Windows Sistem Processleri
Bu blog yazımda, process’in ne olduğu, siber güvenlik analistlerin Windows sisteminde çalışan processler hakkında bilmesi gereken temel bilgileri, bir process’in analiz edilirken kontrol edilmesi gereken unsurların ne olduğundan bahsedeceğim.
Bilgisayar biliminde process, belleğe yüklenmiş ve işlemcide (CPU) yürütülmekte olan bir program olarak tanımlanmaktadır, uygulamalar diskte çalışmaz halde bulundukları zaman ise program olarak tanımlanır. Bir program kendi başına pasif komut yığınıdır ve process ise bu komutların aktif olarak yürütülmesidir. Porcess (işlem) bilgisayarda çalışan programdır diyebiliriz. Procces’lerede süreç yaklaşımı da denilmektedir. Eski bilgisayar sistemlerinde sadece bir program hafızaya yüklenip işlemcide çalıştırılmasına izin vermekteydi ve bütün sistem kaynaklarının erişimi bu çalışmakta olan programın kontrolü altındaydı, günümüzde bilgisayar sistemleri ise bir çok programı aynı anda belleğe yüklemesine ve art arda işlemcide yürütülmesine olanak sağlamaktadır.
Process; Execution’daki bir programdır. Bilgisayarda çalışan bir programın kopyasıdır, işlemciye atanabilen ve işlemcide çalıştırılabilen bir varlıktır gibi tanımlar yapılabilir. Execution bir süreç olarak işleme tabi tutma anlamına gelmektedir run ifadesi çalıştırılma anlamını ifade eder iki terim birbiriyle karıştırılmamalıdır.
Microsoft Windows işletimi kendi görevlerini yapabilmesi, işletim sistemine verilen komutları yerine getirmesi, kullanıcıların yapmak istediği işlemleri yerine getirmek adına çeşitli processleri çalıştırabilir. Siber saldırganlar ele geçirmiş olduğu sistemlerde yetki yükseltmek, yakalanamamak, yayılmak adına kendi processlerini gizlemek, savunma ekibi olan blue team ekibini atlamak için kullandıkları yöntemlerden biride Windows sistem processlerini taklit etmektir. Bu saldırı taktiğini kullanan saldırganların processini tespit etmek için Windows’un kendi processlerini ve sorumluluklarının ne olduğunu bilmemiz önemlidir.
Windows, her başlatıldığında arka planda çokça process çalıştırmaya başlar. Çoğu zaman dosya isimlerine bakarak ne işe yaradığını anlayamadığımız bu işlemlerden bazıları temel Windows fonksiyonları ile ilgilenirken bazıları daha özel işlevlere sahiptir. Ne yazık ki özel işlevlere sahip bu işlemler kullanıcının işine yarasa da yaramasa da otomatik olarak Windows ile birlikte çalışmaktadır.
Windows’ta çalışan prosesleri listelemek için Microsoft’un sysinternal toolsetlerinde (https://technet.microsoft.com/en-gb/sysinternals/bb842062) bulunan Process Explorer araçlarını kullanabiliriz.
Process explorer çalıştırğı zaman
Bu blog yazımda en çok karşıma çıkan Windows sistem processleri hakkında temel bilgiler vereceğim. Herhangi bir dosyanın yasal Windows işlemesine dayanıp dayanmadığı veya virüsten etkilenip etkilenmediği hakkında muhtemelen bir fikir edinebileceğiniz tek şey, söz konusu çalıştırılabilir dosyanın yani process’in kendisidir.
Windows Sistem Processleri:
smss.exe: Windows Session Manager, prosesi işletim sistemi üzerinde yeni session’lar oluşturmaktan sorumludur. İşletim sisteminin çalıştırılmasıyla çalışır ve çekirdek tarafından başlatılan ilk kullanıcı modu prosesidir. Parent her zaman systemdir. winlogon.exe, winiit.exe, csrss.exe nin başlatılmasından sorumludur.
