فرآیندها (پروسس‌های) اصلی ویندوز چه هستند؟

فرآیندهای اصلی ویندوز، بلوک‌‌های ساختمانی ضروری هستند که سیستم را به خوبی اجرا ‌می‌کنند. درک این فرآیندها ‌می‌تواند برای عیب یابی مشکلات، شناسایی بدافزارهای بالقوه و به دست آوردن درک عمیق تر از نحوه عملکرد ویندوز مفید باشد.

  1. System (System Process)

فرآیند سیستم که به نام System Idle Process نیز شناخته می‌شود، یک جزء اساسی از سیستم عامل ویندوز است که مسئول مدیریت عملیات‌ها و منابع مختلف در سطح سیستم است و اجرای روان وظایف حیاتی را تضمین می‌کند. دارای شناسه فرآیند (PID) منحصر به فرد 4 است و یکی از اولین فرآیندهایی است که هنگام بوت شدن رایانه شروع ‌می‌شود. فرآیند سیستم منابع سخت افزاری مانند حافظه، عملیات دیسک، و عملیات ورودی/خروجی (I/O) را مدیریت ‌می‌کند، وقفه‌‌های سیستم تولید شده توسط دستگاه‌‌های سخت افزاری را مدیریت ‌می‌کند و بر مدیریت حافظه، از جمله استفاده از حافظه مجازی نظارت ‌می‌کند. فرآیند سیستم همیشه در پس‌زمینه اجرا می‌شود تا عملکرد اصلی سیستم‌عامل را حفظ کند، و تضمین کند که سرویس‌ها و فرآیندهای مهم سیستم به‌طور روان و کارآمد اجرا می‌شوند

  1. Session Manager Subsystem (SMSS.EXE)

SMSS.EXE یکی از اولین فرآیندهایی که هنگام بوت شدن ویندوز شروع ‌می‌شود و مسئول مقداردهی اولیه میباشد.

این فرآیند که به عنوان Windows Session Manager نیز شناخته ‌می‌شود، وظیفه ایجاد Sessionهای جدید را بر عهده دارد.

در طول فرآیند راه اندازی اجرا ‌می‌شود و مسئول چندین عملکرد کلیدی است:

  • Session Initialization
    `exe` اولین فرآیند user-mode است که توسط kernel آغاز شده است.
  • Subsystem Launch
    حالت‌های کرنل و کاربر Win32 subsystem را شروع می‌کند که شامل «sys» (حالت کرنل)، «winsrv.dll» (حالت کاربر) و «csrss.exe» (حالت کاربر) است.
  • Boot Commands Execution
    دستورات فهرست شده در کلید رجیستری «HKLM\SYSTEM\CurrentControlSet\Control\Session Manager\BootExecute»

مانند «autochk» و «convert» را قبل از بارگیری سرویس‌‌ها اجرا ‌می‌کند.

  • Winlogon Start
    هنگا‌می‌که session پیکربندی شد، فرآیند Winlogon را شروع ‌می‌کند.

پس از فرآیند بوت، “smss.exe” در حافظه باقی ‌می‌ماند و سیستم را تا زمان خاموش شدن زیر نظر دارد.

  1. Client-Server Runtime Process (CSRSS.EXE)

این فرآیند عملکردهای اصلی حالت کاربر مانند دسکتاپ، مدیریت پنجره، و فراخوانی‌‌های Win32 API را که توسط سایر برنامه‌‌ها استفاده ‌می‌شود، انجام ‌می‌دهد.

علاوه بر این تغییرات، «csrss.exe» برای عملکردهای خاصی مانند ویندوز کنسول و فرآیند خاموش کردن حیاتی است. این یک فرآیند سیستم محافظت شده است که نمی توانید آن را از طریق Task Manager غیرفعال یا خاتمه دهید. اگر بخواهید آن را خاتمه دهید، پیام
“Access is Denied” دریافت خواهید کرد زیرا برای پایداری سیستم ضروری است.

  1. Wininit.exe (Windows Initialization Process)
  • Wininit.exe یک فرآیند سیستمی قانونی و ضروری در سیستم عامل مایکروسافت ویندوز است که مسئول تنظیم اولیه مؤلفه‌ها و سرویس‌های حیاتی سیستم در طول فرآیند راه‌اندازی ویندوز است.
  • به طور خاص، wininit.exe وظایف زیر را انجام ‌می‌دهد:
  • فرآیند (smss.exe) را شروع ‌می‌کند که جلسه سیستم را راه اندازی ‌می‌کند و اجزای سیستم و درایورها را بارگیری ‌می‌کند.
  • فرآیند ورود به سیستم ویندوز (winlogon.exe) را شروع می‌کند، که از کاربر می‌خواهد اعتبار ورود به سیستم را دریافت کند و نمایه کاربر را بارگیری کند.
  • در صورت لزوم، بررسی و تعمیر دیسک را با استفاده از ابزار chkdsk انجام ‌می‌دهد.
  • Hives رجیستری را راه اندازی ‌می‌کند و سیستم و کاربر را بارگیری ‌می‌کند.
  • سرویس‌‌های حیاتی سیستم، از جمله Security Accounts Manager (SAM) و Local Security Authority (LSA) را شروع می‌کند.
  1. services.exe (Service Control Manager)

