Mavi Takım Üyeleri İçin Windows Core Process

Yayınlayan
Uğur Ateş
Yayınlanma tarihi
13-05-2022
Okuma süresi
15 DK

Mavi Takım Üyeleri İçin Windows Core Process

Windows işletim sistemi, makinelerimizi her başlattığımızda mevcut olan birçok sistem işlemi içerir. Başlatma ve kullanıcı arayüzünün oluşturulmasından gerekli sürücülerin ve DLL'lerin yüklenmesine kadar birçok işlemden sorumludur.

Bu süreçleri öğrenmek blue team personelleri açısından çok önemlidir.

ilk öğrenmemiz gereken şey;

 

System Idle Process

Sistem boşta süreci (gerçek bir süreç değildir), sistemdeki BOŞLUK süresinin hesaplanmasından sorumludur.

PID: 0

Parent Process: None

Child Processes: None

User: NT AUTHORITY\\SYSTEM(S-1-5-18)

 

System

Sistem "işlemi", yalnızca çekirdek modunda çalışan iş parçacıklarını barındıran özel bir işlem türüdür.

PID: 4

Parent Process: None

Child Processes: None

User:NT AUTHORITY\\SYSTEM(S-1-5-18)

Image: %Systemroot%\\System32\\ntoskrnl.exe

 

Memory Compression

Performansı ve yanıt süresini iyileştirmek için diske göndermek yerine RAM'deki işlemlerin belleğini sıkıştırmaktan sorumlu olan minimal bir işlemdir.

PID: RandomParent

Process: System

Child Processes: NoneUser:NT AUTHORITY\\SYSTEM(S-1-5-18)

Image:None

 

Registry

Memory Compression’a benzer şekilde performansı artırmak ve bellek kullanımını azaltmak için kayıt defteri işlemidir. HKLM ve HKCU gibi kayıt defteri hive verilerini depolar.

PID: RandomParent

Process:None

Child Processes: NoneUser: NT AUTHORITY\\SYSTEM (S-1-5-18)

Image:NoneN° Of Instances:1

 

Oturum Yöneticisi Alt Sistemi (SMSS.EXE)

Oturum yöneticisi işlemi, ilk kullanıcı modu işlemidir. Sistem işlemi, ilk SMSS işlemini oluşturur ve bu işleme ana SMSS.EXE denir.

Ana SMSS süreci, kendisinin en az iki işlemini daha oluşturacaktır. Biri “wininit.exe” sürecini oluşturmaktan sorumlu olacak “Oturum 0”da (OS) ve diğeri “Oturum 1”de (Kullanıcı) oturum açan ilk kullanıcıyı temsil eden “winlogon.exe” işleminioluşturacaktır. ” Ardından her iki smss.exe işlemi bir "csrss.exe" işlemi oluşturacaktır.

Ana SMSS.EXE işlemi tarafından oluşturulan tüm alt SMSS.EXE işlemleri, işlemini bitirdikten sonra sonlandırılacaktır.

PID:RandomParent 

ChildProcess: "System"

Child Processes:SMSS.EXE (Session 0), SMSS.EXE (Session 1)

User:NT AUTHORITY\\SYSTEM (S-1-5-18)

Image:%Systemroot%\\System32\\smss.exe

 

csrss.exe

csrss.exe (Client Server Runtime Process), thread ve processlerin oluşturulması ve silinmesinden sorumludur. Bu süreç her zaman çalışır ve sistem çalışması için kritik öneme sahiptir. Bir şekilde bu işlem sonlandırılırsa, sistem crash olur. . Her crss..exe için csrsrv.dll, basesrv.dll ve winsrv.dll yüklenir.

C:\Windows\System32 dizininden başlatılan csrss.exe, ilk user-mode process olan smss.exe tarafından başlatılmaktadır. smss.exe’nin çalışmaya başlamasıyla eş zamanlı başladığından task manager veya diğer araçlarda parent processi görünmemektedir.