%SystemRoot%\System32\smss.exe
csrss.exe: Client Server Runtime Process, Windows subsytem için bir user-mode prosesidir. Prosesleri, thread’leri yönetmek, Windows API’ye ait dll dosyalarını import etmek ve işletim sistemi kapanırken GUI (Graphical User Interface) bileşenlerinin doğru bir şekilde kapatılmasından sorumludur. Her session için bir crss.exe prosesi çalışacaktır. Session 0 servisler session 1 ise yerel oturum içindir. %SystemRoot%\System32\csrss.exe
wininit.exe: Windows Start-up Application, Session 0 için services.exe, lssas.exe proseslerini başlatmaktan sorumludur.
%SystemRoot%\System32\wininit.exe
services.exe: Services and Conroller app, servislerden ve zamanlanmış görevlerden sorumlu olan UBPM (Unified Background Process Manager) modülünü uygulamaktan, SCM (Services Control Manger) modülünü yani auto start modunda konfigüre edilmiş servisleri, driver modüllerinin yüklenmesi, başlatılmasını gerçekleştirilmesinden sorumludur.
%SystemRoot%\System32\services.exe
lsass.exe: Local Security Authority Subsystem Service (LSASS), Windows işletim sistemlerinde güvenlik politikalarının uygulanmasından sorumludur. hklm\system\CurrentControlSet\Control\lsa registry değerinde bulunan doğrulama paketini çağırarak kullanıcıları doğrular. Domain hesapları için Kerberos yerel hesaplar için MSV1_0 olacaktır. Security event log dosyasına log yazmaktadır. Birden fazla lsass.exe processi varsa şüphelenmeliyiz.
%SystemRoot%\system32\lsass.exe
svchost.exe: Host process for Windows Services, Svchost.exe, servis dll dosyalarını çalıştırmak için kullanılmaktadır. Svchost/exe process’nin komut satırı parametresinde -k parametresi olmak zorundadır. Bu parametreyle farklı servisleri gruplandırabilir. Bu servis grupları genelde “DcomLaunch”, “RPCSS”, “LocalServiceNetworkRestricted”, “LocalServiceNoNetwork”, “LocalServiceAndNoImpersonation”, “netsvcs”, “NetworkService” ve başka isimler altında görülebilir. Malware geliştiricileri çoğu zaman “svchost.exe” prosesinden yararlanarak zararlı dll dosyalarını servis olarak başlatmayı ve svchost.exe isimli zararlı yazılım çalıştırmayı amaçlar.
%SystemRoot%\system32\svchost.exe
winlogon.exe: Windows Log-on Application, kullanıcı oturum açma veya kapatma (logon/logoff) işlemlerinden sorumludur. Bu proses “LogomUI.exe” prosesini ilgili kullanıcının oturum açma bilgilerini toplar ve işlenmesi için lsass.exe prosesine gönderir. Kullanıcı başarılı bir şekilde oturum açtıktan sonra “winlogon.exe” prosesi kullanıcının NTUSER.DAT dosyasını HKCU registry değerine yükler ve hklm\software\microsoft\WindowsNT\CurrentVersion\Winlogon\shell registry değerinde belirtilen prosesi “userinit.exe” prosesiyle başlatır. %SystemRoot%\system32\winlogon.exe
explorer.exe: Windows Explorer, klasör pencerelerinin bir prosesidir. explorer.exe kullanıcıların dosyalara erişim sağlamasından sorumludur. Windows Explorer aracılığıyla bir dosya, kullanıcının masaüstü bileşenleri, başlat menüsü, görev çubuğu, denetim masası ve dosya uzantısı ilişikleri aracılığıyla uygulama başlatma gibi özellikleri kullanıcıya sağlayan arabirimdir.
