没有人登录Windows时(显示登录屏幕),当前进程以哪个用户身份运行?(视频/声音驱动程序,登录会话,任何服务器软件,可访问性控件等。
几乎所有驱动程序都在内核模式下运行。他们不需要帐户,除非他们启动用户空间进程。少数用户空间驱动程序在SYSTEM下运行。
我现在无法检查登录会话,但是我确定它也使用SYSTEM。您可以在Process Hacker或SysInternals ProcExp中看到logonui.exe。实际上,您可以通过这种方式看到所有内容。
“服务器软件”,请参见下面的Windows服务。
用户已启动但注销后仍可继续运行的进程又如何呢?(例如HTTP,FTP服务器和其他网络设备)。他们是否切换到SYSTEM帐户?
这里有三种:
普通的旧“背景”进程。它们与启动它们的人使用相同的帐户运行,并且在注销后不运行。注销过程将全部杀死。
“ HTTP,FTP服务器和其他网络设备” 不作为常规后台进程运行。它们作为服务运行。
Windows“服务”进程。这些不是直接启动的,而是通过Service Manager启动的。默认情况下,服务可以作为LocalSystem运行(isanae表示等于SYSTEM),尽管它们可以配置专用帐户。
(当然,几乎没有人打扰。他们只是安装XAMPP或WampServer或其他废话,而让它作为SYSTEM运行,永远不会打补丁。)
在最近的Windows系统上,我认为服务也可以有自己的 SID,但是我对此还没有进行过多研究。
计划任务。这些由“任务计划程序”服务“在后台”启动,并且始终在任务中配置的帐户下运行(通常是创建任务的人)。
如果用户启动的进程切换到SYSTEM,则表明存在非常严重的漏洞
这不是漏洞,因为您必须已经具有管理员特权才能安装服务。拥有管理员权限已使您几乎可以执行所有操作。
(另请参见相同类型的其他各种非漏洞)