http://www.cnblogs.com/s5689412/archive/2009/05/31/1493017.html
在Vista之前版本的Windows中,在系统启动时,会话管理器进程(Session Manager process (SMSS.EXE))会启动客户端/服务器运行时子系统(Client-Server Runtime Subsystem (CSRSS.EXE)),然后是登陆进程(WINLOGON.EXE)。Winlogon进程会接着运行本地安全判定子系统服务(Local Security Authority Subsystem Service, LSASS.EXE)和服务控制管理器(SERVICES.EXE)。用户从控制台登陆会进入会话0(Session 0),该会话由系统进程共享。这样就存在一个安全风险,如果一个写的很烂的Windows服务运行在会话0,并在交互控制台显示了一个用户界面,恶意程序可以利用发送Windows消息的方式来攻击Windows并获得系统的管理员权限。
为了解决这个潜在的问题,Vista和2008的几个系统进程经过了重新设计。SMSS.EXE还是第一个被创建的用户态进程,不同的是SMSS.EXE会运行它自己的第二个实例来配置会话0,同样还是给系统进程使用。启动会话0的SMSS.EXE实例会启动一个CSRSS.EXE实例,在CSRSS.EXE实例退出之后再启动Windows启动程序(WININIT.EXE)。WININIT.EXE继续启动SERVICES.EXE和LSASS.EXE,以及一个新的进程——本地会话管理器(Local Session Manager (LSM.EXE)),它将会管理机器上的终端服务连接。
[popexizhi:
smss.exe -> csrss.exe -> wininit.exe
]
没有评论:
发表评论