%SystemRoot%\explorer.exe
system.exe: sistem procesi çekirdek modunda gerçekleşecek olan threadslerden sorumludur. System altında çalışan driver dosyaları, önemli dll dosyları ve çekirdekte çalışması gereken ntoskrnl.exe’den sorumludur. PID değeri her zaman 4’tür.
lsaiso.exe: Credentinal Guard etkinleştirildiğinde lsass.exe’nin işlevselliği ikiye bölünür. İşlemin yarısı lssas.exe diğer yarısı da lsaiso.exe ye gider. İşlevlerin çoğu lsass.exe içinde kalır ancak hesap kimlik bilgilerini güvenli bir şekilde saklamanın önemli rolü lsaiso.exe’ye taşınır. Donanım sanallaştırma teknolojisi ile diğer süreçlerden izole edilmiş bir bağlamda çalışarak güvenli depolama sağlar. Uzaktan kimlik doğrulama gerektiğinde, lsass.exe kullanıcının kimliğini uzak hizmette doğrulamak için lsaiso.exe ile bir RPC kanalı kullanarak isteklerinin proxy’sini gönderir. Credentiak Gruard etkin değilse, lsaiso.exe nin sistemde çalışmamsı gerekir.
conhost.exe: Consol Windows host, sistemde çalışan ve komut satırı üzerinde işlemi görüntülemektir. Komut ekranın çalışması için Windows Explorer ile arayüz oluşturması için conhost.exe’nin çalışması gerekir. Komut ekranına sürükle bırak yeteneği sağlamaktadır. Üçüncü taraf programlar bile komut satırına erişimleri gerekiyorsa conhost.exe,’yi kullanabilirler yani arka planda komut satırı üzerinde işlem yapan uygulamaları her biri için ayrı bir conhost.exe çalışabilmektedir. %SystemRoot%\System32\conhost.exe
ie4unit.exe (ie4uinit stands for Internet Explorer (for) Each User Initialization): Internet Explorer'ın bir yazılım bileşenidir. başlatma Yardımcı Programı" olarak adlandırılan, "%userprofile%\AppData\Local" alt dizininde bulunan ve komut satırı anahtarları tarafından belirlenen gizli bir ".db" türü dosya olan Simge Önbellek Veritabanında işlemler gerçekleştirir.
mqsvc.exe: Microsoft Message Queuing (MSMQ) ileti protokolünü uygulamaktan sorumlu Microsoft Windows çekirdek dosyasıdır.
%SystemRoot%\System32\ mqsvc.exe
ntoskrnl.exe: Windows NT işletim sistemi çekirdeği, süreç yönetimi, bellek yönetimi ve donanım sanallaştırma gibi bazı önemli hizmetlerle ilgilenen sistemin temel bir parçası veya işletim sisteminin temel bir parçasıdır. Ayrıca bu çalıştırılabilir dosya bellek yöneticisi, önbellek yöneticisi, güvenlik referans monitörü, çekirdek ve ayrıca görev zamanlayıcı içerebilir. Donanım arasında köprü oluşturur.
fsavailux.exe: Disk kontrolünü sağlayan yardımcı programdır. fsavalux.exe’nin amacı disk kontrol yardımcı programı taramalarını çağırmak, başlatmak ve yönetmektir.
authochk.exe: Sabit diskte bir sorun algılanırsa bilgisayar yeniden başlatıldığı zaman “chkdsk.exe” veya “autochk.exe” programı otomatik olarak çalışır ve sabit disklerini taramaya başlar.
regsvr32.exe: Microsoft Register Server, bir Microsoft Windows komut satırı yardımcı programıdır. Windows kayıt defterinde ActiveX denetimlerini ve DLL'leri kaydetmek ve kayıtlarını kaldırmak için kullanılır. Bir DLL dosyasını kaydettiğinde, ilişkili dosyalarla ilgili bilgiler, programların bu verilere erişmesine ve onunla etkileşime girmesine yardımcı olan Windows kayıt defterine eklenir.
msiexec.exe: Windows installer komut satırında yükleme, değiştirme ve işlem gerçekleştirme olanak için araçlar sağlanır. Beraberin çalıştırılan parametrelere buradan ulaşabilirsiniz.
