LSASS驱动程序

攻击者可能修改或添加LSASS驱动程序以在受感染的系统上获得持久性。Windows安全子系统是一组管理和强制执行计算机或域安全策略的组件。本地安全机构（LSA）是负责本地安全策略和用户身份验证的主要组件。LSA包括与各种其他安全功能相关的多个动态链接库（DLL），所有这些都在LSA子系统服务（LSASS）lsass.exe进程的上下文中运行。(Citation: Microsoft Security Subsystem) 攻击者可能针对LSASS驱动程序以获得持久性。通过替换或添加非法驱动程序（例如，Hijack Execution Flow），攻击者可以使用LSA操作持续执行恶意负载。