lsass.exe系统进程介绍

来源：作者：出处：综艺读书 2006-07-26

关键词：病毒 windows 2000 os asp

　　[lsass.exe]
　　
　　进程文件: lsass or lsass.exe
　　
　　进程名称: 本地安全权限服务
　　
　　描　　述: 这个本地安全权限服务控制Windows安全机制。管理 IP 安全策略以及启动 ISAKMP/Oakley (IKE) 和 IP 安全驱动程序等。

　　
　　介　　绍：这是一个本地的安全授权服务，并且它会为使用winlogon服务的授权用户生成一个进程。这个进程是通过使用授权的包，例如默认的msgina.dll来执行的。如果授权是成功的，lsass就会产生用户的进入令牌，令牌别使用启动初始的shell。其他的由用户初始化的进程会继承这个令牌的。而windows活动目录远程堆栈溢出漏洞，正是利用LDAP 3搜索请求功能对用户提交请求缺少正确缓冲区边界检查，构建超过1000个"AND"的请求，并发送给服务器，导致触发堆栈溢出，使Lsass.exe服务崩溃，系统在30秒内重新启动。
　　
　　今天一种名为avserver.exe的病毒开始在互联网上流传，传播方式类似于blast病毒，该病毒利用微软windows漏洞传播，请各位及时搭好windows补丁
　　
　　中病毒后症状
　　
　　和RPC的那种差不多连着网一开机过一会就出现一个对话框（和XP里面强行关掉某个程序后出现的那种对话框差不多）说 LSA Shell(Export Version)出现问题，叫我选择调试/发送错误报告/不发送错误报告
　　不管选哪个一会就出现一个类似RPC一分钟关机的对话框：说C:\Windows\System32\lsass.exe引起错误需要关机，状态码是-1073741819 ，然后重启的时候如果仍然连着网线，登陆XP时还说我密码错误！！断网就可以登陆了~~
　　
　　进程里面有xxxxx_up.exe ，lsass.exe ，avserver.exe 不停的往外建立tcp连接，使得打开ftp的时候说
　　no buffer space available
　　病毒会在windows\system32\下建立一个名为XXXXX_UP.exe文件，在windows目录下建立avserver.exe
　　
　　中毒后暂时的解决办法：
　　
　　1.解除关机倒计时窗口：调整系统时间为5.1之前的时间，如4.1号；在运行(run)里边运行shutdown -a
　　
　　2.在系统进程中关闭有xxxx_up.exe avserver.exe进程，拔掉网线，安装网络防火墙或者打开windows自带的防火墙，关闭445端口的通信
　　
　　3.重启到安全模式，手动删除windows\system32\下的一个名为XXXXX_UP.exe文件，在windows目录下的avserver.exe，以及启动项中的键值
　　
　　4.安装系统补丁，还可以使用Windows自动更新
　　
　　lsass.exe出乎意料终止，几分钟关机
　　http://www.chinaitlab.com/www/news/article_show.asp?id=32293
　　
　　基于 Windows 2000 Server 的域控制器上的 Lsass.exe 进程的内存使用量
　　http://support.microsoft.com/default.aspx?scid=kb;zh-cn;308356