lsass.exe 進程了解
大名鼎鼎的蠕蟲病毒“震盪波”利用的就是Windows LSASS的一個緩衝溢出漏洞。針對此漏洞進行攻擊可以使LSASS.EXE緩衝區溢出,並使得攻擊者取得對目標系統的完全控制權限。被攻擊的系統會出現一些症狀,比如LSASS.EXE出乎意料地彈出一個一分鐘倒計時窗口,提示“LSASS.EXE出錯需要關機”默默無聞的LSASS進程
悟空等人一大早便來到教室,見譚教授進入教室,悟空馬上問道:“這一課會講些什麼內容啊?”譚教授笑著答道:“今天我們講的這個系統進程,雖然並不顯眼,但是它卻在系統中起關鍵的作用——它就是LSASS進程。”
譚教授解釋道:“這是一個本地的安全授權服務,它會為使用Winlogon服務的授權用戶生成一個進程。這個進程是通過使用授權的包,例如使用默認的msgina.dll來執行的。如果授權是成功的,LSASS就會產生用戶的進入令牌,令牌使用啟動初始的Shell。其他的由用戶初始化的進程繼承這個令牌。而Windows活動目錄遠程堆疊溢出漏洞,正是利用LDAP 3搜索請求功能對用戶提交請求缺少正確緩衝區邊界檢查,構建超過1000個‘AND’的請求,併發送給伺服器,導致觸發堆疊溢出並且使LSASS.EXE服務崩潰,系統在60秒內重新啟動。
小知識:LSASS是微軟安全機制的系統進程,主要處理一些特殊的安全機制和登錄策略,為Windows系統本地安全許可權服務。注意:LSASS也有可能是Windang.worm、irc.ratsou.b、Webus.B、MyDoom.L、Randex.AR、Nimos.worm創建的,病毒通過軟碟、群發郵件和P2P檔共用進行傳播。
LSASS進程的作用
聽完譚教授的解說,各位同學都面面相覷,最後還是八戒站起來問道:“這個LSASS進程是幹什麼的?它在系統中起什麼作用?”譚教授回答道:“LSASS是Windows XP系統的一個核心進程,為很多系統服務提供了支持,這其中最主要的就是Policy Agent服務。該服務就是我們常說的IP安全策略服務,在Windows XP系統中默認安裝的啟動類型為自動,依賴於IPSEC driver、Remote Procedure Call、TCP/IP Protocol Driver等服務的支持。”
唐僧提問:“IP安全策略在Windows系統中可以起到什麼作用?”
譚教授解釋說:“IPSEC是一種用來保護內部網、專用網路以及外部網免遭駭客攻擊的重要防禦方法,主要特徵在於它可對所有IP級的通信進行加密和認證。可以為我們系統起一個功能弱但是夠用的防火牆,特別是在裝機過程中,不需借助其他軟體就很好地保護了系統。正是這一點才使IPSEC可以確保包括遠程登錄、客戶/伺服器、電子郵件、檔傳輸及Web訪問在內的多種應用程式的安全。”
辨別真假LSASS進程
這時沙僧問道:“前面講了這麼多關於LSASS的知識,那麼該進程的危害到底是什麼?”
譚教授慢慢地說道:“LSASS進程最大的危險還是進程自身存在各種各樣的漏洞。駭客利用這些漏洞生成各種各樣的危險病毒,並且利用這些漏洞生成大量的網頁木馬。”
悟空馬上接著說:“除此以外,該進程還可能被進行線程插入操作。雖然在以前的課程中並不是每個進程都提到了線程的插入,但是現在一些剛剛推出的木馬程式,在進行線程插入的時候已經不會單單是插入到某個特定的進程中了,而是可以讓用戶自定義插入進程。例如最近就有一款名為‘上興’的木馬程式,在它的服務端配置程式中就有‘插入system32目錄的系統檔’這一項。於是駭客完全可以將服務端進程插入到包括LSASS.EXE在內的任何系統進程中,所以說是非常危險的。”
沙僧又問道:“如何分辨真假LSASS進程呢?”譚教授說道:“首先我們要確定系統中只有一個LSASS進程,如果出現兩個以上的這個進程,那麼其中必有一個是假冒的。LSASS進程是一個本地服務,所以它一定不會連接互聯網的。如果防火牆提示用戶說LSASS進程要連接網路,那麼這個進程必然是假的,我們通過防火牆提示的路徑順藤摸瓜就可以找到假的了。”
譚教授講完以上的內容,微微一笑說:“各位同學,經過本期的學習,你們已經瞭解了有關LSASS進程的知識。但是要熟練掌握這些知識,同學們只有多復習、多實踐,我相信大家一定能成功駕馭各種進程的。”
結束語
經過這8節課的講解,我們分別介紹了8個Windows系統中的高危進程,同時也介紹了它們之所以成為高危進程的原因。到此為止,本系列已經結束。雖然只是短短的8節課的內容,內容也是很基礎的,但是我們相信這些內容一定讓大家獲益不少。因為這些基礎和理論的知識可以讓大家在日後處理安全方面問題的時候,能夠快速找到問題的原因以及處理問題的方法。
木馬程式 LSASS.exe 清除方法
癥狀:
1.工作管理員內的處理程序有2個lsass.exe程序,一個是system的,一個是目前用戶名稱的(該程序為木馬).
