没有人登录时使用哪个Windows帐户？

没有人登录Windows时（显示登录屏幕），当前进程以哪个用户身份运行？（视频/声音驱动程序，登录会话，任何服务器软件，可访问性控件等。它们不能是任何用户或以前的用户，因为没有人登录。关于用户已启动但继续执行的过程，该怎么办？是否在注销后运行（例如HTTP，FTP服务器和其他网络设备），它们是否切换到SYSTEM帐户？如果用户启动的进程切换到SYSTEM，则表明存在非常严重的漏洞。该进程是否以该用户身份运行退出后继续以该用户身份运行？

这就是为什么SETHC hack允许您将CMD用作SYSTEM的原因吗？

没有人登录Windows时（显示登录屏幕），当前进程以哪个用户身份运行？（视频/声音驱动程序，登录会话，任何服务器软件，可访问性控件等。

几乎所有驱动程序都在内核模式下运行。他们不需要帐户，除非他们启动用户空间进程。少数用户空间驱动程序在SYSTEM下运行。

我现在无法检查登录会话，但是我确定它也使用SYSTEM。您可以在Process Hacker或SysInternals ProcExp中看到logonui.exe。实际上，您可以通过这种方式看到所有内容。

“服务器软件”，请参见下面的Windows服务。

用户已启动但注销后仍可继续运行的进程又如何呢？（例如HTTP，FTP服务器和其他网络设备）。他们是否切换到SYSTEM帐户？

这里有三种：

1. 普通的旧“背景”进程。它们与启动它们的人使用相同的帐户运行，并且在注销后不运行。注销过程将全部杀死。

   “ HTTP，FTP服务器和其他网络设备” 不作为常规后台进程运行。它们作为服务运行。

2. Windows“服务”进程。这些不是直接启动的，而是通过Service Manager启动的。默认情况下，服务可以作为LocalSystem运行（isanae表示等于SYSTEM），尽管它们可以配置专用帐户。

   （当然，几乎没有人打扰。他们只是安装XAMPP或WampServer或其他废话，而让它作为SYSTEM运行，永远不会打补丁。）

   在最近的Windows系统上，我认为服务也可以有自己的 SID，但是我对此还没有进行过多研究。

3. 计划任务。这些由“任务计划程序”服务“在后台”启动，并且始终在任务中配置的帐户下运行（通常是创建任务的人）。

如果用户启动的进程切换到SYSTEM，则表明存在非常严重的漏洞

这不是漏洞，因为您必须已经具有管理员特权才能安装服务。拥有管理员权限已使您几乎可以执行所有操作。

（另请参见相同类型的其他各种非漏洞）

登录和预登录过程均以SYSTEM（也称为LocalSystem）运行。实际上，一种使外壳程序（例如CMD提示符）在某些Windows版本上以SYSTEM身份运行的方法是用（或链接到）CMD.EXE，然后在登录之前使用快捷方式启用该可访问性功能。即使没有任何用户登录，您也会得到命令提示符，并且CMD将以SYSTEM身份运行。

（注意：这显然很危险，因为它会让人们绕过Windows登录过程。您永远不要以这种方式配置计算机，然后再将其保留。）

他们不会“切换”到任何东西。这样的进程永远不会在当前用户上下文下运行。
它们归SYSTEM用户所有。

单个用户拥有的任何进程和服务都将在注销时终止。
这就是注销的意思。