shell32.dll: Windows Shell Common Dll, dosyası olarak da bilinen Shell32.dll dosyası Microsoft Windows dosyasıdır. Yazılım Windows önyükleme işlemi sırasında yüklenir. Bu Windows kabuğunun birçok işlevini, masaüstünü başlat menüsünü, otomatik oynatmayı ve görev çubuğunu içeren Windows için grafik kullanıcı arabirimi (GUI) Dinamik bağlantı kitaplığıdır (dll). Shel32.dll özellikle web sayfalarını ve dosyaları açmak için gereklidir. Yönetilen .NET veya yerel kod tarafından kullanılabilen ve c:\windows\system32 içinde bulunan bir bileşen nesne modeli (COM- Component Object Model) sunucusudur. Kaldırılamaz Windows update veya trustedInstaller dışında herhangi bir şey onu siler veya değiştirişe, Windows Kaynak koruması (Windows Resource Protection- WRP) geri yükleyecektir. dll dosyaları genellikle program kodu, veri ve kayakları içerdiklerinden programlar veya web tarayıcı uzantıları tarafından gereklidir. (WRP- Windows Resource Proctestion: Windows işletim sistemleri kritik sistem dosyalarına ek olarak registry keylerini ve klasörlerini korur.) shell32.dll web sayfalarını ve dosyalarını açarken kullanılan Windows Shell API fonksiyonlarını içeren bir kütüphanedir.
narrator.exe: Windowsta ekran okumak için kullanılır. Yani ekranda bulunan metni konuşmaya dönüştürmekten sorumludur. Microsoft görme engelli kişilerin genel bilgisayar kullanımını kolaylaştırmak için kullanmıştır. Narrator.exe klavye ve fare girişlerini kaydedebilir ve uygulamaları izleyebilir.
wininit.exe: Windows başlatma, Windows işletim sistemi için bir arka olan uygulama başlatıcısıdır. WinInit Windows Initialization anlamına gelir. Bilgisayar başlatıldığı zaman programlara harekete geçirilmesinden sorumludur.
drvinst.exe: Disk sürücüsü, yazıcı, hoparlör, mouse gibi donanım aygıtı ile bilgisayar işletim sistemi veya bir uygulama arasında iletişim kurmak için aygıt sürücüsü (driver) yüklemek için sorumludur. DrvInst, Device Drver Instaler anlamına gelir.
msdt.exe: Microsoft Distributed Transaction anlamına gelir. Windows işletim sisteminde oluşan sorunları hızla teşhis etmek ve otomatik olarak çözmek için tasarlanmış sorun giderci olarak sorumludur. msdt.exe, Windows sisteminde Oluşan hatalarda bozuk veya eksik dosyalarıyla ilgili hata mesajları görüntüler.
pcwrun.exe: Program Compatibility Troubleshooter Invoke (Program sorun giderici Çağırma) Genellikle program uyumluluğu sorun giderici çağırıcının açıklanmasından sorumludur. pcwrun.exe dosyası, aynı zamanda Windows sistemlerde sorunu çözmenize olanak tanımlar.
rundll32.exe, rundll.exe: dll dosyaları doğrudan çalıştırılmadığında dolayı paylaşılan dll dosyalarında depolanan işlevleri çalıştırmak için kullanılmasından sorumludur. Rundll.exe bir dll dosyasındaki program kodunu gerçek bir programmış gibi çalıştırmak için kullanılan bir Windows dosyasıdır.
mms.exe: Managed Machines Service, Acronis True Image’in bir yazılım bileşenidir, bir disk görüntüleme ve yedekleme yardımcı programıdır. Genellikle sistem yedeklemeleri gibi veri koruma hizmetinden sorumludur. Yedekleri marka modele bakılmaksızın farklı sistemlere aktarabilir ve hatta herhangi bir zamanda herhangi bir yerden erişmek için buluta yüklenebilir.
