本文目录索引

• 1，lsass.exe进程是什么东西
• 2，Lsass.exe是什么进程？
• 3，LSASS.exe是什么进程
• 4，lsass.exe是什么进程
• 5，Lsass.exe这个进程是干什么的？重要吗？怎么强行结束它？
• 6，lsass是什么进程
• 7，我在电脑任务管理器的进程里看到的"LSASS.exe,SVCHOST.exe,SMSS.exe“是什么文件？有什么作用
• 8，进程里有lsass.exe是什么啊？
• 9，请问电脑进程里哪些可以关掉？
• 10，请问LSASS.exe进程是什么东西啊？

1，lsass.exe进程是什么东西

LSASS.EXE
进程文件： lsass 或者 lsass.exe


进程名称： Local Security Authority Service

进程名称： lsass.exe是一个系统进程，用于微软Windows系统的安全机制。它用于本地安全和登陆策略。注意：lsass.exe也有可能是Windang.worm、irc.ratsou.b、Webus.B、MyDoom.L、Randex.AR、Nimos.worm创建的，病毒通过软盘、群发邮件和P2P文件共享进行传播。

如果你的启动菜单（开始-运行-输入“msconfig”）里有个lsass.exe启动项，那就证明你的lsass.exe是木马病毒，中毒后，在进程里可以见到有两个相同的进程，分别是lsass.exe和LSASS.EXE，同时在windows下生成LSASS.EXE和exert.exe两个可执行文件，且在后台运行，LSASS.EXE管理exe类执行文件，exert.exe管理程序退出，还会在D盘根目录下产生command.com和 autorun.inf两个文件，同时侵入注册表破坏系统文件关联。以下说一下本人对该病毒的杀法，以WIN98为例:打开IE属性删除cookies和所有脱机内容,启动进程杀手终止lsass.exe和exert.exe两个进程，然后到windows目录下删除这两个文件，这两个文件是隐藏的，再到 D：删除command.com和autorun.inf两个文件，最后重启电脑到DOS 运行，用scanreg/restore 命令来恢复注册表，（如果不会的或者是XP系统不能用的可以用瑞星注册表修复程序之类的软件修复一下注册表），重启后进到WINDOWS桌面用杀毒软件，全面杀毒，清除余下的病毒！


出品者： Microsoft Corp.
属于： Microsoft Windows Operating System

系统进程： 是
后台程序： 是
使用网络： 否
硬件相关： 否
常见错误： 未知N/A
内存使用： 未知N/A
安全等级 (0-5): 0
间谍软件： 否
广告软件： 否
Virus: 否
木马: 否

2，Lsass.exe是什么进程？

它用于本地安全和登陆策略。 但请注意： lsass.exe也有可能是近来非常流行的“系统文件感染病毒”所释放，该类病毒可以通过各种移动存储介质（U盘、移动硬盘）、群发电子邮件、内网感染以及网页挂马传播，有些情况下你看到的lsass.exe这一进程，实则为木马所注册。木马允许黑客远程访问您的计算机窃取密码，网上银行以及各种隐私数据。成为了一个极大的安全隐患。 由于其他安全软件查杀该病毒后并不修复系统文件，导致电脑出现lsass.exe文件丢失使，可以使用可牛系统急救箱进行系统文件完美修复！ 截止今天，可牛杀毒安全中心监测到有为数不少的网游玩家的电脑感染了lsass.exe病毒，造成lsass.exe等系统文件丢失，以及网游账号被盗。现在使用可牛免费杀毒进行全盘扫描能够完美清除该病毒，修复系统文件。 木马“化身”lsass.exe系统文件，盗取网游账号，网民浑然不知 2009年末，木马感染系统文件成为最新趋势。在过去，木马为了侵入网游，必须在启动项中进行加载，所以安全软件可以通过启动项检查发现是否有木马进入系统。而如上文所提到的通过感染lsass.exe文件，从而将木马加载进网游进程的形势，可以绕过大多数安全软件的检测。这也是“系统文件感染病毒” 至今没有被主流杀软查杀的原因。 多数杀毒软件对这款盗号木马只能查杀但却不会进行修复，造成系统找不到lsass.exe文件，导致运行网游时弹出系统文件丢失提示。

