登录进程为advapi

最新推荐文章于 2024-04-03 13:35:41 发布
最新推荐文章于 2024-04-03 13:35:41 发布
阅读量7.6k 收藏 1
点赞数
CC 4.0 BY-SA版权
文章标签: 操作系统
原文链接:http://www.cnblogs.com/nixiwang/p/4691226.html
文章通过分析服务器事件查看器中记录的登录事件,发现每日3:00出现管理员administrator通过Advapi进程登录的记录。经过调查,推测这可能是由于Ntbackup计划任务服务执行时调用了API LogonUser导致的登录事件,而非实际的人工登录。最终得出结论,这些登录事件与计划任务服务有关。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

零、约定
       为方便后文叙述,不妨假设:软件学院服务器的本地管理员账户是:administrator。

一、缘起
       昨日软件学院网站无法访问,后来发现是权限问题,配置后恢复正常。然解决途中,偶尔看到事件查看器中,有本地管理员administrator登陆系统的记录;但是经过询问,发现知道管理员密码的维护人员都没有在该时间登陆服务器。故因而生疑。

二、情况描述
1)事件查看器中记录:
       来源:Security ;时间:3:00:00 ;类别:登录/注销 ;类型:审核成功 ;事件ID:528 ;用户:administrator
       描述:
       登录类型:  4 ;登录进程:  Advapi ;身份验证数据包:  Negotiate ;源网络地址: - ;源端口:- 。
2)发现:每天3:00,都有此登录消息记录。
3)从微软官方技术帮助文章得证,事件ID528是登录Windows桌面的ID记录。(详见/hope/Education/ShowArticle.asp?ArticleID=4142)
4)无法跟踪到源网络地址(IP)。
5)服务器上每天3:00会进行ntbackup计划任务,登录事件有可能与之相关。

三、查看过程
1)对比远程登录信息(测试地方:工作站),发现其他信息都一致,不同的在于:
       远程登录信息为:登录类型:10 ;登录进程:  User32 ;源网络地址: 202.116.83.214 ;源端口:4351 。
2)于是百度“登录进程:  Advapi”,未果;后来在微软官网上看到关于“登录进程:  Advapi”的解释——API call to LogonUser。
(详见/hope/Education/ShowArticle.asp?ArticleID=4142)。
3)无独有偶,后来无意间在50上看到了相同的的登录事件,而且记录是每三个小时一次,这个与50上面的桌面信息更新的任务计划时间刚好吻合;而在ss上,每天3:00则刚好是Ntbackup的任务计划的时间。
4)因此,加上微软的官方解释,推断软件学院服务器上和50上的登录(EventID为528,登录用户为管理员,登录进程为advapi)皆为由于任务计划调用了API,而“API则调用了LogonUser(管理员)(API call to LogonUser)”,从而产生了登录事件。
5)后来百度“登录类型”,得到了进一步验证:(/hope/Education/ShowArticle.asp?ArticleID=4140)
a、此次登录信息为:登录类型4:对应于批处理(Batch),即“计划任务服务”
b、远程测试登录信息为:登录类型10:远程交互(RemoteInteractive)。

四、结论
       软件学院上每天三点的本地管理员administrator登陆系统的记录,乃每天三点的NtBackup的计划任务服务执行从而调用登录的缘故。

相关文章:
Windows登录类型
/hope/Education/ShowArticle.asp?ArticleID=4140
审核用户身份验证
/hope/Education/ShowArticle.asp?ArticleID=4142

