Ако сте любопитни и научите повече за това, как функционира Windows под капака, може да се окажете, че се чудите кои активни процеси "в профила" се изпълняват, когато никой не е влязъл в Windows. Имайки предвид това, днешната публикация SuperUser Q & A има отговори за любопитен читател.
Днешната сесия за въпроси и отговори ни идва с любезното съдействие на SuperUser - подразделение на Stack Exchange - обединяване на уеб сайтове с въпроси и отговори.
Четецът на SuperUser Kunal Chopra иска да знае кой акаунт се използва от Windows, когато никой не е влязъл в системата:
Когато никой не е влязъл в Windows и се показва екранът за влизане, кой потребителски акаунт са текущите процеси, които се изпълняват под (видео и звукови драйвери, сесия за влизане, сървърни програми, контроли за достъпност и т.н.)? Не може да бъде нито потребител, нито предишен потребител, защото никой не е влязъл в профила си.
Какво става с процесите, които са стартирали от даден потребител, но продължават да се изпълняват след изключване (например HTTP / FTP сървъри и други мрежови процеси)? Преминават ли към СИСТЕМАТА сметка? Ако процесът, стартиран от потребителя, е превключен към системния профил, това показва много сериозна уязвимост. Дали такъв процес, изпълняван от този потребител, продължава да се изпълнява под акаунта на този потребител по някакъв начин след излизане от него?
Ето защо SETHC хак ви позволява да използвате CMD като система?
Кой акаунт се използва от Windows, когато никой не е влязъл в системата?
Слуховият сътрудник на SuperUser има отговор за нас:
Когато никой не е влязъл в Windows и се показва екранът за влизане, кой потребителски акаунт са текущите процеси, които се изпълняват под (видео и звукови драйвери, сесия за влизане, сървърни програми, контроли за достъпност и т.н.)?
Почти всички драйвери се изпълняват в режим на ядрото; те не се нуждаят от сметка, освен ако не започнат потребителското пространство процеси. Тези потребителското пространство драйверите работят под СИСТЕМА.
Що се отнася до сесията за вход, аз съм сигурен, че тя използва и СИСТЕМА. Можете да видите logonui.exe чрез Process Hacker или SysInternals Process Explorer. Всъщност можете да видите всичко по този начин.
Що се отнася до сървърния софтуер, вижте услугите на Windows по-долу.
Какво става с процесите, които са стартирали от даден потребител, но продължават да се изпълняват след изключване (например HTTP / FTP сървъри и други мрежови процеси)? Преминават ли към СИСТЕМАТА сметка?
Тук има три вида:
- Обикновени процеси в стария фон: Те се изпълняват под същия профил като този, който ги е стартирал и не се изпълняват след изключване. Процесът на извеждането ги убива всички. HTTP / FTP сървърите и други мрежови процеси не се изпълняват като обикновени фонови процеси. Те работят като услуги.
- Процеси на услугата за Windows: Те не се стартират директно, а чрез Мениджър услуги, По подразбиране услугите се изпълняват като LocalSystem (което isanae казва, че е равно на SYSTEM), може да има конфигурирани специални акаунти. Разбира се, на практика никой не се притеснява. Те просто инсталират XAMPP, WampServer или друг софтуер и го пускат да функционират като SYSTEM (завинаги без пакети). На последните системи за Windows мисля, че услугите могат да имат и свои собствени SID, но отново не съм направил много проучвания по този въпрос.
- Планирани задачи: Те се стартират от Службата за планиране на задачи във фонов режим и винаги се изпълнява под акаунта, конфигуриран в задачата (обикновено този, който е създал задачата).
Ако процесът, стартиран от потребителя, е превключен към системния профил, това показва много сериозна уязвимост.
Това не е уязвимост, защото вече трябва да имате администраторски права, за да инсталирате услуга. Правото на администраторски права вече ви позволява да правите практически всичко.
Вижте също: Различни други неуязвими места от същия вид.
Не забравяйте да прочетете останалата част от тази интересна дискусия чрез връзката по-долу!
Имате ли нещо, което да добавите към обяснението? Звучи в коментарите. Искате ли да прочетете повече отговори от други потребители на Stack Exchange? Вижте цялата тема на дискусията тук.