3，LSASS.exe是什么进程

如果你的启动菜单里有个lsass.exe启动项，那就证明你得lsass.exe木马病毒，中毒后，会在windows里产生lsass.exe和exert.exe两个病毒文件，还会在D盘根目录下产生command.com和autorun.inf两个文件，同时侵入注册表破坏系统文件关联。在进程里可以见到有两个相同的进程，分别是lsass.exet和LSASS.EXE.同时在windows下生成LSASS.EXE和exert.exe两个可执行文件，且在后台运行。LSASS.EXE管理exe类执行文件，exert.exe管理程序退出。
参考资料：http://baike.baidu.com/view/544278.htm

4，lsass.exe是什么进程

lsass.exe是一个系统进程，用于微软Windows系统的安全机制。用于本地安全和登陆策略。 本地安全权限服务控制Windows安全机制，这是一个系统进程，它会随着系统启动而自动启动。管理IP安全策略以及启动 ISAKMP/Oakley (IKE) 和 IP 安全驱动程序等，是一个本地的安全授权服务，并且它会为使用winlogon服务的授权用户生成一个进程。 该进程是通过使用授权的包，例如默认的msgina.dll来执行的。如果授权是成功的，lsass就会产生用户的进入令牌，令牌别使用启动初始的shell。 扩展资料： 相关病毒： lsass.exe也有可能是Windang.worm、irc.ratsou.b、Webus.B、MyDoom.L、Randex.AR、Nimos.worm创建的，病毒通过软盘、群发邮件和P2P文件共享进行传播。 病毒描述： lsass.exe感染的病毒是一个可以在WIN9X/NT/2000/XP等操作系统上运行的盗号木马。病毒会强行终止多种杀毒软件的进程，使其不能正常运行。 病毒诊断： 如果启动项里有个lsass.exe启动项，那就说明中了LSASS.EXE木马病毒，中毒后，在进程里可以见到有两个相同的进程，分别是lsass.exe和LSASS.EXE。 同时在windows下生成LSASS.EXE和exert.exe两个可执行文件，且在后台运行，LSASS.EXE管理exe类执行文件，exert.exe管理程序退出，还会在D盘根目录下产生和 autorun.inf两个文件，同时侵入注册表破坏系统文件关联。 参考资料来源：百度百科-LSASS.EXE

5，Lsass.exe这个进程是干什么的？重要吗？怎么强行结束它？

lsass.exe是一个系统进程，用于微软Windows系统的安全机制。它用于本地安全和登陆策略。注意：lsass.exe也有可能是Windang.worm、irc.ratsou.b、Webus.B、MyDoom.L、Randex.AR、Nimos.worm创建的，病毒通过软盘、群发邮件和P2P文件共享进行传播。
强制结束进程的命令是

ntsd命令，该命令为2000、XP系统自带的调试命令，因为其有debug权限，我们现在可以用它杀掉大部分进程。Windows操作系统中只有System、SMSS.EXE和CSRSS.EXE不能杀。前两个是纯内核态的，最后那个是Win32子系统，ntsd本身需要它。

具体用法如下：打开CMD，输入

ntsd –c q –p PID

最后那个PID，改成你要终止的进程的ID。如果你不知道进程的ID，任务管理器－进程选项卡－查看－选择列－勾上"PID（进程标识符）"，然后就能看见了。

-c是以命令行方式传递命令，q 是强制退出，-p 是后面跟PID。

6，lsass是什么进程

　　曾经案例：大名鼎鼎的蠕虫病毒“震荡波”利用的就是Windows LSASS的一个缓冲溢出漏洞。针对此漏洞进行攻击可以使LSASS.EXE缓冲区溢出，并使得攻击者取得对目标系统的完全控制权限。被攻击的系统会出现一些症状，比如LSASS.EXE出乎意料地弹出一个一分钟倒计时窗口，提示“LSASS.EXE出错需要关机”。www.sq120.com推荐文章

默默无闻的LSASS进程

　　悟空等人一大早便来到教室，见谭教授进入教室，悟空马上问道：“这一课会讲些什么内容啊？”谭教授笑着答道：“今天我们讲的这个系统进程，虽然并不显眼，但是它却在系统中起关键的作用——它就是LSASS进程。”

