收藏本站 |切换到宽版 | 更换论坛皮肤
 找回密码  忘记邮箱  QQ快速登录  快速登录  快速注册

卡饭»论坛 软件区 windows区 小白求惑 WINDOWS10 找不到线程
12下一页
返回列表 发新帖
查看: 2048|回复: 11
收起左侧

[讨论] 小白求惑 WINDOWS10 找不到线程

[复制链接]
人间风雪客
发表于 2023-7-24 21:20:04 | 显示全部楼层 |阅读模式
日志名称:          Security
来源:            Microsoft-Windows-Security-Auditing
日期:            2023/7/24 19:42:48
事件 ID:         4672
任务类别:          Special Logon
级别:            信息
关键字:           审核成功
用户:            暂缺
计算机:           DESKTOP-XXXXXXX
描述:
为新登录分配了特殊权限。

使用者:
        安全 ID:                SYSTEM
        帐户名:                SYSTEM
        帐户域:                NT AUTHORITY
        登录 ID:                0x3E7

特权:                SeAssignPrimaryTokenPrivilege
                        SeTcbPrivilege
                        SeSecurityPrivilege
                        SeTakeOwnershipPrivilege
                        SeLoadDriverPrivilege
                        SeBackupPrivilege
                        SeRestorePrivilege
                        SeDebugPrivilege
                        SeAuditPrivilege
                        SeSystemEnvironmentPrivilege
                        SeImpersonatePrivilege
                        SeDelegateSessionUserImpersonatePrivilege
事件 Xml:
<Event xmlns="http://schemas.microsoft.com/win/2004/08/events/event">
  <System>
    <Provider Name="Microsoft-Windows-Security-Auditing" Guid="{xxxxxxxxx-5478-4994-a5ba-3e3b0328xxxxx}" />
    <EventID>4672</EventID>
    <Version>0</Version>
    <Level>0</Level>
    <Task>12548</Task>
    <Opcode>0</Opcode>
    <Keywords>0x8020000000000000</Keywords>
    <TimeCreated SystemTime="2023-07-24T11:42:48.6799876Z" />
    <EventRecordID>85900</EventRecordID>
    <Correlation ActivityID="{10874b54-bcb5-0001-044c-8710b5bcd901}" />
    <Execution ProcessID="940" ThreadID="1188" />
    <Channel>Security</Channel>
    <Computer>DESKTOP-2F0JCU8</Computer>
    <Security />
  </System>
  <EventData>
    <Data Name="SubjectUserSid">S-1-5-18</Data>
    <Data Name="SubjectUserName">SYSTEM</Data>
    <Data Name="SubjectDomainName">NT AUTHORITY</Data>
    <Data Name="SubjectLogonId">0x3e7</Data>
    <Data Name="PrivilegeList">SeAssignPrimaryTokenPrivilege
                        SeTcbPrivilege
                        SeSecurityPrivilege
                        SeTakeOwnershipPrivilege
                        SeLoadDriverPrivilege
                        SeBackupPrivilege
                        SeRestorePrivilege
                        SeDebugPrivilege
                        SeAuditPrivilege
                        SeSystemEnvironmentPrivilege
                        SeImpersonatePrivilege
                        SeDelegateSessionUserImpersonatePrivilege</Data>
  </EventData>
</Event>

--------------------------------------------------------------------------------------
以上是一条系统日志信息,根据 <Execution ProcessID="940" 判断为lsass.exe程序,打开火绒剑查找ThreadID="1188"无果,然后翻遍整个火绒剑进程中所有进程文件无果,请问论坛大佬,用什么方法或软件可以找到此线程。





neicuntiqu.rar

12.46 KB, 下载次数: 608
回复

举报

yb168w
发表于 2023-7-26 18:13:52 | 显示全部楼层
楼主应该是刚用win8以上,并且对系统有很高的兴趣,建议还是先百度吧,这里等人回复多慢!
回复

举报

人间风雪客
 楼主| 发表于 2023-7-26 19:47:49 | 显示全部楼层
yb168w 发表于 2023-7-26 18:13
楼主应该是刚用win8以上,并且对系统有很高的兴趣,建议还是先百度吧,这里等人回复多慢!

谢谢
回复

举报

峪飞鹰
发表于 2023-8-1 12:12:24 | 显示全部楼层
因为线程执行完成就退出了啊,退出之前记录的日志,等你看的时候已经找不到了。不过看起来这个日志没有任何风险啊,是系统自己的功能在运行。
回复

举报

人间风雪客
 楼主| 发表于 2023-8-1 13:59:39 | 显示全部楼层
峪飞鹰 发表于 2023-8-1 12:12
因为线程执行完成就退出了啊,退出之前记录的日志,等你看的时候已经找不到了。不过看起来这个日志没有任何 ...

