Windows에 아무도 로그인하지 않은 경우 (로그인 화면이 표시됨) 현재 프로세스를 실행중인 사용자는 누구입니까? (비디오 / 사운드 드라이버, 로그인 세션, 모든 서버 소프트웨어, 접근성 제어 등

거의 모든 드라이버가 커널 모드 에서 실행 됩니다. 사용자 공간 프로세스를 시작하지 않으면 계정이 필요하지 않습니다. 소수의 사용자 공간 드라이버는 SYSTEM에서 실행됩니다.

로그인 세션, 지금 확인할 수는 없지만 SYSTEM도 사용하고 있다고 확신합니다. Processn Hacker 또는 SysInternals ProcExp 에서 logonui.exe를 볼 수 있습니다 . 사실, 모든 것을 그렇게 볼 수 있습니다 .

“서버 소프트웨어”는 아래의 Windows 서비스를 참조하십시오.

사용자가 시작했지만 로그 오프 후에도 계속 실행되는 프로세스는 어떻습니까? (예 : HTTP, FTP 서버 및 기타 네트워킹) 그들은 SYSTEM 계정으로 전환합니까?

여기에는 세 가지 종류가 있습니다.

1. 평범한 오래된 “배경”프로세스. 이들은 시작한 사람과 동일한 계정으로 실행되며 로그 오프 후에 는 실행 되지 않습니다 . 로그 오프 프로세스는 모두 종료합니다.

   “HTTP, FTP 서버 및 기타 네트워킹 항목” 은 일반적인 백그라운드 프로세스로 실행 되지 않습니다 . 그들은 서비스로 운영됩니다.

2. Windows “서비스”프로세스. 직접 시작하지 않고 Service Manager를 통해 시작합니다. 기본적으로 서비스는 전용 계정을 구성 할 수 있지만 LocalSystem (isanae는 SYSTEM이라고 함)으로 실행됩니다.

   (물론, 실제로 아무도 귀찮게하지 않습니다. XAMPP 또는 WampServer 또는 다른 쓰레기를 설치하고 영원히 패치되지 않은 SYSTEM으로 실행하게합니다.)

   최근 Windows 시스템에서는 서비스에 자체 SID 가있을 수 있다고 생각 하지만 아직까지는 많이 연구하지 않았습니다.

3. 예약 된 일들. 이들은 “배경에서” “작업 스케줄러”서비스에 의해 시작되며 항상 작업에 구성된 계정 (보통 작업을 만든 사람)에서 실행됩니다.

사용자가 시작한 프로세스가 SYSTEM으로 전환되면 이는 매우 심각한 취약점을 나타냅니다

서비스를 설치 하려면 이미 관리자 권한 이 있어야하므로 취약점이 아닙니다 . 관리자 권한이 있으면 실제로 모든 것을 할 수 있습니다.

( 같은 종류의 다른 여러 가지 비 취약성 참조 )

답변