转载于:https://www.cnblogs.com/nixiwang/p/4691226.html

advapi.exe
ProcessInfo的专栏
11-20 1805
  进程知识库 advapi - advapi.exe - 进程信息进程文件: advapi 或者 advapi.exe进程名称: Advapi  描述:advapi.exe是NETDEVIL.12 (NetDevil 1.2)病毒的一部分。 出品者: 未知N/A属于: (NetDev
C#调用advapi32.dll访问需要账号密码登录的共享文件夹
一只没有感情的AI机械猿
04-19 836
int result = LogonUser(userName, "共享文件夹主机名", password, 9, 0, ref admin_token);//对共享文件夹里的文件进行读写操作,路径即为共享文件路径。string userName = "共享文件夹登录账号";string password = "共享文件夹登录密码";C#调用advapi32.dll,访问需要账号密码登录的共享文件夹里的文件。
LogonUser (advapi32)基本使用
05-16
LogonUser (advapi32)基本使用,多钟验证方式的简介
计算机中事件代表什么意思,在电脑事件中有登录过程advapi是什么意思
weixin_36417344的博客
07-26 1327
这个是网页与数据库接口没有正常连接的错误。也就是申请账号的系统出了问题。原因是多方面的,最主要的是同一时间登陆的人太多,造成系统过载。 不知道哦!我只知道我打开的时候也是这样滴`~ 服务器还没准备好~~~~~~~ 是的我的也是.听说是还没开始.等吧,! 呵, 我也是这个~~哎~刷了1个多小时了~官方给点信息吧 听到你们这么问我实在是.....太高兴拉原来全都和我一样的那哈哈没吓死我我以为就我自己呢...
Advapi 登录类型8的错误
weixin_30653023的博客
08-30 667
登录类型8:网络明文(NetworkCleartext) 这种登录表明这是一个像类型3一样的网络登录,但是这种登录的密码在网络上是通过明文传输的,WindowsServer服务是不允许通过明文验证连接到共享文件夹或打印机的,据我所知只有当从一个使用Advapi的ASP脚本登录或者一个用户使用基本验证方式登录IIS才会是这种登录类型。“登录过程”栏都将列出Advapi。 转载于:https:/...
administrator用户进程模拟当前登录用户进程执行系统API
cx1990820的专栏
08-18 1392
在项目中遇到administrator进程调用NetUserEnum()获取域用户列表失败。原因是当前进程是administrator进程而不是域用户进程。于是参考system进程模拟用户进程的方法 http://my.oschina.net/macwe/blog/348656以administrator进程模拟域用户进程获取域用户列表。 首先获取当前登录用户的令牌,采用获取explorer.
asp.net访问网络路径方法(模拟用户登录)
12-18
总结来说,ASP.NET中模拟用户登录的关键在于调用Windows API进行身份验证并获取安全令牌,然后使用这个令牌临时改变进程的身份,从而访问受保护的网络资源。通过封装这些操作在`IdentityScope`类中,我们可以方便地...
已成功登录帐户。 使用者: 安全 ID: SYSTEM 帐户名称: WIN-E6L68C9RQK0$ 帐户域: WORKGROUP 登录 ID: 0x3E7 登录信息: 登录类型: 5 受限制的管理员模式: - 虚拟帐户: 否 提升的令牌: 是 模拟级别: 模拟 新登录: 安全 ID: SYSTEM 帐户名称: SYSTEM 帐户域: NT AUTHORITY 登录 ID: 0x3E7 链接的登录 ID: 0x0 网络帐户名称: - 网络帐户域: - 登录 GUID: {00000000-0000-0000-0000-000000000000} 进程信息: 进程 ID: 0x2c8 进程名称: C:\Windows\System32\services.exe 网络信息: 工作站名称: - 源网络地址: - 源端口: - 详细的身份验证信息: 登录进程: Advapi 身份验证数据包: Negotiate 传递的服务: - 数据包名(仅限 NTLM): - 密钥长度: 0 创建登录会话时,将在被访问的计算机上生成此事件。 “使用者”字段指示本地系统上请求登录的帐户。这通常是一个服务(例如 Server 服务)或本地进程(例如 Winlogon.exe 或 Services.exe)。 “登录类型”字段指示发生的登录类型。最常见的类型是 2 (交互式)和 3 (网络)。 “新登录”字段指示新登录是为哪个帐户创建的,即已登录的帐户。 “网络”字段指示远程登录请求源自哪里。“工作站名称”并非始终可用,并且在某些情况下可能会留空。 “模拟级别”字段指示登录会话中的进程可以模拟到的程度。 “身份验证信息”字段提供有关此特定登录请求的详细信息。 - “登录 GUID”是可用于将此事件与 KDC 事件关联起来的唯一标识符。 -“传递的服务”指示哪些中间服务参与了此登录请求。 -“数据包名”指示在 NTLM 协议中使用了哪些子协议。 -“密钥长度”指示生成的会话密钥的长度。如果没有请求会话密钥,则此字段将为 0。
最新发布
07-23