本人电脑小白,在网上查找资料分2种说法,1为被黑了,2为安全,具体未知。
回复

举报

峪飞鹰
发表于 2023-8-1 15:38:54 | 显示全部楼层
人间风雪客 发表于 2023-8-1 13:59
本人电脑小白,在网上查找资料分2种说法,1为被黑了,2为安全,具体未知。

如果您的电脑打好了补丁,不乱运行来历不明的软件,多半情况下是不会被黑的。
回复

举报

人间风雪客
 楼主| 发表于 2023-8-1 15:46:40 | 显示全部楼层
峪飞鹰 发表于 2023-8-1 15:38
如果您的电脑打好了补丁,不乱运行来历不明的软件,多半情况下是不会被黑的。

感谢提醒~ 您有空的话可以看看我发表的贴子。我是什么系统都试过了,官网的,盗版的,都没用啊,如果有可能的话,我会把我所遭遇的情况发帖分享和反馈的。您也可以去360官网论坛看我发的贴子,名字是随机的,但发帖的内容差不多(本人比较懒,贴子名基本都一样)。
回复

举报

峪飞鹰
发表于 2023-8-1 15:51:24 | 显示全部楼层
人间风雪客 发表于 2023-8-1 15:46
感谢提醒~ 您有空的话可以看看我发表的贴子。我是什么系统都试过了,官网的,盗版的,都没用啊,如果有可 ...

您应该是多虑了,既然试过多个不同的系统都是如此,那大概率就是正常的提示。一般这是System账号在提权,所以产生了一条系统日志。提权是正常操作,不然System下的服务无法正常工作。所以仅凭这一条记录,是不能判定为被黑了的。
回复

举报

人间风雪客
 楼主| 发表于 2023-8-1 15:55:42 | 显示全部楼层
峪飞鹰 发表于 2023-8-1 15:51
您应该是多虑了,既然试过多个不同的系统都是如此,那大概率就是正常的提示。一般这是System账号在提权, ...

