Mavi Takım Üyeleri İçin Windows Core Process

Yayınlayan
Uğur Ateş
Yayınlanma tarihi
13/5/2022
Okuma süresi
15
Dakika
go back icon
Geri Dön

Mavi Takım Üyeleri İçin Windows Core Process

Windows işletim sistemi, makinelerimizi her başlattığımızda mevcut olan birçok sistem işlemi içerir. Başlatma ve kullanıcı arayüzünün oluşturulmasından gerekli sürücülerin ve DLL'lerin yüklenmesine kadar birçok işlemden sorumludur.

Bu süreçleri öğrenmek blue team personelleri açısından çok önemlidir.

ilk öğrenmemiz gereken şey;

System Idle Process

Sistem boşta süreci (gerçek bir süreç değildir), sistemdeki BOŞLUK süresinin hesaplanmasından sorumludur.

PID: 0

Parent Process: None

Child Processes: None

User: NT AUTHORITY\\SYSTEM(S-1-5-18)

System

Sistem "işlemi", yalnızca çekirdek modunda çalışan iş parçacıklarını barındıran özel bir işlem türüdür.

PID: 4

Parent Process: None

Child Processes: None

User:NT AUTHORITY\\SYSTEM(S-1-5-18)

Image: %Systemroot%\\System32\\ntoskrnl.exe

Memory Compression

Performansı ve yanıt süresini iyileştirmek için diske göndermek yerine RAM'deki işlemlerin belleğini sıkıştırmaktan sorumlu olan minimal bir işlemdir.

PID: RandomParent

Process: System

Child Processes: NoneUser:NT AUTHORITY\\SYSTEM(S-1-5-18)

Image:None

Registry

Memory Compression’a benzer şekilde performansı artırmak ve bellek kullanımını azaltmak için kayıt defteri işlemidir. HKLM ve HKCU gibi kayıt defteri hive verilerini depolar.

PID: RandomParent

Process:None

Child Processes: NoneUser: NT AUTHORITY\\SYSTEM (S-1-5-18)

Image:NoneN° Of Instances:1

Oturum Yöneticisi Alt Sistemi (SMSS.EXE)

Oturum yöneticisi işlemi, ilk kullanıcı modu işlemidir. Sistem işlemi, ilk SMSS işlemini oluşturur ve bu işleme ana SMSS.EXE denir.

Ana SMSS süreci, kendisinin en az iki işlemini daha oluşturacaktır. Biri “wininit.exe” sürecini oluşturmaktan sorumlu olacak “Oturum 0”da (OS) ve diğeri “Oturum 1”de (Kullanıcı) oturum açan ilk kullanıcıyı temsil eden “winlogon.exe” işleminioluşturacaktır. ” Ardından her iki smss.exe işlemi bir "csrss.exe" işlemi oluşturacaktır.

Ana SMSS.EXE işlemi tarafından oluşturulan tüm alt SMSS.EXE işlemleri, işlemini bitirdikten sonra sonlandırılacaktır.

PID:RandomParent

ChildProcess: "System"

Child Processes:SMSS.EXE (Session 0), SMSS.EXE (Session 1)

User:NT AUTHORITY\\SYSTEM (S-1-5-18)

Image:%Systemroot%\\System32\\smss.exe

csrss.exe

csrss.exe (Client Server Runtime Process), thread ve processlerin oluşturulması ve silinmesinden sorumludur. Bu süreç her zaman çalışır ve sistem çalışması için kritik öneme sahiptir. Bir şekilde bu işlem sonlandırılırsa, sistem crash olur. . Her crss..exe için csrsrv.dll, basesrv.dll ve winsrv.dll yüklenir.

C:\Windows\System32 dizininden başlatılan csrss.exe, ilk user-mode process olan smss.exe tarafından başlatılmaktadır. smss.exe’nin çalışmaya başlamasıyla eş zamanlı başladığından task manager veya diğer araçlarda parent processi görünmemektedir.