Image Path:  %SystemRoot%\\System32\\csrss.exe`

Parent Process: smss.exe`tarafından oluşturulur

Number of Instances:  iki yada daha fazla`

User Account:  Local System`

Start Time: ön yükleme sırasında (for Session 0 and 1). Ek örnekler için başlangıç saatleri, yeni oturumlar oluşturuldukça gerçekleşir, ancak genellikle yalnızca Oturum 0 ve 1 oluşturulur.`

 

Windows Initialization Process (winit.exe)

Windows Başlatma Süreci , wininit.exe , Services.exe (Hizmet Kontrol Yöneticisi), lsass.exe (Yerel Güvenlik Yetkilisi) ve lsaiso.exe'nin Oturum 0 içinde başlatılmasından sorumludur . Bu alt süreçleriyle birlikte, arka planda çalışan başka bir kritik Windows işlemidir.

  • Varsayılan ortam değişkenlerini (USERPROFILE, ALLUSERPROFILE, PUBLIC ve ProgramData) ayarlar.
  • LSASS sürecini oluşturur ve LSA şifreleme anahtarını ayarlar.
  • SERVICES.EXE işlemini başlatarak Hizmetler Kontrol yöneticisini oluşturur.
  • Sistem kökünde (%Systemroot%\Temp) geçici dizini oluşturur.

PID:Random

Parent Process:

User: NT AUTHORITY\\SYSTEM (S-1-5-18)

Image: %Systemroot%\\System32\\wininit.exe

wininit.exe > services.exe

Sonraki süreç, services.exe olan Hizmet Kontrol Yöneticisi'dir (SCM) . Birincil sorumluluğu sistem hizmetlerini yönetmektir: hizmetleri yükleme, hizmetlerle etkileşim kurma, hizmetleri başlatma/bitirme, vb. Windows'ta yerleşik bir yardımcı program olan 'sc.exe' kullanılarak sorgulanabilen bir veritabanı tutar.

SCM veya servis kontrol yöneticisi, sistemde tanımlanan servislerin (Başlat, Durdu.) işlenmesinden sorumludur. Hizmetler, aşağıdaki kayıt defteri anahtarında tanımlanır: “HKLM/SYSTEM/CurrentControlSet/Services/” .

PID: Random

Parent Process: “wininit.exe”

Child Process: Çoklu (“HKLM/SYSTEM/CurrentControlSet/Services/” içinde tanımlanan tüm hizmetler. Örneğin: “spoolsv.exe”, “svchost.exe”, “SearchIndexer.exe” …vb.)

User: NT AUTHORITY\\SYSTEM (S-1-5-18)

Image: %Systemroot%\\System32\\services.exe

wininit.exe > services.exe > svchost.exe

Hizmet Ana Bilgisayarı ( Windows Hizmetleri için Ana Bilgisayar İşlemi) veya svchost.exe , Windows hizmetlerinin barındırılmasından ve yönetilmesinden sorumludur. Kısaca DLL hizmetlerini barındırmaktan sorumlu süreç diyebilirz.

Image Path: %SystemRoot%\\System32\\svchost.exe

Parent Process: services.exe

 

lsass.exe

Kimlik doğrulamanın yönetiminden sorumlu süreç. Kullanıcıların bir Windows bilgisayarında veya sunucusunda oturum açtığını doğrular, şifre değişikliklerini işler ve oluşturur. Ayrıca Windows Güvenlik Günlüğü'ne de yazar. SAM (Güvenlik Hesabı Yöneticisi), AD (Active Directory) ve NETLOGON için security token’leri oluşturur.

 

winlogon.exe

Kullanıcının oturum açma/kapatma işlemleri ve kullanıcı başlatma işlemleriyle ilgili her şeyi yönetir. Oturum açma başarılı olduğunda ve LSASS işlemi tarafından doğrulandığında. “HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon” konumunda bulunan “Userinit” kayıt defteri değerinde listelenen işlemleri başlatır.

