今天说说windwos初始化内核后,由会话管理器winlogon.exe创建的本地安全性授权系统服务----lsass.exe
这项服务是系统服务-即具有最高权限。知名的法国牛人就写出了一个和它有关的密码抓取神器(轻量级调试器)—mimikatz。搞过渗透安全的人员都知道,这项程序在其中所起的作用不言而喻了吧。
当我们在登录界面(windows加载最后一步)输入账户密码时,lsass.exe调用两个模块wdigest和tspkg使用可逆算法进行加密,在内存中存储,而mimikatz正是对加密密码的逆向分析,结果出明文。但为什么lsass.exe没有采用先hash再加密方式对我们的账户密码进行彻底的保护呢? 我也不知道。。。
在win7下 system32权限下 taskkill /f /im lsass.exe 杀死它
随后
有的命令直接报错,可能在内存中,该进程的结束,此时windows处于无人守护状态,可见不能随便kill掉。
对于安全性比较高的win10系统,直接蓝屏!!! 没错,它和svchost进程一样,都将导致系统服务异常终止。
其实,换句话来说,蓝屏对于计算机是一种保护机制,它能防止恶意代码或者行为继续损坏系统,从而保护计算机。
来源:CSDN
作者:安全青铜
链接:https://blog.csdn.net/weixin_43762939/article/details/90381158