10Aug
Jei norėtumėte sužinoti daugiau apie tai, kaip "Windows" veikia po gaubtu, tuomet jūs galite sužinoti, kokie aktyvūs "paskyros" procesai veikia, kai niekas nėra prisijungęs prie "Windows".Atsižvelgdami į tai, šiandien "SuperUser Q &" įrašas turi atsakymus į įdomų skaitytoją.
Šiandienos klausimas &Atsakymų sesija ateina pas mus iš "SuperUser" - "Stack Exchange", bendruomenės pagrįstos "Q & A" svetainių grupės pasidalijimo.
Klausimas
SuperUser skaitytuvas Kunal Chopra nori sužinoti, kokią sąskaitą naudoja Windows, kai niekas nėra prisijungęs:
Kai niekas nėra prisijungęs prie sistemos Windows ir rodomas ekrano žurnalas, kuri vartotojo abonementas yra dabartiniai procesai, veikiantys pagal( vaizdo ir garso tvarkykles, prisijungimo sesiją, bet kokią serverio programinę įrangą, prieigos kontrolės priemones ir tt)?Tai negali būti bet kuris naudotojas arba ankstesnis naudotojas, nes niekas nėra prisijungęs.
Ką apie procesus, kuriuos pradėjo naudotojas, bet kurie paleidžia juos išeinant( pvz., HTTP / FTP serveriai ir kiti tinklo procesai)?Ar jie perjungia "SYSTEM" paskyrą?Jei naudotojo pradėtas procesas perjungiamas į SISTEMOS paskyrą, tai rodo labai rimtą pažeidžiamumą.Ar tokio proceso, kurį vykdo tas vartotojas, kažkodis po to, kai jie atsijungė, ir toliau dirba pagal tą vartotojo paskyrą?
Ar tai kodėl SETHC įsilaužimas leidžia jums naudoti CMD kaip SISTEMĄ?
Kokią sąskaitą naudoja Windows, kai niekas nėra prisijungęs?
Atsakymas
SuperUser pranešėjas gravitacija turi mums atsakymą:
Kai niekas nėra prisijungęs prie "Windows" ir rodomas ekrano žurnalas, kuri vartotojo abonementas yra dabartiniai procesai, kuriuose veikia( vaizdo ir garso tvarkyklės, prisijungimo sesija, bet kuris serverisprograminė įranga, prieigos kontrolės priemonės ir tt)?
Beveik visi tvarkyklės veikia branduolio režimu;jiems nereikia sąskaitos, jei jie nepradeda vartotojo erdvės procesų.Tie vartotojo erdvės tvarkyklės paleidžiami pagal SISTEMĄ.
Dėl prisijungimo sesijos esu įsitikinęs, kad ji taip pat naudoja "SYSTEM"."Logonui.exe" galite pamatyti naudojant "Process Hacker" arba "SysInternals Process Explorer".Tiesą sakant, viską galite pamatyti tokiu būdu.
Kaip ir serverio programinę įrangą, žr. Toliau nurodytas "Windows" paslaugas.
Ką apie procesus, kurie buvo paleisti vartotojo, bet ir toliau paleisti, kai atsijungia( pvz., HTTP / FTP serveriai ir kiti tinklo procesai)?Ar jie perjungia "SYSTEM" paskyrą?
Čia yra trys variantai:
- Paprastas senas fono procesas: jie paleidžiami pagal tą pačią paskyrą kaip ir tie, kurie juos paleidžia ir paleisti neatliekant. Atleidimo procesas visus juos nužudo. HTTP / FTP serveriai ir kiti tinklo procesai neveikia kaip įprasti fono procesai. Jie veikia kaip paslaugos.
- "Windows" paslaugų procesai: jie nėra paleisti tiesiogiai, bet per paslaugų vadovą .Pagal nutylėjimą paslaugos veikia kaip LocalSystem( kuris isanae sako lygus SYSTEM) gali turėti sukonfigūruotas paskyras.Žinoma, praktiškai niekas nerimą kelia. Jie tiesiog įdiegia "XAMPP", "WampServer" ar kokią nors kitą programinę įrangą ir paleidžia ją kaip "SYSTEM"( visam laikui nepatvirtintą).Neseniai "Windows" sistemose, manau, kad paslaugos taip pat gali turėti savo SID, bet dar dar to nepadariau daug mokslinių tyrimų.
- Numatytos užduotys: jas paleidžia užduočių planavimo tarnyba fone ir visada palei paskyroje sukonfigūruotą( paprastai tai, kas sukūrė užduotį).
Jei naudotojo paleidimo procesas perjungiamas į SISTEMOS sąskaitą, tai rodo labai rimtą pažeidžiamumą.
Tai nėra pažeidžiamumas, nes jūs turite turėti administratoriaus teises įdiegti paslaugą.Turėdami administratoriaus teises jau galite praktiškai viską.
Taip pat žiūrėkite: Įvairūs kiti tos pačios rūšies pažeidžiamumai.
Būtinai perskaitykite likusią šios įdomios diskusijos nuorodą žemiau!
Ar ką nors pridėti prie paaiškinimo? Garsas išjungtas komentaruose. Norite skaityti daugiau atsakymų iš kitų "Tech-savvy Stack Exchange" vartotojų?Patikrinkite visą diskusijų temą čia.