PID: Random

Parent Process: Orphan process (Parent was the SMSS.EXE child process with session > 0)

Child Processes: “LogonUI.exe”, “userinit.exe”, “dwm.exe”, “fontdrvhost.exe” and anything else listed in the “Userinit” value

User: NT AUTHORITY\\SYSTEM (S-1-5-18)

Image: %SystemRoot%\\System32\\winlogon.exe

 

explorer.exe

Kullanıcının klasörlerine ve dosyalarına erişmesini sağlayan işlemdir. Ayrıca Başlat Menüsü, Görev Çubuğu vb. gibi diğer özelliklere işlevsellik sağlar.

 

Diğer Blog Yazıları_

Sosyal Medya Kullanımının Riskleri
Sosyal Medya Kullanımının Riskleri
Infraskope Server ve Özellikleri
Infraskope Server ve Özellikleri
Kritik Sunucular Üzerindeki Aktivitelerin Loglanması
Kritik Sunucular Üzerindeki Aktivitelerin Loglanması
Kurumlarda Ağ Güvenlik Stratejileri
Kurumlarda Ağ Güvenlik Stratejileri
WPA-WPA2 Güvenlik Standartlarına Yönelik Saldırı: KRACK (KEY-REINSTALLATION-ATTACK)
WPA-WPA2 Güvenlik Standartlarına Yönelik Saldırı: KRACK (KEY-REINSTALLATION-ATTACK)
Log Yönetiminde Ajanlı/Ajansız Çözümler
Log Yönetiminde Ajanlı/Ajansız Çözümler
Herkesin aklındaki soru: Yapay Zeka Nedir?
Herkesin aklındaki soru: Yapay Zeka Nedir?
Discovery of DLL Hijack on Trend Micro AntiVirus+ | CVE-2018-18333
Discovery of DLL Hijack on Trend Micro AntiVirus+ | CVE-2018-18333
Web Cache Poisoning
Web Cache Poisoning
XML EXTERNAL ENTITY INJECTION AND OOB (OUT-OF-BAND) DATA RETRIEVAL
XML EXTERNAL ENTITY INJECTION AND OOB (OUT-OF-BAND) DATA RETRIEVAL
ARP Poisoning
ARP Poisoning
Cross-Site Request Forgery (CSRF) Zafiyeti
Cross-Site Request Forgery (CSRF) Zafiyeti
SSRF (Server Side Request Forgery)
SSRF (Server Side Request Forgery)
BlueBorne
BlueBorne
Server Side Template Injection Nedir?
Server Side Template Injection Nedir?
Linux Restricted Shell Atlatma Teknikleri
Linux Restricted Shell Atlatma Teknikleri
Discovery of Sandbox Escape on Comodo Container(Antivirus&Firewall)
Discovery of Sandbox Escape on Comodo Container(Antivirus&Firewall)
SDR-Sharp Kullanımı
SDR-Sharp Kullanımı
Log Yönetimi | Log Management | Veritabanı Log | Siem
Log Yönetimi | Log Management | Veritabanı Log | Siem
Cyber Kill Chain, Bir Siber Saldırının Yaşam Döngüsü
Cyber Kill Chain, Bir Siber Saldırının Yaşam Döngüsü
Phishing Nedir?
Phishing Nedir?
“GOLD” Affix Phishing Attack
“GOLD” Affix Phishing Attack
Sızma Testi ve Ödül Avcılığı Hizmetleri
Sızma Testi ve Ödül Avcılığı Hizmetleri
Güvenilir Olarak CAPTCHA Yapılandırılması
Güvenilir Olarak CAPTCHA Yapılandırılması
Basit Kriptolojiden Günümüze Evrilişi
Basit Kriptolojiden Günümüze Evrilişi
Dosya Sistem Analizinin Önemi
Dosya Sistem Analizinin Önemi
HTTP Request Smuggling (HTTP İstek Kaçakcılığı) Nedir?
HTTP Request Smuggling (HTTP İstek Kaçakcılığı) Nedir?
KVKK Kapsamında Veri Keşfi Maskeleme ve Şifreleme
