فرآیندها (پروسسهای) اصلی ویندوز چه هستند؟
فرآیندهای اصلی ویندوز، بلوکهای ساختمانی ضروری هستند که سیستم را به خوبی اجرا میکنند. درک این فرآیندها میتواند برای عیب یابی مشکلات، شناسایی بدافزارهای بالقوه و به دست آوردن درک عمیق تر از نحوه عملکرد ویندوز مفید باشد.
- System (System Process)
فرآیند سیستم که به نام System Idle Process نیز شناخته میشود، یک جزء اساسی از سیستم عامل ویندوز است که مسئول مدیریت عملیاتها و منابع مختلف در سطح سیستم است و اجرای روان وظایف حیاتی را تضمین میکند. دارای شناسه فرآیند (PID) منحصر به فرد 4 است و یکی از اولین فرآیندهایی است که هنگام بوت شدن رایانه شروع میشود. فرآیند سیستم منابع سخت افزاری مانند حافظه، عملیات دیسک، و عملیات ورودی/خروجی (I/O) را مدیریت میکند، وقفههای سیستم تولید شده توسط دستگاههای سخت افزاری را مدیریت میکند و بر مدیریت حافظه، از جمله استفاده از حافظه مجازی نظارت میکند. فرآیند سیستم همیشه در پسزمینه اجرا میشود تا عملکرد اصلی سیستمعامل را حفظ کند، و تضمین کند که سرویسها و فرآیندهای مهم سیستم بهطور روان و کارآمد اجرا میشوند
- Session Manager Subsystem (SMSS.EXE)
SMSS.EXE یکی از اولین فرآیندهایی که هنگام بوت شدن ویندوز شروع میشود و مسئول مقداردهی اولیه میباشد.
این فرآیند که به عنوان Windows Session Manager نیز شناخته میشود، وظیفه ایجاد Sessionهای جدید را بر عهده دارد.
در طول فرآیند راه اندازی اجرا میشود و مسئول چندین عملکرد کلیدی است:
- Session Initialization
`exe` اولین فرآیند user-mode است که توسط kernel آغاز شده است. - Subsystem Launch
حالتهای کرنل و کاربر Win32 subsystem را شروع میکند که شامل «sys» (حالت کرنل)، «winsrv.dll» (حالت کاربر) و «csrss.exe» (حالت کاربر) است. - Boot Commands Execution
دستورات فهرست شده در کلید رجیستری «HKLM\SYSTEM\CurrentControlSet\Control\Session Manager\BootExecute»
مانند «autochk» و «convert» را قبل از بارگیری سرویسها اجرا میکند.
- Winlogon Start
هنگامیکه session پیکربندی شد، فرآیند Winlogon را شروع میکند.
پس از فرآیند بوت، “smss.exe” در حافظه باقی میماند و سیستم را تا زمان خاموش شدن زیر نظر دارد.
- Client-Server Runtime Process (CSRSS.EXE)
این فرآیند عملکردهای اصلی حالت کاربر مانند دسکتاپ، مدیریت پنجره، و فراخوانیهای Win32 API را که توسط سایر برنامهها استفاده میشود، انجام میدهد.
علاوه بر این تغییرات، «csrss.exe» برای عملکردهای خاصی مانند ویندوز کنسول و فرآیند خاموش کردن حیاتی است. این یک فرآیند سیستم محافظت شده است که نمی توانید آن را از طریق Task Manager غیرفعال یا خاتمه دهید. اگر بخواهید آن را خاتمه دهید، پیام
“Access is Denied” دریافت خواهید کرد زیرا برای پایداری سیستم ضروری است.
- Wininit.exe (Windows Initialization Process)
- Wininit.exe یک فرآیند سیستمی قانونی و ضروری در سیستم عامل مایکروسافت ویندوز است که مسئول تنظیم اولیه مؤلفهها و سرویسهای حیاتی سیستم در طول فرآیند راهاندازی ویندوز است.
- به طور خاص، wininit.exe وظایف زیر را انجام میدهد:
- فرآیند (smss.exe) را شروع میکند که جلسه سیستم را راه اندازی میکند و اجزای سیستم و درایورها را بارگیری میکند.
- فرآیند ورود به سیستم ویندوز (winlogon.exe) را شروع میکند، که از کاربر میخواهد اعتبار ورود به سیستم را دریافت کند و نمایه کاربر را بارگیری کند.
- در صورت لزوم، بررسی و تعمیر دیسک را با استفاده از ابزار chkdsk انجام میدهد.
- Hives رجیستری را راه اندازی میکند و سیستم و کاربر را بارگیری میکند.
- سرویسهای حیاتی سیستم، از جمله Security Accounts Manager (SAM) و Local Security Authority (LSA) را شروع میکند.
- services.exe (Service Control Manager)
`services.exe` یک فرآیند سیستمی ضروری در سیستم عامل ویندوز است که شروع و توقف سرویسهای مختلف سیستم را مدیریت میکند. این سرویسها برنامههای پس زمینه ای هستند که عملکردهای مهمیمانند شبکه، امنیت و درایورهای دستگاه را ارائه میدهند. فایل «services.exe» معمولاً در پوشه «%SystemRoot%\System32\services.exe» قرار دارد و نباید حذف شود، زیرا برای عملکرد صحیح سیستم بسیار مهم است.