1.1 Searching for user-mode API hooks
Analysis: kernel32.dll, export table found in section .rdata
Function kernel32.dll:ReadConsoleInputExA (1133) intercepted, method - ProcAddressHijack.GetProcAddress ->76BBDD24->7619EBC0
Function kernel32.dll:ReadConsoleInputExW (1134) intercepted, method - ProcAddressHijack.GetProcAddress ->76BBDD57->7619EBF0
Analysis: ntdll.dll, export table found in section .text
Function ntdll.dll:NtCreateFile (296) intercepted, method - ProcAddressHijack.GetProcAddress ->77322FA0->6DC925C0
Function ntdll.dll:NtSetInformationFile (600) intercepted, method - ProcAddressHijack.GetProcAddress ->77322CC0->6DC92720
Function ntdll.dll:NtSetValueKey (632) intercepted, method - ProcAddressHijack.GetProcAddress ->77323050->6DC92790
Function ntdll.dll:ZwCreateFile (1841) intercepted, method - ProcAddressHijack.GetProcAddress ->77322FA0->6DC925C0
Function ntdll.dll:ZwSetInformationFile (2143) intercepted, method - ProcAddressHijack.GetProcAddress ->77322CC0->6DC92720
Function ntdll.dll:ZwSetValueKey (2175) intercepted, method - ProcAddressHijack.GetProcAddress ->77323050->6DC92790
Analysis: user32.dll, export table found in section .text
Function user32.dll:CallNextHookEx (1536) intercepted, method - ProcAddressHijack.GetProcAddress ->752CB6D0->6DC924B0
Function user32.dll:SetWindowsHookExW (2399) intercepted, method - ProcAddressHijack.GetProcAddress ->752D0900->6DC92800
Analysis: advapi32.dll, export table found in section .text
Function advapi32.dll:CveEventWrite (1234) intercepted, method - ProcAddressHijack.GetProcAddress ->76356812->761A15C0
Function advapi32.dll:I_ScRegisterPreshutdownRestart (1387) intercepted, method - ProcAddressHijack.GetProcAddress ->76357739->7525C140
Analysis: ws2_32.dll, export table found in section .text
Analysis: wininet.dll, export table found in section .text
Analysis: rasapi32.dll, export table found in section .text
Analysis: urlmon.dll, export table found in section .text
Analysis: netapi32.dll, export table found in section .text
Function netapi32.dll:NetFreeAadJoinInformation (130) intercepted, method - ProcAddressHijack.GetProcAddress ->6CBAD14A->6CB21560
Function netapi32.dll:NetGetAadJoinInformation (131) intercepted, method - ProcAddressHijack.GetProcAddress ->6CBAD179->6CB218E0
1.4 Searching for masking processes and drivers
Checking not performed: extended monitoring driver (AVZPM) is not installed
2. Scanning RAM
Number of processes found: 8
Number of modules loaded: 138
Scanning RAM - complete
3. Scanning disks
Direct reading: C:\ProgramData\Huorong\Sysdiag\scenter\sca69E5.tmp
Direct reading: C:\ProgramData\Huorong\Sysdiag\scenter\sca6CA5.tmp
Direct reading: C:\ProgramData\Huorong\Sysdiag\scenter\sca6DFE.tmp
Direct reading: C:\Users\XXXXXXX\AppData\Local\Microsoft\Windows\Explorer\IconCacheToDelete\icn51CA.tmp
Direct reading: C:\Users\XXXXXXX\AppData\Local\Microsoft\Windows\Explorer\IconCacheToDelete\icn51E4.tmp
Direct reading: C:\Users\XXXXXXX\AppData\Local\Microsoft\Windows\Explorer\IconCacheToDelete\icn51E6.tmp
Direct reading: C:\Users\XXXXXXX\AppData\Local\Microsoft\Windows\Explorer\IconCacheToDelete\icn51E7.tmp
Direct reading: C:\Users\XXXXXXX\AppData\Local\Microsoft\Windows\Explorer\IconCacheToDelete\icn51E8.tmp
Direct reading: C:\Users\XXXXXXX\AppData\Local\Temp\79c2c505-b0e4-4d06-8200-9fa0cb001c60.tmp
Direct reading: C:\Users\XXXXXXX\AppData\Local\Temp\cb838d5f-8b06-49d6-8771-6f27136fc352.tmp
Direct reading: F:\baidu\BaiduNetdisk\YunUtilityService.exe
4. Checking  Winsock Layered Service Provider (SPI/LSP)
LSP settings checked. No errors detected
5. Searching for keyboard/mouse/windows events hooks (Keyloggers, Trojan DLLs)
6. Searching for opened TCP/UDP ports used by malicious software
Checking - disabled by user
7. Heuristic system check
Search settings IE using Policies [x64] HKCU\Software\Microsoft\Internet Explorer\SearchScopes\{0E7B197B-A3DE-4FD4-A19A-1EECF791D16F}, SuggestionsURL_JSON="http://suggestion.baidu.com/su?wd={searchTerms}&action=opensearch&ie={inputEncoding}&from=ie8"
Search settings IE using Policies [x32] HKCU\Software\Microsoft\Internet Explorer\SearchScopes\{0E7B197B-A3DE-4FD4-A19A-1EECF791D16F}, SuggestionsURL_JSON="http://suggestion.baidu.com/su?wd={searchTerms}&action=opensearch&ie={inputEncoding}&from=ie8"
Checking - complete
8. Searching for vulnerabilities
>> Services: potentially dangerous service allowed: TermService (Remote Desktop Services)
> Services: please bear in mind that the set of services depends on the use of the PC (home PC, office PC connected to corporate network, etc)!
Checking - complete
9. Troubleshooting wizard
>>  Process termination timeout is out of admissible values
>>  Starting Windows Media Center is blocked
Checking - complete
Files scanned: 96327, extracted from archives: 14230, malicious software found 0, suspicions - 0
Scanning finished at 27.07.2023 10:46:23
-------------------------------------------------------

火绒剑还要厉害,提示不少10多个文件被挂钩子
回复

举报

峪飞鹰
发表于 2023-8-3 16:35:52 | 显示全部楼层
人间风雪客 发表于 2023-8-1 15:55
1.1 Searching for user-mode API hooks
Analysis: kernel32.dll, export table found in section .rda ...

没有更多信息的话判断不出来这些钩子有什么问题。从函数名和dll名称来看,就是系统自己挂的钩子啊。如果说钩子的存在没有意义,只有黑客会挂,那微软干嘛要开发钩子?显然钩子本身的存在是有应用定制性需求的,有些功能必须用它才能实现。既然有这个需求,微软自己不能用吗?显然是可以的啊。
回复

举报

下一页 »
12下一页
返回列表 发新帖
高级模式
B Color Image Link Quote Code Smilies
您需要登录后才可以回帖 登录 | 快速注册

本版积分规则

手机版|杀毒软件|软件论坛| 卡饭论坛

Copyright © KaFan  KaFan.cn All Rights Reserved.

Powered by Discuz! X3.4( 沪ICP备2020031077号-2 ) GMT+8, 2024-12-22 11:55 , Processed in 0.134550 second(s), 19 queries .

卡饭网所发布的一切软件、样本、工具、文章等仅限用于学习和研究,不得将上述内容用于商业或者其他非法用途,否则产生的一切后果自负,本站信息来自网络,版权争议问题与本站无关,您必须在下载后的24小时之内从您的电脑中彻底删除上述信息,如有问题请通过邮件与我们联系。

快速回复 客服 返回顶部 返回列表