KVKK Kapsamında Veri Keşfi Maskeleme ve Şifreleme
Sosyal Medya Kullanımının Riskleri
Sosyal Medya Kullanımının Riskleri
Sızma (Penetrasyon) Testi Nedir?
Sızma (Penetrasyon) Testi Nedir?
Start Up Kültürü
Start Up Kültürü
Sigma Kuralları ile SIEM Ürünlerinde Tehdit Avı
Sigma Kuralları ile SIEM Ürünlerinde Tehdit Avı
Kritik Altyapılar ve SCADA Güvenliği
Kritik Altyapılar ve SCADA Güvenliği
Zararlı Yazılım Analiz Teknikleri
Zararlı Yazılım Analiz Teknikleri
Uzaktan Çalışma Modellerinde Siber Güvenlik Riskleri
Uzaktan Çalışma Modellerinde Siber Güvenlik Riskleri
Pandemi Sürecinde Siber Güvenlik Riskleri
Pandemi Sürecinde Siber Güvenlik Riskleri
SOC Nedir ve SOC Merkezleri Nasıl Çalışır?
SOC Nedir ve SOC Merkezleri Nasıl Çalışır?
PHISHING Hakkında Her şey
PHISHING Hakkında Her şey
Sosyal Mühendislik Nedir?
Sosyal Mühendislik Nedir?
Siber Hijyen
Siber Hijyen
Adli Bilişim (Digital Forensic) Nedir?
Adli Bilişim (Digital Forensic) Nedir?
DHCP Spoofing Saldırısı Nedir, Nasıl Yapılır?
DHCP Spoofing Saldırısı Nedir, Nasıl Yapılır?
FAIL2BAN İLE SSH BRUTE FORCE SALDIRILARINI ÖNLEME
FAIL2BAN İLE SSH BRUTE FORCE SALDIRILARINI ÖNLEME
BULK EXTRACTOR ARACIYLA DİSK İNCELEME
BULK EXTRACTOR ARACIYLA DİSK İNCELEME
SolarWinds Vaka Analizi
SolarWinds Vaka Analizi
Frida ile SSL Pinning Bypass
Frida ile SSL Pinning Bypass
COOKİE Nedir? Nasıl Çalışır?
COOKİE Nedir? Nasıl Çalışır?
Bilgi Güvenliği Test ve Değerlendirmeleri Teknik Kılavuzu
Bilgi Güvenliği Test ve Değerlendirmeleri Teknik Kılavuzu
Dridex Bankacılık Trojanı Teknik Analiz Raporu (TR)
Dridex Bankacılık Trojanı Teknik Analiz Raporu (TR)
Adwind Rat Technical Analysis Report (ENG)
Adwind Rat Technical Analysis Report (ENG)
SOC Nedir, Firmalar İçin Neden Önemlidir?
SOC Nedir, Firmalar İçin Neden Önemlidir?
Blockchain Nedir?
Blockchain Nedir?
İşlemcilerin Koruma Mekanizması ve Koruma Mekanizmasının Atlatılması
İşlemcilerin Koruma Mekanizması ve Koruma Mekanizmasının Atlatılması
Active Directory Güvenlik İpuçları
Active Directory Güvenlik İpuçları
Nisan 2022 Siber Güvenlik Bülteni
Nisan 2022 Siber Güvenlik Bülteni
Mavi Takım Üyeleri İçin Windows Core Process
Mavi Takım Üyeleri İçin Windows Core Process
Kişiler İçin Bilgi Güvenliği Rehberi
Kişiler İçin Bilgi Güvenliği Rehberi
DDoS Nedir?
DDoS Nedir?
C Dilinde Dosya Yönlendirmeleri (IO Redirection)
C Dilinde Dosya Yönlendirmeleri (IO Redirection)
Microsoft Teams — Cross Site Scripting (XSS) Bypass CSP Report
Microsoft Teams — Cross Site Scripting (XSS) Bypass CSP Report
Siber İstihbarat ve Siber Tehdit İstihbaratı
Siber İstihbarat ve Siber Tehdit İstihbaratı
JWT Saldırıları
JWT Saldırıları
CVE-2022–36446 — Webmin 1.996 — Remote Code Execution (RCE — Authenticated) During Install New Packages
CVE-2022–36446 — Webmin 1.996 — Remote Code Execution (RCE — Authenticated) During Install New Packages