) หากคุณพบว่ากระบวนการเริ่มต้นด้วยตัวพิมพ์ใหญ่ "i" แทนที่จะเป็นตัวพิมพ์เล็ก "L" แสดงว่าระบบของคุณติดเชื้อแล้ว

“ isass นี้exe” เป็นไวรัสโทรจันที่รู้จักในชื่อ Sasser worm วัตถุประสงค์ของเวิร์มคือการซ่อนเร้นระบบของคุณและเริ่มทำการเก็บเกี่ยวข้อมูล ไวรัสนี้จะบันทึกทุกการกดแป้นพิมพ์และโดยเฉพาะหลังจากชื่อผู้ใช้บัญชีรหัสผ่านหมายเลขบัตรเครดิตและข้อมูลสำคัญอื่น ๆ ที่สามารถใช้เพื่อผลประโยชน์ทางการเงินที่หลอกลวง หากคุณพบว่าคอมพิวเตอร์ของคุณติดไวรัสตัวนี้จะถูกถอดออกได้โดยใช้เครื่องมือกำจัดมัลแวร์ของ Microsoft

โชคดีที่ Copycat“ isassไม่พบไวรัส” exe” ในอีกไม่กี่ปีข้างหน้า Microsoft ได้ทำการแก้ไขช่องโหว่ที่ทำให้ไวรัสติด Windows แล้ว นี่คือเหตุผลว่าทำไมจึงสำคัญที่ต้องปรับปรุงระบบของคุณอยู่เสมอ

ข้อสรุป

โดยรวมxe เป็นกระบวนการเริ่มต้นเริ่มต้นที่ควบคุมการเข้าสู่ระบบความปลอดภัย กระบวนการนี้ปลอดภัยและจำเป็นต่อการทำงานของ Windows มีรอยเท้าของระบบไฟ แต่การใช้หน่วยความจำไม่เกี่ยวข้องเนื่องจาก Windows ไม่สามารถทำงานได้อย่างถูกต้องหากไม่มี หากคอมพิวเตอร์ของคุณไม่ได้รับการอัปเดตมีโอกาสที่คุณจะติดไวรัส copy-cat แต่ก็ไม่น่าเป็นไปได้นอกจากคุณจะยังใช้ Windows XP หรือเก่ากว่า