Windows发现可疑的svchost程序
Windows发现可疑的svchost程序
- svchost创建WmiPrvSE进程
- 根据日志逐步分析
- 解析
- 结论
- 排查:
- 文档:
svchost创建WmiPrvSE进程
已创建新进程。
原始报文:已创建新进程。 创建者主题: 安全 ID: S-1-5-18 帐户名: 10FBACK$ 帐户域: WORKGROUP 登录 ID: 0x3E7 目标主题: 安全 ID: S-1-0-0 帐户名: - 帐户域: - 登录 ID: 0x0 进程信息: 新进程 ID: 0x2764 新进程名称: C:\Windows\System32\wbem\WmiPrvSE.exe 令牌提升类型: TokenElevationTypeDefault (1) 强制性标签: S-1-16-16384 创建者进程 ID: 0x79c 创建者进程名称: C:\Windows\System32\svchost.exe 进程命令行: “令牌提升类型”表示根据用户帐户控制策略分配给新进程的令牌类型。 类型 1 是未删除特权或未禁用组的完全令牌。完全令牌仅在禁用了用户帐户控制或者用户是内置管理员帐户或服务帐户的情况下使用。 类型 2 是未删除特权或未禁用组的提升令牌。当启用了用户帐户控制并且用户选择使用“以管理员身份运行”选项启动程序时,会使用提升令牌。当应用程序配置为始终需要管理特权或始终需要最高特权并且用户是管理员组的成员时,也会使用提升令牌。 类型 3 是删除了管理特权并禁用了管理组的受限令牌。当启用了用户帐户控制,应用程序不需要管理特权并且用户未选择使用“以管理员身份运行”选项启动程序时,会使用受限令牌。
根据日志逐步分析
| 属性 | 参数 | 说明 |
|---|---|---|
| 创建者主题 | 创建进程的信息 | |
| 安全 ID | S-1-5-18 | System(或 LocalSystem)操作系统和配置为以 LocalSystem 身份登录的服务在本地使用的标识。 System 是“Administrators”组的隐藏成员。 也就是说,作为 System 运行的任何进程在其访问令牌中都有内置“管理员”组的 SID。 作为 System 本地运行的进程访问网络资源时,会使用计算机的域标识进行访问。 远程计算机上的访问令牌包括本地计算机的域帐户的 SID,以及计算机所属安全组(如域计算机和经过身份验证的用户)的 SID。 |
| 帐户名 | 10FBACK$ | 创建了一个隐藏账号,权限是system,生命周期从创建持续到关机 |
| 帐户域 | WORKGROUP | 本地域,应该是没有加入域控;也有可能域控的名字就是WORKGROUP |
| 登录 ID | 0x3E7 | 在 Windows Server(以及所有 Windows 系统)中,登录 ID:0x3E7(十六进制,十进制为 999) 是一个高度特殊且重要的标识符,它代表 NT AUTHORITY\SYSTEM 帐户的默认登录会话。 |
| 目标主题 | 被创建进程的信息 | |
| 安全 ID | S-1-0-0 | 空SID,没有成员的组。 当 SID 值未知时,通常使用此值。 没有人,没有安全主体 |
| 帐户名 | - | 未分配身份 |
| 帐户域 | - | 无域 |
| 登录 ID | 0x0 | 无身份,进程还没有初始化;或者理解为空会话 |
| 进程信息 | 新创建的进程 | |
| 新进程 ID | 0x2764 | 新进程的ID是十六进制的0x2764 |
| 新进程名称 | C:\Windows\System32\wbem\WmiPrvSE.exe | 被创建者 |
| 令牌提升类型 | TokenElevationTypeDefault (1) | 没有关联的 Token |
| 强制性标签 | S-1-16-16384 | 系统完整性级别,系统强制性级别 |
| 创建者进程 ID | 0x79c | 十六进制的进程ID |
| 创建者进程名称 | C:\Windows\System32\svchost.exe | 创建者 |
| 进程命令行 | ”“ | 可能原因: 1、进程创建方式不传递命令行参数 2、日志记录策略限制 3、安全与性能权衡,可能匹配到跟输入密码有关,被禁用了 |
解析
创建者主题: 安全 ID: S-1-5-18 → NT AUTHORITY\SYSTEM帐户名: 10FBACK$ → 计算机账户(SYSTEM 的别名)登录 ID: 0x3E7 → SYSTEM 的登录会话 (999)
目标主题: 安全 ID: S-1-0-0 → 新进程的安全占位符(尚未d)
进程信息: 新进程名称: C:\Windows\System32\wbem\WmiPrvSE.exe → WMI 服务宿主创建者进程名称: C:\Windows\System32\svchost.exe → 服务宿主(父进程)
-
创建者身份:
S-1-5-18 (NT AUTHORITY\SYSTEM)
→ 最高权限系统账户,不受 UAC 限制。 -
令牌类型结果:
Type 1 (Default)
→ 符合预期,因为:SYSTEM账户本身拥有完整权限。WmiPrvSE.exe是系统关键服务(WMI 提供程序宿主),需要完全权限访问硬件、配置等资源。
-
合法性:系统进程(如
svchost.exe,services.exe)启动的子进程通常使用此令牌,属于正常行为。 -
风险关注点:
- 若 普通用户进程 出现
Type 1令牌,可能表示 UAC 被绕过或配置错误。 - 恶意软件可能伪装系统进程(如伪造
wbem\WmiPrvSE.exe路径)获取完全权限。
- 若 普通用户进程 出现