- lsass.exe (Local Security Authority Subsystem Service
- lsass.exe یک فرآیند سیستمی حیاتی در ویندوز مایکروسافت است که مسئول اجرای security policy در سیستم است.
- ورود کاربران به رایانه یا سرور ویندوز را تأیید میکند، تغییرات رمز عبور را کنترل میکند و توکنهای دسترسی ایجاد میکند. همچنین در لاگ امنیتی ویندوز مینویسد.
- خاتمه اجباری فرآیند lsass.exe منجر به از دست دادن دسترسی سیستم به هر حسابی، از جمله حساب NT AUTHORITY میشود که باعث راه اندازی مجدد دستگاه میشود.
- فایل lsass.exe واقعی در پوشه %WINDIR%\System32 قرار دارد و یک فایل سیستمی حیاتی است.
- بدافزار اغلب سعی میکند خود را به عنوان lsass.exe پنهان کند تا از شناسایی جلوگیری کند، بنابراین اگر lsass.exe از هر مکان دیگری اجرا میشود، به احتمال زیاد بدافزار است.
- مهاجمان میتوانند سعی کنند اعتبار ذخیره شده در فرآیند lsass.exe را که میتواند شامل هش رمز عبور، Kerberos tickets و سایر اطلاعات حساس باشد، تخلیه کنند.
- تکنیکهایی مانند استفاده از Mimikatz، PowerShell Empire، Koadic و Metasploit را میتوان برای استخراج این اطلاعات از فرآیند lsass.exe استفاده کرد.
- Windows Logon (WINLOGON.EXE)
- Winlogon.exe یک فرآیند سیستمی حیاتی در سیستم عامل مایکروسافت ویندوز است که وظیفه مدیریت فرآیند ورود کاربر را بر عهده دارد و وظایف کلیدی زیر را انجام میدهد:
- هنگامی که کاربر وارد سیستم میشود، نمایه کاربر را در رجیستری بارگیری میکند و به برنامهها اجازه میدهد به تنظیمات و دادههای خاص کاربر دسترسی داشته باشند
- توالی کلیدهای Ctrl+Alt+Delete برای «SAS» را مانیتور می و اطمینان میدهد که این تنها راه برای دسترسی به صفحه ورود امن است.
در صورت عدم فعالیت کاربر، رایانه را قفل میکند و محافظ صفحه را فعال میکند - ایستگاه پنجره و دسکتاپ را برای کاربر وارد شده ایجاد میکند
- نویسندگان بدافزار گاهی اوقات برنامههای مخرب خود را با گذاشتن نامی مشابه winlogon.exe برای جلوگیری از شناسایی، پنهان میکنند. بنابراین اگر میبینید که winlogon.exe از هر مکانی غیر از C:\Windows\System32 اجرا میشود، احتمالاً ممکن است بدافزار باشد و باید سیستم خود را با نرمافزار آنتیویروس اسکن کنید
- Windows Explorer (EXPLORER.EXE)
- Explorer.exe یک فرآیند حیاتی ویندوز است که رابط کاربری گرافیکی (GUI) را برای سیستم عامل فراهم میکند.
- وظیفه نمایش دسکتاپ، نوار وظیفه، مدیر فایل و سایر اجزای اصلی بصری ویندوز را بر عهده دارد.
- Explorer.exe به طور خودکار با بالا آمدن ویندوز شروع میشود و یک فرآیند فعال باقی میماند.
- بخشی ضروری از سیستم عامل ویندوز است که توسط مایکروسافت ارائه شده است.
- Svchost.exe
Svchost.exe که با نام Service Host نیز شناخته میشود، یک فرآیند اصلی در ویندوز است که به عنوان میزبان برای سرویسهای مختلف ویندوز عمل میکند. این سرویسها برای عملکرد بهتر سیستم عامل ، مدیریت مواردی مانند اتصال به شبکه، صدا، امنیت و موارد دیگر ضروری هستند.
در اینجا خلاصه ای از آنچه svchost.exe انجام میدهد آورده شده است:
Process Hosting
Svchost.exe چندین سرویس را با هم در یک نمونه واحد گروه بندی میکند. این باعث صرفه جویی در حافظه و منابع میشود، زیرا اجرای هر سرویس به صورت جداگانه کارایی کمتری خواهد داشت.
DLL Sharing
Svchost.exe ، DLL های ضروری را اجرا میکند که این سرویسها به آنها متکی هستند. DLL ها حاوی کدهایی هستند که میتوانند توسط چندین برنامه به اشتراک گذاشته شوند و مصرف منابع را بیشتر کاهش دهند.
Multiple Instances
اغلب چندین فرآیند svchost.exe در حال اجرا در Task Manager خود خواهید دید. این طبیعی است، زیرا هر instance سرویسهای متفاوتی را گروه بندی میکند.
شرکت سورین آماده ارائه خدمات شکار تهدیدات و راه اندازی مرکز عملیات امنیت است.