2.點擊2次D磁碟機打不開,只能透過按滑鼠右鍵方式來開啟D磁碟機,用kaspersky掃描可以掃描出來,並且可
以殺掉.但是重新開機後又有兩個lsass.exe進程.
3.中木馬之後會在D磁碟機根目錄下產生command.com和autorun.inf兩個檔案,同時會入侵登錄檔破壞系統
檔案關聯.
該木馬會建立如下檔案:
c:\program files\common files\INTEXPLORE.pif
c:\program files\internet explorer\INTEXPLORE.com
c:\windows\debug\debugprogram.exe
c:\windows\system32\Anskya0.exe
c:\windows\system32\dxdiag.com
c:\windows\system32\MSCONFIG.com
c:\windows\system32\regedit.com
c:\windows\system32\LSASS.exe
c:\windows\system32\EXERT.exe
解決方法:
1.結束LSASS.exe程序:
按Ctrl+Alt+Del會跑出工作管理員,點選" 處理程序 ",發現要結束以用戶名稱存在的LSASS.exe程序是行不通的.
會彈出該程序為系統程序無法結束的提醒框,此時請點選 "檢視"->"選擇欄位" 勾選" PID(程序識別元)",在點
擊"確定"。
找到以用戶名稱存在的LSASS.exe程序,記住其PID號碼.
點選 "開始"-> "執行" 輸入"CMD" [Enter],會出現"命令提示字元"視窗,請在視窗內輸入 " ntsd –c q -p PID",
假設你找到的PID號碼是1064 就請輸入"ntsd –c q -p 1064" [Enter],如此就可以結束LSASS.exe程序了.
2.刪除木馬檔案:
大多數的木馬檔案都是隱藏文件所以要設置顯示所有的隱藏文件、系統文件和顯示所有檔案.
請點選 我的電腦 ->工具(T) -> 資料夾夾選項(O) -> "檢視" 打勾 "顯示所有檔案和資料夾",取消 "隱藏已知檔
案類型的副檔名"和 "隱藏保護的作業系統檔案",這時會彈出一個警告,選擇"是",至此就能顯示所有的隱藏文件了.
刪除如下的檔案:
C:\Program Files\Common Files\INTEXPLORE.pif
C:\Program Files\Internet Explorer\INTEXPLORE.com
C:\WINDOWS\EXERT.exe
C:\WINDOWS\IO.SYS.BAK
C:\WINDOWS\LSASS.exe
C:\WINDOWS\Debug\DebugProgram.exe
C:\WINDOWS\system32\dxdiag.com
C:\WINDOWS\system32\MSCONFIG.COM
C:\WINDOWS\system32\regedit.com
在D磁碟機按滑鼠右鍵,選擇“開啟”,刪除掉根目錄下的"Autorun.inf"和"command.com"檔案.
3.將Windows目錄下的"regedit.exe"改名為"regedit.com" 並點選執行,刪除以下項目:(此步驟有無法開機的危險
若您沒把握,請找高明一點的人來操刀)
HKEY_CLASSES_ROOT\WindowFiles
HKEY_CURRENT_USER\Software\VB and VBA Program Settings
HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main 下面的 Check_Associations項
HKEY_LOCAL_MACHINE\SOFTWARE\Clients\StartMenuInternet\INTEXPLORE.pif
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run 下面的ToP項
將HKEY_CLASSES_ROOT\.exe的默認值修改為"exefile"(原來是windowsfile)
將 HKEY_CLASSES_ROOT\Applications\iexplore.exe\shell\open\command 的默認值修改為
"C:\Program Files\Internet Explorer\iexplore.exe" %1" (原來是intexplore.com)
將HKEY_CLASSES_ROOT\CLSID\{871C5380-42A0-1069-A2EA-08002B30309D}\shell\OpenHomePage\Command 的默認值修改為
"C:\Program Files\Internet Explorer\IEXPLORE.EXE"(原來是INTEXPLORE.com)
將HKEY_CLASSES_ROOT\ftp\shell\open\command 和 HKEY_CLASSES_ROOT\htmlfile\shell\opennew\command
的默認值修改為"C:\Program Files\Internet Explorer\iexplore.exe" %1" (原來的值分別是INTEXPLORE.com和INTEXPLORE.pif)
將HKEY_CLASSES_ROOT \htmlfile\shell\open\command 和 HKEY_CLASSES_ROOT\HTTP\shell\open\command的默認值修改為
"C:\Program Files\Internet Explorer\iexplore.exe" –nohome”
將HKEY_LOCAL_MACHINE\SOFTWARE\Clients\StartMenuInternet
的默認值修改為"IEXPLORE.EXE".(原來是INTEXPLORE.pif)
4.將Windows目錄下的 regedit.com 名稱改回 regedit.exe,至此病毒清除成功,登錄檔修復完畢,重新開機即可.