dashost.exe: Device Association Framework Provider kablolu ve kablosuz cihazları bilgisayara bağlamak ve bilgisayarda yeni bir fare veya web kamerasını eşleştirmeniz gerekiyorsa, çalışmasını sağlamak için dashost.exe eşleştirmeyi yapmak için kullanılan bir sistem dosyasıdır. Windows işletim sistemini çalıştırmak için kullanılır. Windows Görev yöneticisi ile işletim sisteminde yüksek disk kullanımı veya sistem eksikliği gibi bir tür koşul olup olmadığını göstermeyi de sağlar.
mshta.exe: Windows işletim sisteminde HTA (HTML Uygulaması) dosyalarını çalıştırmaktan sorumludur yani Microsoft, HTML Application host dosyası olarak Microsoft tarafından internet Explorer yazılımında kullanılmaktan sorumludur.
werfault.exe: Windows problem reporting dosyalarının çalışmasından sorumludur. Windows’ta hata bildirim aracını çalıştırarak uygulama hata loglarının kaydedilmesini ve iletilmesini yöneten hata raporlama sürecidir. Hatalarla karşılaşan uygulamalar ve Microsoft işletim sistemi arasında geçiş görevi görür.
pwsh.exe: powershell.exe nin; PowerShell Core sürüm 6.0 ile başlayan yeni isimdir. Çalıştırıldığındaki parametrelere buradan ulaşabilirsiniz. Pwsh.exe Windows, macOS ve Linux üzerinde çalışan bir çapraz platform komut dosyası oluşturma aracıdır.
msiexec.exe: Windows Installer Component yani Windows yüklem bileşenine ait bir dosyadır. msiexec.exe msi ve msp paketlerini yüklemek için kullanılır, program kurulumlarında devreye girer ve programların kurulmasını sağlar. Windowsta installer kullanılmak üzere tasarlanmıştır.
bcdedit.exe: Boot Configuration Data Editor dosyası olarak bilinir, Bilgisayar üzerinde dualboot yapmak için bu dosya üzerinde değişiklik yapılır. Bcdedit.exe bir cmd komutudur. cmd yönetici olarak çalıştırılıp bcdedit yazarsak bilgisayarda yüklü olan işletim sistemleri hakkında bilgi alabiliriz. Ne zaman hangi işletim sistemi üzerindeysek timeoutlarını ID’lerini öğrenebiliriz.
dismhost.exe: Deployment Image Servicing and Management (Dağıtım görüntüsü hizmeti ve yönetimi), Windows ımage hizmet etmek ve hazırlamak için tasarlanmış bir Microsoft komut satırı aracıdır. Windows görüntülerini servis etmek ve hazırlamak için kullanılır. Kritik sistem güncellemelerini yüklerken Windows ımage dosyalarını bağlama, ayırma, sürecini yönetir.
sethc.exe: Accessibility shortcut key bileşeni sorumlu bir dosyadır. StickyKeys yapılandırma penceresini çağırmak için shift'e sırayla 5 kez basıldığında çalıştırılır. sethc.exe gibi sistem dışı işlemler, sisteminize yüklediğiniz yazılımlardan kaynaklanır.
nltest.exe: Ağ yönetim görevlerini gerçekleştirir. Windows’ta yerleşik olarak bulunan bir komut satırı aracıdır. Etki alanı denetleyicilerinin listesini almak, uzaktan kapatmayı zorlamak, güven durumunu sorgulamak, Windows etki alanında güven ilişkilerini ve etki alnı denetleyici çoğaltma durumunu test etmek için kullanılabilir. Kullanılan parametrelere buradan ulaşabilirsiniz.
userinit.exe: Oturum açma komut dosyalarının yürütülmesinden, ağ bağlantılarının yeniden kurulmasında ve ardından explorer.exe’nin başlatılmasından sorumludur. Winlogon.exe nin güvenli bir şekilde yüklenmesini sağlan önemli bir bileşendir.