- 4624: SYSTEM登录(类型5),登录进程Advapi,服务名可能记录在“服务名称”字段中(如果服务名称为未知或随机字符串,则可疑)。 紧接着在T之后,出现: - 4688: 新进程创建,命令行指向一个可疑的exe(如C...
Advapi32.lib
12-27
"Advapi32.lib"是Windows API库中的一个重要组件,主要包含了系统级的服务,如安全性、注册表操作、事件日志以及进程和线程管理等关键功能。在开发使用Visual Studio 2008或者Windows SDK时,这个库文件对于32位和64...
日志中的秘密 Windows登录类型知多少?
01-11
不错,Windows为了让你从日志中获得更多有价值的信息,它细分了很多种登录类型,以便让你区分登录者到底是从本地登录,还是从网络登录,以及其它更多的登录方式。因为了解了这些登录方式,将有助于你从事件日志中...
advapi32.lib
04-14
c++安装时刻能缺少的lib文件,缺少时刻能造成连接错误,避免了重新安装c++
日志中的Windows登录类型
weixin_34220834的博客
10-26 616
从事件日志中发现可疑的***行为,并能够判断其***方式。下面我们就来详细地看看Windows的登录类型…… 如果你留意Windows系统的安全日志,在那些事件描述中你将会发现里面的“登录类型”并非全部相同,难道除了在键盘上进行交互式登录登录类型1)之外还有其它类型吗?不错,Windows为了让你从日志中获得更多有价值的信息,它细分了很多种登录类型,以便让你区分登录者到底...
Windows7系统advapi32.dll文件丢失问题
amio555的专栏
03-04 1422
其实很多用户玩单机游戏或者安装软件的时候就出现过这种问题,如果是新手第一时间会认为是软件或游戏出错了,其实并不是这样,其主要原因就是你电脑系统的该dll文件丢失了或没有安装一些系统软件平台所需要的动态链接库,这时你可以下载这个advapi32.dll文件(挑选合适的版本文件)把它放入到程序或系统目录中,当我们执行某一个.exe程序时,相应的DLL文件就会被调用,因此将缺失的文件放回到原目录之后就能打开你的软件或游戏了.那么出现advapi32.dll丢失要怎么解决?
深入解析Advapi32.dll加载错误:已加载但找不到入口点问题及其解决方案详解
Xixix777的博客
04-03 1814
在Windows操作系统中,Advapi32.dll作为核心系统库文件,负责处理诸如注册表访问、安全管理、事件日志等一系列重要功能。然而,一些用户在运行应用程序或系统服务时,可能会遇到“Advapi32.dll已加载但找不到入口点”的错误提示,这通常意味着应用程序在尝试调用Advapi32.dll文件中的某个函数时发生了失败,从而导致程序无法正常运行。本文将深入探讨这一问题的成因,并提供一系列详尽的解决方案。
Windows应急响应(三 FTP暴力破解)
weixin_43781139的博客
11-09 1799
0x00 前言 ​ FTP是一个文件传输协议,用户通过FTP可从客户机程序向远程主机上传或下载文件,常用于网站代码维护、日常源码备份等。如果攻击者通过FTP匿名访问或者弱口令获取FTP权限,可直接上传webshell,进一步渗透提权,直至控制整个网站服务器。 0x01 应急场景 ​ 从昨天开始,网站响应速度变得缓慢,网站服务器登录上去非常卡,重启服务器就能保证一段时间的正常访问,网站响应状态时而飞快时而缓慢,多数时间是缓慢的。针对网站服务器异常,系统日志和网站日志,是我们排查处理的重点。查...
追踪***留下的踪迹
caiguazheng4921的博客
04-19 255
已近年终,城里的白领、乡下的阿姨都开始开始忙年货,在网上有那么一群人也开始忙活起来,为他们的年终奖金而“奋斗”,那就是职业“***”,他们窃取数据为自己谋一个温饱或者寻找更大的幸福,乃至奔驰、宝马。在这样的环境下,我管理的服务器收到大量的日志。注入拦截日志,批量扫描拦截日志,敏感文件拦截日志等等呈几何式增长,IIS的日志不断刷新着记录,100m,200m,1G,2G........
如何修复advapi32.dll丢失无法启动程序的问题
a555333820的博客
03-09 1643
关于advapi32.dll文件丢失时在电脑上可能遇到的错误提示,通常这类问题的表现可以归纳为几种常见的错误消息,这些消息都指向同一个核心问题:操作系统或应用程序无法找到或加载advapi32.dll文件。选择重置选项:Windows提供了两种主要的重置选项,一种是“保留我的文件”,这种情况下会删除应用程序和设置,但保留您的个人文件;扫描完成后,SFC会显示结果。如果尝试了所有常规的修复方法后,advapi32.dll丢失的问题仍然存在,并严重影响了系统的正常运行,那么可以考虑进行Windows重置。
Api基础知识
记录成长的每一步
05-10 4275
(引用)API基础知识(引用)微软公司随Windows操作系统发布的应用程序接口(application programming Interface),即通常所说的API,是Windows系统为其下运行的各类应用程序提供的重要服务功能。微软的所有Win32平台都支持统一的API调用,包括函数、结构、消息、宏及接口。通过Windows系统提供的API服务功能,应用程序可以充分挖掘Wind
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值