什麼是 lsass.exe,為什麼它會佔用我的 RAM?
“lsass.exe”進程對於 Windows 的正常運行至關重要,不應以任何方式修改。 但是,眾所周知,惡意軟件會感染合法文件,甚至會在其中茁壯成長或偽裝成真實文件以試圖誘騙用戶允許其執行。 本文討論“Isass.exe”進程的功能,並向您展示如何檢查它是否感染了病毒。
什麼是 lsass.exe,它有什麼作用?
“lsass.exe”是一個安全的 Windows 文件,在計算機的日常操作中起著至關重要的作用。 它用於執行安全策略並與密碼更改和登錄驗證過程相關。 “lsass.exe”將憑據存儲在內存中以啟用單點登錄,用戶不必為域內的服務重新輸入憑據。
此服務在域控制器計算機(負責管理網絡的服務器)上也處於活動狀態。 在服務器計算機上,lsass.exe 負責存儲數以千計的密碼和標識符並監控對資源的訪問。 結果,您會注意到該進程使用了更多資源 中央處理器 و內存 和域控制器計算機上的 IO。
但是,您應該不會注意到對非域控制器的計算機有同樣大的影響。 因此,如果該進程仍在您的計算機上使用大量 RAM,則說明存在問題。 最常見的情況是假設的 lsass.exe 進程不是它最初看起來的樣子,在這種情況下,您感染病毒的可能性相對較高。
惡意軟件經常將文件重命名為類似的名稱,以誘使您認為“lsass.exe”不是病毒。 幸運的是,有一些方法可以將原始 Windows 進程與副本區分開來。
1.拼寫
惡意“lsass.exe”進程可能使用大寫“i”字母(I),而原始進程使用小寫“L”字母(l)。 這些名稱可能看起來很相似,這取決於您在計算機上查看它們的方式,因此很容易將一個與另一個混淆。
您可以使用大小寫轉換工具檢查文件名是否有誤,例如 Microsoft Word 提供的工具。
- 複製 文檔名稱 , 然後將其粘貼到您的文字處理器中。
- 點擊 “改變狀態” 從頂部的菜單中選擇 “大寫”。
還有其他形式的過程 “lsass.exe” 原始的,你也應該留意它們:
- lsass。 可執行程序
- lsassa.exe
- lsass.exe
- 伊薩薩.exe
2.查看其位置
真正的“lsass.exe”文件只位於一個位置:“C:\Windows\System32”。 如果你在別處找到它,它肯定是惡意的,應該立即刪除。
如果在任務管理器中找到該進程,則可以看到該進程在何處運行:
- 打開 任務管理器 按 Ctrl + Alt + Del 然後點擊相應的按鈕。
- 之內 “流程” 向下滾動以查找 lsass進程 (本地安全機構進程),右鍵單擊它並選擇 “打開文件位置”. 這個文件夾應該打開 “C:\Windows\System32\”。
- 如果看不到,請轉到選項卡 “細節” 並蒐索 “伊薩斯.exe” 在那邊。 點擊 “打開文件位置”。
- 對任務管理器中的每個“lsass.exe”文件重複說明。 應該只列出一個過程,但如果你看到更多,除了一個之外都是假的。
3.檢查文件大小
由於病毒和其他惡意軟件經常使用程序大小的文件來分發惡意軟件,您可以通過查看文件佔用的空間量來確定“lsass.exe”是否是真正的服務。
- 去 任務管理器 並打開一個文件 “伊薩斯.exe” 在上一節中描述的位置。
- 要檢查文件大小,請右鍵單擊它並選擇 “特徵”。
- 該文件的 Windows 11 版本是 82 KB , 而 Windows 10 版本應該是 57 KB。 對於仍在使用 Windows 8 的用戶, 46 KB 只是。 如果您看到的進程要大得多,比如幾 GB 或更多,那麼它幾乎可以肯定不是真正的 Microsoft 文件。
經常問的問題
Q1:如何解決 lsass.exe 高 ram 使用問題?
回答: 如果原始文件“lsass.exe”似乎佔用了大量 RAM 資源,您應該嘗試以下操作:
- 運行防病毒掃描
- 使用命令 DISM 和 PowerShell 中的 SFC(管理員)
- Windows更新
- 執行系統還原
- 刪除“Isass.exe”病毒文件
不喜歡在您的計算機上安裝第三方防病毒軟件的想法? 用一個程序 辯護人 內置於 Windows,您不必這樣做。
Q2:如何刪除 lsass.exe 病毒?
回答: 首先,轉到任務管理器。 在“進程”選項卡中,選擇潛在惡意的“lsass.exe”文件並單擊“打開位置”。 如果該過程不可見,請轉到“詳細信息”選項卡。
接下來回到任務管理器,右擊“lsass.exe”進程,選擇“結束任務”,回到“lsass.exe”文件所在位置,將其刪除。
Q3:為什麼禁用真正的 lsass.exe 進程不是一個好主意?
回答: 啟動 lsass.exe 會通知其他服務 SAM 已準備好接收請求。 禁用此進程意味著當 SAM 準備就緒時系統服務將不會收到通知,這可能會阻止它正確啟動。