admin管理员组文章数量:1516870
svchost创建WmiPrvSE进程
已创建新进程。
原始报文:已创建新进程。 创建者主题: 安全 ID: S-1-5-18 帐户名: 10FBACK$ 帐户域: WORKGROUP 登录 ID: 0x3E7 目标主题: 安全 ID: S-1-0-0 帐户名: - 帐户域: - 登录 ID: 0x0 进程信息: 新进程 ID: 0x2764 新进程名称: C:\Windows\System32\wbem\WmiPrvSE.exe 令牌提升类型: TokenElevationTypeDefault (1) 强制性标签: S-1-16-16384 创建者进程 ID: 0x79c 创建者进程名称: C:\Windows\System32\svchost.exe 进程命令行: “令牌提升类型”表示根据用户帐户控制策略分配给新进程的令牌类型。 类型 1 是未删除特权或未禁用组的完全令牌。完全令牌仅在禁用了用户帐户控制或者用户是内置管理员帐户或服务帐户的情况下使用。 类型 2 是未删除特权或未禁用组的提升令牌。当启用了用户帐户控制并且用户选择使用“以管理员身份运行”选项启动程序时,会使用提升令牌。当应用程序配置为始终需要管理特权或始终需要最高特权并且用户是管理员组的成员时,也会使用提升令牌。 类型 3 是删除了管理特权并禁用了管理组的受限令牌。当启用了用户帐户控制,应用程序不需要管理特权并且用户未选择使用“以管理员身份运行”选项启动程序时,会使用受限令牌。
根据日志逐步分析
| 属性 | 参数 | 说明 |
|---|---|---|
| 创建者主题 | 创建进程的信息 | |
| 安全 ID | S-1-5-18 |
System(或 LocalSystem)操作系统和配置为以 LocalSystem 身份登录的服务在本地使用的标识。
System 是“Administrators”组的隐藏成员。 也就是说,作为 System 运行的任何进程在其访问令牌中都有内置“管理员”组的 SID。 作为 System 本地运行的进程访问网络资源时,会使用计算机的域标识进行访问。 远程计算机上的访问令牌包括本地计算机的域帐户的 SID,以及计算机所属安全组(如域计算机和经过身份验证的用户)的 SID。 |
| 帐户名 | 10FBACK$ | 创建了一个隐藏账号,权限是system,生命周期从创建持续到关机 |
| 帐户域 | WORKGROUP | 本地域,应该是没有加入域控;也有可能域控的名字就是WORKGROUP |
| 登录 ID | 0x3E7 |
在 Windows Server(以及所有 Windows 系统)中,
登录 ID:
0x3E7
(十六进制,十进制为 999)
是一个
高度特殊且重要的标识符
,它代表
NT AUTHORITY\SYSTEM
帐户的默认登录会话
。
|
| 目标主题 | 被创建进程的信息 | |
| 安全 ID | S-1-0-0 |
空SID,没有成员的组。 当 SID 值未知时,通常使用此值。
没有人,没有安全主体 |
| 帐户名 | - | 未分配身份 |
| 帐户域 | - | 无域 |
| 登录 ID | 0x0 | 无身份,进程还没有初始化;或者理解为空会话 |
| 进程信息 | 新创建的进程 | |
| 新进程 ID | 0x2764 | 新进程的ID是十六进制的0x2764 |
| 新进程 |
版权声明:本文标题:发现svchost,慌了吗?详解识别及解决步骤! 内容由网友自发贡献,该文观点仅代表作者本人, 转载请联系作者并注明出处:https://www.betaflare.com/web/1772208188a3272270.html, 本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如发现本站有涉嫌抄袭侵权/违法违规的内容,一经查实,本站将立刻删除。
发表评论