เมื่อไม่มีใครล็อกอินเข้าสู่ Windows (หน้าจอเข้าสู่ระบบจะปรากฏขึ้น) ผู้ใช้ที่กระบวนการปัจจุบันทำงานเป็นใคร? (ไดรเวอร์วิดีโอ / เสียงเซสชันการเข้าสู่ระบบซอฟต์แวร์เซิร์ฟเวอร์ใด ๆ การควบคุมการเข้าถึงเป็นต้น
ไดรเวอร์เกือบทั้งหมดทำงานในโหมดเคอร์เนล พวกเขาไม่จำเป็นต้องมีบัญชีเว้นแต่พวกเขาเริ่มกระบวนการ userspace ไดรเวอร์พื้นที่ผู้ใช้สองสามตัวทำงานภายใต้ SYSTEM
เซสชันการเข้าสู่ระบบฉันไม่สามารถตรวจสอบได้ในตอนนี้ แต่ฉันแน่ใจว่ามันใช้ระบบเช่นกัน ท่านสามารถเข้าดู logonui.exe ในHacker กระบวนการหรือSysInternals procexp ในความเป็นจริงคุณสามารถเห็นทุกอย่างในแบบนั้น
"ซอฟต์แวร์เซิร์ฟเวอร์" โปรดดูบริการ Windows ด้านล่าง
สิ่งที่เกี่ยวกับกระบวนการที่เริ่มต้นโดยผู้ใช้ แต่ยังคงทำงานหลังจากออกจากระบบ? (ตัวอย่างเช่น HTTP, FTP เซิร์ฟเวอร์และอื่น ๆ เครือข่าย) พวกเขาเปลี่ยนเป็นบัญชีระบบหรือไม่
มีสามชนิดที่นี่:
กระบวนการ "พื้นหลัง" แบบเก่าธรรมดา ผู้ที่ทำงานภายใต้บัญชีเดียวกันกับผู้ที่เริ่มต้นใช้งานและจะไม่ทำงานหลังจากออกจากระบบ กระบวนการออกจากระบบฆ่าพวกเขาทั้งหมด
"HTTP, FTP เซิร์ฟเวอร์และสิ่งอื่น ๆ เกี่ยวกับเครือข่าย" ไม่ทำงานตามกระบวนการพื้นหลังปกติ พวกเขาทำงานเป็นบริการ
กระบวนการ Windows "บริการ" สิ่งเหล่านี้ไม่ได้เปิดตัวโดยตรง แต่ผ่านทางผู้จัดการบริการ โดยบริการเริ่มต้นทำงานเป็น LocalSystem (ซึ่ง isanae บอกว่าเท่ากับระบบ) แม้ว่าพวกเขาสามารถมีการกำหนดค่าบัญชีเฉพาะ
(แน่นอนว่าไม่มีใครมารบกวนพวกเขาเพียงแค่ติดตั้ง XAMPP หรือ WampServer หรืออึอื่น ๆ และปล่อยให้มันทำงานเป็น SYSTEM โดยไม่มีการแก้ไขตลอดไป)
ในระบบ Windows ล่าสุดฉันคิดว่าบริการยังสามารถมีSID ของตัวเองได้แต่ฉันยังไม่ได้ทำการวิจัยมากขนาดนี้อีก
งานที่กำหนดไว้ สิ่งเหล่านี้ถูกเปิดใช้โดยบริการ "ตัวกำหนดเวลางาน" "ในพื้นหลัง" และมักจะทำงานภายใต้บัญชีที่กำหนดค่าไว้ในงาน (โดยปกติใครก็ตามที่สร้างงาน)
หากกระบวนการที่ผู้ใช้เริ่มต้นสลับไปที่ SYSTEM แสดงว่ามีช่องโหว่ที่ร้ายแรงมาก
มันไม่ได้เป็นช่องโหว่เพราะคุณจะต้องมีอยู่แล้วมีสิทธิ์ของผู้ดูแลในการติดตั้งบริการ การมีสิทธิ์ของผู้ดูแลระบบจะช่วยให้คุณทำทุกสิ่งได้จริง
(ดูประเภทอื่น ๆ ที่ไม่ใช่ช่องโหว่ประเภทเดียวกัน)