“lsass.exe”进程对于 Windows 的正常运行至关重要,不应以任何方式修改。 但是,众所周知,恶意软件会感染合法文件,甚至会在其中茁壮成长或伪装成真实文件以试图诱骗用户允许其执行。 本文讨论“Isass.exe”进程的功能,并向您展示如何检查它是否感染了病毒。
什么是 lsass.exe,它有什么作用?
“lsass.exe”是一个安全的 Windows 文件,在计算机的日常操作中起着至关重要的作用。 它用于执行安全策略并与密码更改和登录验证过程相关。 “lsass.exe”将凭据存储在内存中以启用单点登录,用户无需为域内的服务重新输入凭据。
此服务在域控制器计算机(负责管理网络的服务器)上也处于活动状态。 在服务器计算机上,lsass.exe 负责存储数以千计的密码和标识符并监控对资源的访问。 结果,您会注意到该进程使用了更多资源 中央处理器 و内存 和域控制器计算机上的 IO。
但是,您应该不会注意到对非域控制器的计算机有同样大的影响。 因此,如果该进程仍在您的计算机上使用大量 RAM,则说明存在问题。 最常见的情况是假设的 lsass.exe 进程不是它最初看起来的样子,在这种情况下,您感染病毒的可能性相对较高。
恶意软件经常将文件重命名为类似的名称,以诱使您认为“lsass.exe”不是病毒。 幸运的是,有一些方法可以将原始 Windows 进程与副本区分开来。
1.拼写
恶意“lsass.exe”进程可能使用大写“i”字母(I),而原始进程使用小写“L”字母(l)。 这些名称可能看起来很相似,这取决于您在计算机上查看它们的方式,因此很容易将一个与另一个混淆。
您可以使用大小写转换工具检查文件名是否有误,例如 Microsoft Word 提供的工具。
- 复制 文件名 , 然后将其粘贴到您的文字处理器中。
- 点击按钮 “改变状态” 从顶部的菜单中选择 “大写”。
还有其他形式的过程 “lsass.exe” 原始的,你也应该留意它们:
- lsass。 可执行程序
- lsassa.exe
- lsass.exe
- 伊萨萨.exe
2.查看其位置
真正的“lsass.exe”文件只位于一个位置:“C:\Windows\System32”。 如果你在别处找到它,它肯定是恶意的,应该立即删除。
如果在任务管理器中找到该进程,则可以看到该进程在何处运行:
- 打开 مديرالمهام 按 Ctrl + Alt + Del 然后点击相应的按钮。
- 惆怅 “流程” 向下滚动以查找 lsass进程 (本地安全机构进程),右键单击它并选择 “打开文件位置”. 这个文件夹应该打开 “C:\Windows\System32\”。
- 如果看不到,请转到选项卡 “细节” وابحثعن “伊萨斯.exe” 在那边。 点击 “打开文件位置”。
3.检查文件大小
由于病毒和其他恶意软件经常使用程序大小的文件来分发恶意软件,因此您可以通过查看文件占用的空间量来确定“lsass.exe”是否是真正的服务。
- 去 مديرالمهام 并打开一个文件 “伊萨斯.exe” 在上一节中描述的位置。
- 要检查文件大小,请右键单击它并选择 “特征”。
- 该文件的 Windows 11 版本是 82 KB , 而 Windows 10 版本应该是 57 KB。 对于仍在使用 Windows 8 的用户, 46 KB 只是。 如果您看到的进程要大得多,比如几 GB 或更多,那么它几乎可以肯定不是真正的 Microsoft 文件。
经常问的问题
Q1:如何解决 lsass.exe 高 ram 使用问题?
الجواب: 如果原始文件“lsass.exe”似乎占用了大量 RAM 资源,您应该尝试以下操作:
- 运行防病毒扫描
- 使用命令 DISM 和 PowerShell 中的 SFC(管理员)
- Windows更新
- 执行系统还原
- 删除“Isass.exe”病毒文件
不喜欢在您的计算机上安装第三方防病毒软件的想法? 用一个程序 防守方 内置于 Windows,您不必这样做。
Q2:如何删除 lsass.exe 病毒?
الجواب: 首先,转到任务管理器。 在“进程”选项卡中,选择潜在恶意的“lsass.exe”文件并单击“打开位置”。 如果该过程不可见,请转到“详细信息”选项卡。
接下来回到任务管理器,右击“lsass.exe”进程,选择“结束任务”,回到“lsass.exe”文件所在位置,将其删除。
Q3:为什么禁用真正的 lsass.exe 进程不是一个好主意?
الجواب: 启动 lsass.exe 会通知其他服务 SAM 已准备好接收请求。 禁用此进程意味着当 SAM 准备就绪时系统服务将不会收到通知,这可能会阻止它正确启动。
