Hva Er LSA Shell Lsass.exe?

Hva Er LSA Shell Lsass.exe?


Hackere liker å finne kreative måter å utnytte kritiske Windows operativsystemfiler, og et lett mål for korrupsjon har vært Local Security Authority Subsystem Service, eller LSASS. Lsass klarer datamaskin sikkerhetspolicyer og bruker godkjenninger. Dens kjørbar lsass.exe har inspirert virus som kapre CPU prosesser og føre til at datamaskinen starte på nytt. Ved å forstå det grunnleggende LSASS, kan du bli kunnskapsrike i å identifisere upassende forekomster av kjørbare og dermed hindre virusinfeksjoner.

Hensikt

Lsass godkjenner brukere og håndhever sikkerhetspolitikk for en datamaskin. Når en bruker logger seg på datamaskinen, LSASS sjekker om brukerens legitimasjon er gyldig til datamaskinen og eventuelt til domenet. Etter validere brukeren, genererer LSASS en tilgang token og lanserer den første skallet. LSASS forvalter også overvåkingspolicy knyttet til datamaskinen som det overvåker.

komponenter

The Local Security Authority Subsystem Service inkluderer seks komponenter. The Local Security Authority, eller LSA, styrer brukerautentisering og brukerrettigheter. LSA servertjenesten dirigerer datasikkerhet. Net Logon tjenesten overvåker og sikrer brukeren og datamaskinen tilgang til domenekontroller. Secure Sockets Layer (SSL) krypterer autentiserings samtaler til en server. Kerberos v5 Autentisering og NTLM protokoller gir tilsyn på enkeltpåloggings protokoller. Endelig Security Accounts Manager Tjenesten fungerer som en tilsynsmann for LSASS prosessen, og bringer de enkelte komponentene til å fungere sammen.

Forekomster

Selv om den primære lsass.exe fil sitter i mappen C: \ Windows \ System32 katalogen, kan flere forekomster av filen eksisterer ved hjelp av viral infeksjon. Når infeksjon oppstår, kan det kaste bort verdifulle ressurser data- og føre til at maskinen starte på nytt eller til og med krasje. Eksempler på virus som har utnyttet lsass.exe inkluderer W32.Nimos.Worm, W32.Sasser.E.Worm, W32.HLLW.Lovegate.C@mm, Trojan.W32.KELVIR, Trojan.W32.Webus, Trojan.W32. Satiloler, Trojan E32.Downloader, og Trojan.W32.Rontokbr.

kjente problemer

Hvis en bruker har mistanke om at lsass.exe har blitt ødelagt av et virus, har Microsoft Corporation lansert et verktøy som heter Microsoft-verktøyet for Windows Malicious Software som renser opp varianter av Sasser-ormen. (Reference 4) Microsoft Security Bulletin (MS04-11) (Resource 1) inneholder også en liste over feilrettinger for å løse feil knyttet til LSASS som starter maskinen. (Referanse 5)