25

Когда никто не вошел в Windows (отображается экран входа в систему), от какого пользователя выполняются текущие процессы? (Драйверы видео / звука, сеанс входа в систему, любое серверное программное обеспечение, средства управления доступом и т.д. Они не могут быть ни пользователем, ни предыдущим пользователем, поскольку никто не вошел в систему. А как насчет процессов, которые были запущены пользователем, но продолжают выполняться после выхода из системы? (Например, HTTP, FTP-серверы и другие сетевые устройства). Они переключаются на учетную запись SYSTEM? Если запущенный пользователем процесс переключается на SYSTEM, это указывает на очень серьезную уязвимость. Процесс запускается, когда этот пользователь продолжает работать как этот пользователь после выхода из системы?

Вот почему взлом SETHC позволяет использовать CMD в качестве SYSTEM?

3 ответа3

40

Когда никто не вошел в Windows (отображается экран входа в систему), от какого пользователя выполняются текущие процессы? (Видео / звуковые драйверы, сеанс входа в систему, любое серверное программное обеспечение, средства управления доступом и т.д.

Почти все драйверы работают в режиме ядра ; им не нужна учетная запись, если они не запускают процессы в пространстве пользователя. Несколько драйверов пользовательского пространства работают под SYSTEM.

Сеанс входа в систему, я не могу проверить прямо сейчас, но я уверен, что он также использует SYSTEM. Вы можете увидеть logonui.exe в Process Hacker или SysInternals ProcExp. На самом деле, вы можете видеть все таким образом.

"Серверное программное обеспечение", см. Службы Windows ниже.

А как насчет процессов, которые были запущены пользователем, но продолжают выполняться после выхода из системы? (Например, HTTP, FTP-серверы и другие сетевые устройства). Они переключаются на учетную запись SYSTEM?

Здесь есть три вида:

  1. Обычные старые "фоновые" процессы. Они запускаются под той же учетной записью, что и те, кто их запускал, и не запускаются после выхода из системы. Процесс выхода из системы убивает их всех.

    «HTTP, FTP-серверы и другие сетевые устройства» не работают как обычные фоновые процессы. Они работают как сервисы.

  2. Windows "обслуживает" процессы. Они запускаются не напрямую, а через Service Manager. По умолчанию службы запускаются как LocalSystem (что isanae говорит как SYSTEM), хотя для них могут быть настроены выделенные учетные записи.

    (Конечно, практически никто не мешает. Они просто устанавливают XAMPP, WampServer или какую-то другую хрень и позволяют ей работать как SYSTEM, навсегда не исправленной.)

    Я думаю, что в современных системах Windows сервисы также могут иметь свои собственные идентификаторы безопасности, но, опять же, я еще не слишком много исследовал.

  3. Запланированные задачи. Они запускаются службой "Планировщик заданий" "в фоновом режиме" и всегда запускаются под учетной записью, настроенной в задаче (обычно независимо от того, кто ее создал).

Если запущенный пользователем процесс переключается на SYSTEM, это указывает на очень серьезную уязвимость

Это не уязвимость, поскольку для установки службы у вас уже должны быть права администратора. Наличие прав администратора уже позволяет вам делать практически все.

(см. также различные другие неуязвимости того же типа)

2

Процессы входа в систему и предварительного входа в систему выполняются как СИСТЕМА (также называемая LocalSystem). Фактически, один из способов заставить оболочку (например, приглашение CMD) работать в качестве SYSTEM в некоторых версиях Windows - это заменить программу специальных возможностей, например программу чтения с экрана, экранную лупу или экранную клавиатуру, копией (или ссылка на) CMD.EXE , а затем используйте ярлык, чтобы включить эту специальную функцию перед входом в систему. Вы получите командную строку, даже если в систему не вошли пользователи, а CMD будет работать как SYSTEM.

(Примечание: очевидно, что это опасно, поскольку позволяет людям обойти процесс входа в Windows. Вы никогда не должны настраивать компьютер таким образом, а затем оставлять его таким.)

1

Они не "переключаются" ни на что; такие процессы никогда не запускаются в контексте текущего пользователя.
Они принадлежат пользователю SYSTEM .

Любые процессы и услуги, принадлежащие отдельному пользователю, прекращаются при выходе из системы.
Вот что означает выход из системы.

Всё ещё ищете ответ? Посмотрите другие вопросы с метками .