　　谭教授解释道：“这是一个本地的安全授权服务，它会为使用Winlogon服务的授权用户生成一个进程。这个进程是通过使用授权的包，例如使用默认的msgina.dll来执行的。如果授权是成功的，LSASS就会产生用户的进入令牌，令牌使用启动初始的Shell。其他的由用户初始化的进程继承这个令牌。而Windows活动目录远程堆栈溢出漏洞，正是利用LDAP 3搜索请求功能对用户提交请求缺少正确缓冲区边界检查，构建超过1000个‘AND’的请求，并发送给服务器，导致触发堆栈溢出并且使LSASS.EXE服务崩溃，系统在60秒内重新启动。

　　小知识：LSASS是微软安全机制的系统进程，主要处理一些特殊的安全机制和登录策略，为Windows系统本地安全权限服务。注意：LSASS也有可能是Windang.worm、irc.ratsou.b、Webus.B、MyDoom.L、Randex.AR、Nimos.worm创建的，病毒通过软盘、群发邮件和P2P文件共享进行传播。

LSASS进程的作用

　　听完谭教授的解说，各位同学都面面相觑，最后还是八戒站起来问道：“这个LSASS进程是干什么的？它在系统中起什么作用？”谭教授回答道：“LSASS是Windows XP系统的一个核心进程，为很多系统服务提供了支持，这其中最主要的就是Policy Agent服务。该服务就是我们常说的IP安全策略服务，在Windows XP系统中默认安装的启动类型为自动，依赖于IPSEC driver、Remote Procedure Call、TCP/IP Protocol Driver等服务的支持。”

　　唐僧提问：“IP安全策略在Windows系统中可以起到什么作用？”

　　谭教授解释说：“IPSEC是一种用来保护内部网、专用网络以及外部网免遭黑客攻击的重要防御方法，主要特征在于它可对所有IP级的通信进行加密和认证。可以为我们系统起一个功能弱但是够用的防火墙，特别是在装机过程中，不需借助其他软件就很好地保护了系统。正是这一点才使IPSEC可以确保包括远程登录、客户/服务器、电子邮件、文件传输及Web访问在内的多种应用程序的安全。”
辨别真假LSASS进程

　　这时沙僧问道：“前面讲了这么多关于LSASS的知识，那么该进程的危害到底是什么？”

　　谭教授慢慢地说道：“LSASS进程最大的危险还是进程自身存在各种各样的漏洞。黑客利用这些漏洞生成各种各样的危险病毒，并且利用这些漏洞生成大量的网页木马。”

　　悟空马上接着说：“除此以外，该进程还可能被进行线程插入操作。虽然在以前的课程中并不是每个进程都提到了线程的插入，但是现在一些刚刚推出的木马程序，在进行线程插入的时候已经不会单单是插入到某个特定的进程中了，而是可以让用户自定义插入进程。例如最近就有一款名为‘上兴’的木马程序，在它的服务端配置程序中就有‘插入system32目录的系统文件’这一项。于是黑客完全可以将服务端进程插入到包括LSASS.EXE在内的任何系统进程中，所以说是非常危险的。”

　　沙僧又问道：“如何分辨真假LSASS进程呢？”谭教授说道：“首先我们要确定系统中只有一个LSASS进程，如果出现两个以上的这个进程，那么其中必有一个是假冒的。LSASS进程是一个本地服务，所以它一定不会连接互联网的。如果防火墙提示用户说LSASS进程要连接网络，那么这个进程必然是假的，我们通过防火墙提示的路径顺藤摸瓜就可以找到假的了。”

　　谭教授讲完以上的内容，微微一笑说：“各位同学，经过本期的学习，你们已经了解了有关LSASS进程的知识。但是要熟练掌握这些知识，同学们只有多复习、多实践，我相信大家一定能成功驾驭各种进程的。”