安全标识符(SID)无效或未初始化
当日志中的账户名显示为 - 时,几乎总是伴随以下特征:
| 字段 | 典型值 | 含义 |
|---|---|---|
| 安全 ID (SID) | S-1-0-0 | NULL SID(空标识符) |
| 账户域 | - | 无有效域 |
| 登录 ID | 0x0 | 无登录会话 |
| 账户名 | - | 无有效用户身份 |
令牌提升类型:表示根据用户帐户控制策略分配给新进程的令牌类型。
- 类型 1 :是未删除特权或未禁用组的完全令牌。完全令牌仅在禁用了用户帐户控制或者用户是内置管理员帐户或服务帐户的情况下使用。
- 类型 2 :是未删除特权或未禁用组的提升令牌。当启用了用户帐户控制并且用户选择使用“以管理员身份运行”选项启动程序时,会使用提升令牌。当应用程序配置为始终需要管理特权或始终需要最高特权并且用户是管理员组的成员时,也会使用提升令牌。
- 类型 3 :是删除了管理特权并禁用了管理组的受限令牌。当启用了用户帐户控制,应用程序不需要管理特权并且用户未选择使用“以管理员身份运行”选项启动程序时,会使用受限令牌。
登录ID:是系统为每次成功的身份验证生成的唯一临时标识符(LUID)。它关联一个安全主体(用户/服务)在系统上的活动会话。在 Windows Server(以及所有 Windows 系统)中,登录 ID:0x3E7(十六进制,十进制为 999) 是一个高度特殊且重要的标识符,它代表 NT AUTHORITY\SYSTEM 帐户的默认登录会话。
0x3E7 = 999 (十进制):
- 这是
SYSTEM帐户的专属登录会话 ID。 - 它是在系统启动时由内核创建的第一个登录会话,拥有最高权限。
- 关键点:几乎所有核心操作系统进程和服务都运行在此登录会话下。
SYSTEM 帐户与登录会话 0x3E7
| 属性 | 说明 |
|---|---|
| 安全主体 | NT AUTHORITY\SYSTEM (SID: S-1-5-18) |
| 权限等级 | 最高权限,超越管理员。操作系统内核、驱动、核心服务使用此账户。 |
| 会话特性 | 非交互式会话(无桌面/GUI),专用于后台服务和系统任务。 |
| 登录类型 | 通常为 System(如事件 ID 4624 中的登录类型 5)。 |
| 生命周期 | 从系统启动时创建,持续到关机。 |
与其他登录会话的对比
| 登录 ID | 账户 | 用途 | 示例进程 |
|---|---|---|---|
| 0x3E7 | NT AUTHORITY\SYSTEM | 核心系统服务 | smss.exe, csrss.exe, 服务宿主 |
| 0x3E4 | LOCAL SERVICE | 低权限服务 | Dhcp, WlanSvc |
| 0x3E5 | NETWORK SERVICE | 网络相关服务 | DNS Client |
| 随机值 | 域/本地用户 | 用户交互或远程登录 | explorer.exe, winword.exe |
令牌类型对比
| 令牌类型 | 权限等级 | 典型场景 |
|---|---|---|
| Type 1: Default (默认) | 完全令牌 | - SYSTEM 服务进程 - 内置管理员账户(无UAC审批) - UAC 禁用时的管理员进程 |
| Type 2: Elevated (提升) | 提权令牌 | - 用户通过 UAC 弹窗授权 - “以管理员身份运行”启动的程序 |
| Type 3: Limited (受限) | 降权令牌 | - 普通用户进程 - 管理员账户未提权的标准进程(默认行为) |
命令提示备注
| 命令 | 实际搜索目标 | 适用场景 |
|---|---|---|
| `netstat -ano | findstr “:2764”` | 端口号为 2764 的网络连接 |
| `netstat -ano | findstr " 2764"` | PID 为 2764 的进程的网络连接 |
| netstat -ano | findstr " 10084" | 如果目的是监控进程 WmiPrvSE.exe(PID 10084/0x2764)的网络行为;注意空格!避免匹配到端口号 |
结论
应该正常
排查:
- 检查 WmiPrvSE.exe 的签名和路径,是否还是系统应用
- WmiPrvSE.exe是有微软的签名
- WmiPrvSE.exe是正常路径
- WmiPrvSE.exe还是系统应用
- 用户程序(如
powershell.exe)或未知进程使用此会话(可能表示提权攻击)- svchost进程运行的是SYSTEM身份,即登录ID是0x3E7(十进制999)
- 检查 WmiPrvSE.exe 的网络连接,netstat -ano | findstr “:2764”,是否外联恶意地址 (2764是新进程ID)
文档:
- 微软解释SID:安全标识符 | Microsoft Learn
- 令牌提升类型:TOKEN_ELEVATION_TYPE (winnt.h) - Win32 apps | Microsoft Learn
- 强制性标签:强制性标签
- 安全标识符表查询:在 Windows 操作系统中的公认的安全标识符_用户“s-1-5-4-CSDN博客
- Windows 用户账户控制 (UAC):用户帐户控制 | Microsoft Learn
- WmiPrvSE:WmiPrvSE.exe是什么进程?WMI Provider Host占用很高CPU怎么办? - 系统之家
- Svchost.exe:Svchost.exe进程详解及Svchost.exe病毒清除方法_svchost.exe -k rpcss-CSDN博客