runonce.exe: Microsoft runonce wrapper yardımcı programı, bir bilgisayar açıldığında veya yeniden başlatıldığın başlangıçta driverlerı (sürücüleri) ve hizmetleri (servisleri) yüklemekten sorumludur.
cscript.exe: Console Based Scrpit host, komut satırı komut dosyalarını yürüten bir dosyadır. Windows konsolu tabanlı komut dosyası ana bilgisayarı, komut dosyası özelliklerini ayarlamak için komut satırı seçeneklerini sunar. Cscript.exe ile, komut dosyaları otomatik olarak veya yalnızca komut isteminin içine komut dosyasının adını yazarak çalıştırılabilir.
netsh.exe: Netwrok Command Shell, komut satırı programıdır. Çalışmakta olan bir bilgisayarın ağ yapılandırmasının görüntülenmesi, değiştirilmesine izin veren bir komut satırında çalışan dosyadır. netxh.exe nin parametrelerine buradan ulaşabilirsiniz.
tiworker.exe: Windows işletim sistemi dosyalarında güncelleme olduğunda Windows, dosyaları tek tek güncellemek yerine tüm bileşeni kolayca güncellenmesinden sorumludur. Windows Modules Installer Worker (WMIW) olarakta adlandırılabilir. ayrıca Windows Update paketlerini C:\Windows\WinSxs konumanda uygulamaktan sorumludur.
findstr.exe: Bir Windows komut satırı programıdır, bir metin (string) dizesini aramayı sağlar birden fazla parametresi vardır bu parametrelere buradan ulaşabilirsiniz.
cvtres.exe: Microsoft Kaynak Dosyasını COFF Nesne Dönüştürme yardımcı programına çalıştırılmasından sorumludur. Programın görünür bir penceresi yoktur arka planda çalışır Microsoft Visual Studio uygulamasının ihtiyaç duyduğu bir dosyadır.
spoolsv.exe: Microsoft Printer Spooler SubSystem App dosyası olarak kullanılmaktadır. Windows'taki yazdırma ve faks işlerini yönetmekten sorumludur. Yazıcı çevrimdışıysa veya meşgulse, yazdırma biriktirici hizmeti yazdırma işini sürdürür ve yazıcıyı kapatmadan önce kullanılabilir duruma gelmesini bekler ve yazıcıların yazı tiplerini anlayamadığı veya grafikleri çözemediği için yazdırma işlerini sistem belleğine alan bir işlem olarakta kullanılmaktadır.
ctfmon.exe: Computer Tech Tips Monitor, farklı kullanıcı giriş türü metin giriş işlemcisini (TIP) ve Office dil çubuğunu kontrol edilmesinden sorumludur. Bilgisayarın ses tanıma, el yazısı tanıma veya farklı dillerde ekran klavyesi kullanım özellikleri ctfmon yardımcı olmaktadır.
msbuild.exe: Mirosoft Build Engine genellikle.NET platformunda yer alan programlama dillerinin derlenmesi sırasında kullanılan ve kodların uygun bir şekilde derlenmesini sağlayan MSBuild otomasyon motorunun çalışmasından sorumludur. (MSBuild, Microsoft ve Visual Studio için bir yapı platformudur.)
sc.exe: Service Control Manager Windows’un başlatılmasını, durdurulmasını ve diğer işlemlerle etkileşime geçmesini sağlamaktan sorumlu bir sistem dosyasıdır Windows’ta servis oluşturmak ve sistem başlangıcında başlatılır, başlangıçta başlatılması programlanan tüm programları başlatır ayrıca bir ağ sürücüsü (driver) bağlantı mektubu oluşturulduğunda veya silindiğinde Windows explorer gibi GUI uygulamalarını bildirme gibi sorumlulukları vardır. sc.exe ilgili parametrelere buradan ulaşabilirsiniz
logman.exe: Log utility, olay izleme ve performans logların oluşturulmasından, yönetilmesinden sorumludur. Dosya başlangıçta ya da merkezi iş istasyonu aracılığıyla uzak bilgisayarlarda günlük dosyası veri kolek logman.exe ile ilgili parametrelere buradan ulaşabilirsiniz.