结束语

7，我在电脑任务管理器的进程里看到的"LSASS.exe,SVCHOST.exe,SMSS.exe“是什么文件？有什么作用

你可以在进程知识库（http://www.dofile.com/）看看

LSASS.exe：lsass.exe是一个系统进程，用于微软Windows系统的安全机制。它用于本地安全和登陆策略。注意：lsass.exe也有可能是Windang.worm、irc.ratsou.b、Webus.B、MyDoom.L、Randex.AR、Nimos.worm创建的，病毒通过软盘、群发邮件和P2P文件共享进行传播。

SVCHOST.exe：svchost.exe是一个属于微软Windows操作系统的系统程序，用于执行DLL文件。这个程序对你系统的正常运行是非常重要的。注意：svchost.exe也有可能是W32.Welchia.Worm病毒，它利用Windows LSASS漏洞，制造缓冲区溢出，导致你计算机关机。更多详细信息参考:http://www.microsoft.com/technet/security/bulletin/ms04-011.mspx，该进程的安全等级是建议立即删除。

SMSS.exe：smss.exe是微软Windows操作系统的一部分。该进程调用对话管理子系统和负责操作你系统的对话。这个程序对你系统的正常运行是非常重要的。注意：smss.exe也可能是Win32.Ladex.a木马。该木马允许攻击者访问你的计算机，窃取密码和个人数据。该进程的安全等级是建议立即删除。

8，进程里有lsass.exe是什么啊？

进程文件:lsassorlsass.exe
进程名称:本地安全权限服务
描述:这个本地安全权限服务控制Windows安全机制。管理IP安全策略以及启动ISAKMP/Oakley(IKE)和IP安全驱动程序等。
介绍：这是一个本地的安全授权服务，并且它会为使用winlogon服务的授权用户生成一个进程。这个进程是通过使用授权的包，例如默认的msgina.dll来执行的。如果授权是成功的，lsass就会产生用户的进入令牌，令牌别使用启动初始的shell。其他的由用户初始化的进程会继承这个令牌的。而windows活动目录远程堆栈溢出漏洞，正是利用LDAP3搜索请求功能对用户提交请求缺少正确缓冲区边界检查，构建超过1000个"AND"的请求，并发送给服务器，导致触发堆栈溢出，使Lsass.exe服务崩溃，系统在30秒内重新启动。

9，请问电脑进程里哪些可以关掉？

电脑进程哪些能关， 那些不能关， 有一个大致判断方法， 按Ctrl + Alt + Del进入任务管理器， 然后点击进程这一项， 就能看到所有进程， 然后点击“查看”菜单下的“选择列”， 在选择列窗口， 勾选“用户名”这一项，确定。 再返回到任务管理器窗口， 就能看到用户名了， 如果用户名是“SYSTEM”，则是系统的程序，不能删。 如果用户名为“Administrator”，则是一用户的程序，可以删。 就算删错了也没关系，重新启动就是。 还有一些其它名的，一般都为系统服务，不要删。

10，请问LSASS.exe进程是什么东西啊？

刚刚在龙卷风上面找到的

该进程是多个 Windows 系统服务的宿主。包括：1) HTTP SSL，通过安全套接字层(SSL)实现 HTTP 服务的安全超文本传送协议(HTTPS)。2) IPSEC Services，提供 TCP/IP 网络上客户端和服务器之间端对端的安全，如果此服务被停用，网络上客户端和服务器之间的 TCP/IP 安全将不稳定。3) Kerberos Key Distribution Center，在域控制器上此服务启用用户使用 Kerberos 授权协议登录网络。如果此服务在域控制器上被停用，用户将无法登录网络。4) Net Logon，为用户和服务身份验证维护此计算机和域控制器之间的安全通道。如果此服务被停用，计算机可能无法验证用户和服务身份并且域控制器无法注册 DNS 记录。5) NT LM Security Support Provider，为使用传输协议而不是命名管道的远程过程调用(RPC)程序提供安全机制。6) Protected Storage，保护敏感数据(如私钥)的存储，以便防止未授权的服务、过程或用户对其的非法访问。如果此服务被停用，保护性存储将不可用。7) Security Accounts Manager，此服务的启动通知其他服务安全帐户管理 (SAM) 准备好接收请求。禁用此服务将使系统中的其他服务接收不到 SAM 准备好的通知，从而导致这些服务启动不正确。此服务不应被禁用。