Windows 服務（Windows Services）

「Windows 服務」是指那些長時間運行的程式，主要在背景執行，不需要用戶手動啟動。這些服務可以在系統啟動時自動開啟，並且在用戶登出後繼續執行。

舉個例子，一些像是網路監控或 Windows 更新的功能就是透過服務來運行的。

管理服務的方式

SCM - Service Control Manager

讀者可以透過服務控制管理器（SCM）來管理這些服務，打開方式就是輸入 services.msc，這會彈出一個圖形化介面，讓你看到每個服務的名稱、描述、狀態、以及它的啟動方式（自動、手動等）。

讀者可以參考：
https://learn.microsoft.com/zh-tw/windows/win32/services/service-control-manager

PowerShell

另外，讀者也可以用指令或 PowerShell 來管理服務，例如用 Get-Service 查看所有服務，或者用 sc.exe 來控制它們。

在 PowerShell 中，讀者可以輸入以下指令來查看運行中的服務：

Get-Service | ? {$_.Status -eq "Running"} | select -First 2 |fl

參數說明：

• Get-Service
  這個指令是要拿到電腦裡所有的服務清單。每個服務都是在背景執行一些特定的工作，比方說處理網路、控制 Windows 更新等。

• ? {$.Status -eq "Running"}
  這一段是篩選出正在運行的服務。
  $ 代表每一個服務（可以理解成「目前的服務」）。
  Status -eq "Running" 是篩選條件，意思是：只要「目前的服務」是正在運行中的，就選出來。

• select -First 2
  這個指令是說只顯示前面兩個服務。因為可能會有很多服務正在運行，所以只挑前面兩個出來看。

• fl（Format-List）
  這個是讓結果顯示得更詳細、更好看，以清單的形式把每個服務的細節列出來，比如服務的名字、是否能關掉等等。

進程（Processes）

進程是指那些「正在運行的程式或應用」。它們可以是 Windows 系統自己啟動的，也可以是你安裝的應用程式啟動的。

有些進程是可以隨時結束（例如：開啟的應用程式），但有些重要的進程如果被強制結束，系統可能會運作不正常，比如管理登錄的進程。

進程像是：Windows 登錄程序、本地安全認證子系統（LSASS）這些都非常重要，負責像是使用者登入和系統安全等功能。

接下來，我們就來簡介一下 LSASS ～

LSASS（Local Security Authority Subsystem Service）

LSASS 是一個關鍵進程，負責檢查用戶是否有權登入系統，並且處理用戶的權限設定。

這個進程還會管理一些像是密碼修改的動作，並且記錄下登錄和登出的事件，這些都記錄在 Windows 安全日誌中。

除此之外，當用戶嘗試登錄系統時，該進程會驗證其登錄並根據用戶的權限級別創建訪問令牌。

這個進程是駭客很想攻擊的目標，因為它處理和存儲了很多敏感的用戶憑據。

Sysinternals 工具

Sysinternals 工具 是一套由 Microsoft 提供的工具，可以用來管理 Windows 系統，這些工具大多不需要安裝。

這些工具包含像 Process Explorer 和 Process Monitor，可以用來查看系統中運行的進程、監控文件系統、網路活動等，對於系統管理員和滲透測試者來說非常有用。

備註：

不過，對於詳細的 Sysinternals 工具要如何使用，筆者還沒有深入研究ＸＤ
是一個之後要補的坑ＸＤ

任務管理器（Task Manager）

Windows 任務管理器 是管理系統運行狀況的工具，你可以用它來查看目前哪些程式在運行、系統資源的使用情況、正在運行的服務、啟動時自動執行的應用程式等。

你可以通過多種方式打開任務管理器，像是按 Ctrl + Shift + Esc，或者在任務欄上右鍵選擇「任務管理器」。

今日心得

雖然說，目前看到的東西都非常淺，不過，我想這就是邁向深入學習的第一步吧～

希望之後有機會可以跟其他強者學習，順便用個補洞書單～

然後實作，不要只是紙上談兵 ><

參考資源

https://academy.hackthebox.com/module/49/section/457