csc.exe: Command Line Compiler, Microsoft .NET projelerinin geliştirilmesi için oluşturulmuştur. csc.exe ile en basit derleme işlemi bir girdi dosya ve çıktı dosya belirtmeden sorumludur.
w3wp.exe: Internet Information Services (IIS)’in bir yazılım bileşenidir. IIS web sunucu içinde çalışır yani IIS Worker Processi olarak bilinir. w3wp.exe nin görünür bir penceresi yoktur. Web sunucusuna gelen requestleri yönetmekten sorumludur. [IIS, web sitelerini barındırmak ve http, https, ftp ve diğer protokoller aracılığıyla gelen istekleri yönetmek için kullanılan web sunucusudur.]
runas.exe: Run As Utility, bir kullanıcının mevcut oturum açma işleminin sağladığı izinlerden farklı izinlerle belirli araçları ve programları çalıştırmasına izin vermesinden sorumludur. Runas.exe parametrelerine buradan ulaşabilirsiniz.
consent.exe: Windows için bir yetkilendirme katmanı olan Kullanıcı hesabı denetimi (User Account Control - UAC) için kullanıcı arabirimini başlatan bir dosyadır yani bir uygulamaya eriştiğimizde çalıştırmak istediğimiz eğer bu uygulama yönetici yetkileri istiyorsa consent.exe devreye girer ve uygulamanın çalıştırılması içi yönetim gerektiğini söylemekten sorumludur.
wsmprovhost.exe: Host Process for WinEM plug-ins, WinRM eklentileri için ana bilgisayar sürecinden sorumludur. WinRM (Windows Remote Management) ile komut dosyalarını uzaktan çalıştırmasını sağlayan bir yardımcı programdır, WinRM farklı satıcılardan farklı donanım ve işletim sistemlerinin uzaktan birlikte çalışmasını sağlar. WinRM powershell ile çalışmaktadır PowerShell ana bilgisayarı wsmprovhost.exe Windows uzaktan yönetim (executed remotley) yani WinRM kullanarak powershell aracılığıyla uzaktan yürütülen bir Proxy sunar.
rdpshell.exe: Remotoe App çalışmasından sorumludur. RemoteApp Uzak masaüstü hizmetleri aracılığıyla uzaktan erişilen programların son kullanıcının yerel bilgisayarında çalışıyor gibi görünmesini sağlar.
Şüpheli prosesleri nasıl anlayabiliriz?
- Process bulunması gereken bir konum dışında çalışıyorsa,
- Process dosya boyutu olması gerekenden büyük ya da küçükse,
- Process normalde çalıştığından farklı bir parametre ile çalışıyorsa,
- Process imzalı değilse fakat her process imzalı olmayabilir bundan dolayı dosyanın kaynağı hakkında bilgilere bakınca farklı bir bilgi elde ediliyorsa veya process yazarı bilinmiyorsa,
- Process’in registry keylerine yazmış olduğu ilgisiz string değeri varsa,
- Process’in hash değeri CTI kaynaklarında yüksek riskli görünüyorsa
- Çalışan Process’in parent veya child processleri anlamsız ve yukarda bahsedilen maddelerin herhangi birini içinde kapsıyorsa,
- Çalışan process’in güvenlik derecesi yüksek olarak değerlendirebiliriz ve ilgili processten şüphelenmeliyiz.
Kaynak:
https://sansorg.egnyte.com/dl/ZkAyckjFTI
https://docs.microsoft.com/en-us/windows/deployment/windows-10-deployment-posters
https://docs.microsoft.com/en-us/windows-server/administration/windows-commands/windows-commands
Windows Forensics
Digital forensics Engineer
DFIR