Image Path:  %SystemRoot%\\System32\\csrss.exe`

Parent Process: smss.exe`tarafından oluşturulur

Number of Instances:  iki yada daha fazla`

User Account:  Local System`

Start Time: ön yükleme sırasında (for Session 0 and 1). Ek örnekler için başlangıç saatleri, yeni oturumlar oluşturuldukça gerçekleşir, ancak genellikle yalnızca Oturum 0 ve 1 oluşturulur.`

Windows Initialization Process (winit.exe)

Windows Başlatma Süreci , wininit.exe , Services.exe (Hizmet Kontrol Yöneticisi), lsass.exe (Yerel Güvenlik Yetkilisi) ve lsaiso.exe'nin Oturum 0 içinde başlatılmasından sorumludur . Bu alt süreçleriyle birlikte, arka planda çalışan başka bir kritik Windows işlemidir.

  • Varsayılan ortam değişkenlerini (USERPROFILE, ALLUSERPROFILE, PUBLIC ve ProgramData) ayarlar.
  • LSASS sürecini oluşturur ve LSA şifreleme anahtarını ayarlar.
  • SERVICES.EXE işlemini başlatarak Hizmetler Kontrol yöneticisini oluşturur.
  • Sistem kökünde (%Systemroot%\Temp) geçici dizini oluşturur.

PID:Random

Parent Process:

User: NT AUTHORITY\\SYSTEM (S-1-5-18)

Image: %Systemroot%\\System32\\wininit.exe

wininit.exe > services.exe

Sonraki süreç, services.exe olan Hizmet Kontrol Yöneticisi'dir (SCM) . Birincil sorumluluğu sistem hizmetlerini yönetmektir: hizmetleri yükleme, hizmetlerle etkileşim kurma, hizmetleri başlatma/bitirme, vb. Windows'ta yerleşik bir yardımcı program olan 'sc.exe' kullanılarak sorgulanabilen bir veritabanı tutar.

SCM veya servis kontrol yöneticisi, sistemde tanımlanan servislerin (Başlat, Durdu.) işlenmesinden sorumludur. Hizmetler, aşağıdaki kayıt defteri anahtarında tanımlanır: “HKLM/SYSTEM/CurrentControlSet/Services/” .

PID: Random

Parent Process: “wininit.exe”

Child Process: Çoklu (“HKLM/SYSTEM/CurrentControlSet/Services/” içinde tanımlanan tüm hizmetler. Örneğin: “spoolsv.exe”, “svchost.exe”, “SearchIndexer.exe” …vb.)

User: NT AUTHORITY\\SYSTEM (S-1-5-18)

Image: %Systemroot%\\System32\\services.exe

wininit.exe > services.exe > svchost.exe

Hizmet Ana Bilgisayarı ( Windows Hizmetleri için Ana Bilgisayar İşlemi) veya svchost.exe , Windows hizmetlerinin barındırılmasından ve yönetilmesinden sorumludur. Kısaca DLL hizmetlerini barındırmaktan sorumlu süreç diyebilirz.

Image Path: %SystemRoot%\\System32\\svchost.exe

Parent Process: services.exe

lsass.exe

Kimlik doğrulamanın yönetiminden sorumlu süreç. Kullanıcıların bir Windows bilgisayarında veya sunucusunda oturum açtığını doğrular, şifre değişikliklerini işler ve oluşturur. Ayrıca Windows Güvenlik Günlüğü'ne de yazar. SAM (Güvenlik Hesabı Yöneticisi), AD (Active Directory) ve NETLOGON için security token’leri oluşturur.

winlogon.exe

Kullanıcının oturum açma/kapatma işlemleri ve kullanıcı başlatma işlemleriyle ilgili her şeyi yönetir. Oturum açma başarılı olduğunda ve LSASS işlemi tarafından doğrulandığında. “HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon” konumunda bulunan “Userinit” kayıt defteri değerinde listelenen işlemleri başlatır.

PID: Random

Parent Process: Orphan process (Parent was the SMSS.EXE child process with session > 0)

Child Processes: “LogonUI.exe”, “userinit.exe”, “dwm.exe”, “fontdrvhost.exe” and anything else listed in the “Userinit” value

User: NT AUTHORITY\\SYSTEM (S-1-5-18)

Image: %SystemRoot%\\System32\\winlogon.exe

explorer.exe

Kullanıcının klasörlerine ve dosyalarına erişmesini sağlayan işlemdir. Ayrıca Başlat Menüsü, Görev Çubuğu vb. gibi diğer özelliklere işlevsellik sağlar.

Uğur Ateş

Detaylı Bilgi İçin

info@gaissecurity.com