`services.exe` یک فرآیند سیستمی ضروری در سیستم عامل ویندوز است که شروع و توقف سرویس‌‌های مختلف سیستم را مدیریت ‌می‌کند. این سرویس‌‌ها برنامه‌‌های پس زمینه ای هستند که عملکردهای مهمی‌مانند شبکه، امنیت و درایورهای دستگاه را ارائه ‌می‌دهند. فایل «services.exe» معمولاً در پوشه «%SystemRoot%\System32\services.exe» قرار دارد و نباید حذف شود، زیرا برای عملکرد صحیح سیستم بسیار مهم است.

  1. lsass.exe (Local Security Authority Subsystem Service
  • lsass.exe یک فرآیند سیستمی حیاتی در ویندوز مایکروسافت است که مسئول اجرای security policy در سیستم است.
  • ورود کاربران به رایانه یا سرور ویندوز را تأیید ‌می‌کند، تغییرات رمز عبور را کنترل ‌می‌کند و توکن‌‌های دسترسی ایجاد ‌می‌کند. همچنین در لاگ امنیتی ویندوز ‌می‌نویسد.
  • خاتمه اجباری فرآیند lsass.exe منجر به از دست دادن دسترسی سیستم به هر حسابی، از جمله حساب NT AUTHORITY ‌می‌شود که باعث راه اندازی مجدد دستگاه ‌می‌شود.
  • فایل lsass.exe واقعی در پوشه %WINDIR%\System32 قرار دارد و یک فایل سیستمی حیاتی است.
  • بدافزار اغلب سعی ‌می‌کند خود را به عنوان lsass.exe پنهان کند تا از شناسایی جلوگیری کند، بنابراین اگر lsass.exe از هر مکان دیگری اجرا ‌می‌شود، به احتمال زیاد بدافزار است.
  • مهاجمان ‌می‌توانند سعی کنند اعتبار ذخیره شده در فرآیند lsass.exe را که ‌می‌تواند شامل هش رمز عبور، Kerberos tickets و سایر اطلاعات حساس باشد، تخلیه کنند.
  • تکنیک‌‌هایی مانند استفاده از Mimikatz، PowerShell Empire، Koadic و Metasploit را ‌می‌توان برای استخراج این اطلاعات از فرآیند lsass.exe استفاده کرد.
  1. Windows Logon (WINLOGON.EXE)
  • Winlogon.exe یک فرآیند سیستمی حیاتی در سیستم عامل مایکروسافت ویندوز است که وظیفه مدیریت فرآیند ورود کاربر را بر عهده دارد و وظایف کلیدی زیر را انجام ‌می‌دهد:
  • هنگامی که کاربر وارد سیستم ‌می‌شود، نمایه کاربر را در رجیستری بارگیری ‌می‌کند و به برنامه‌‌ها اجازه ‌می‌دهد به تنظیمات و داده‌‌های خاص کاربر دسترسی داشته باشند
  • توالی کلیدهای Ctrl+Alt+Delete برای «SAS» را مانیتور می و اطمینان ‌می‌دهد که این تنها راه برای دسترسی به صفحه ورود امن است.
    در صورت عدم فعالیت کاربر، رایانه را قفل ‌می‌کند و محافظ صفحه را فعال ‌می‌کند
  • ایستگاه پنجره و دسکتاپ را برای کاربر وارد شده ایجاد ‌می‌کند
  • نویسندگان بدافزار گاهی اوقات برنامه‌های مخرب خود را با گذاشتن نامی مشابه winlogon.exe برای جلوگیری از شناسایی، پنهان می‌کنند. بنابراین اگر می‌بینید که winlogon.exe از هر مکانی غیر از C:\Windows\System32 اجرا می‌شود، احتمالاً ممکن است بدافزار باشد و باید سیستم خود را با نرم‌افزار آنتی‌ویروس اسکن کنید
  1. Windows Explorer (EXPLORER.EXE)
  • Explorer.exe یک فرآیند حیاتی ویندوز است که رابط کاربری گرافیکی (GUI) را برای سیستم عامل فراهم ‌می‌کند.
  • وظیفه نمایش دسکتاپ، نوار وظیفه، مدیر فایل و سایر اجزای اصلی بصری ویندوز را بر عهده دارد.
  • Explorer.exe به طور خودکار با بالا آمدن ویندوز شروع ‌می‌شود و یک فرآیند فعال باقی ‌می‌ماند.
  • بخشی ضروری از سیستم عامل ویندوز است که توسط مایکروسافت ارائه شده است.
  1. Svchost.exe

Svchost.exe که با نام Service Host نیز شناخته ‌می‌شود، یک فرآیند اصلی در ویندوز است که به عنوان میزبان برای سرویس‌‌های مختلف ویندوز عمل ‌می‌کند. این سرویس‌‌ها برای عملکرد بهتر سیستم عامل ، مدیریت مواردی مانند اتصال به شبکه، صدا، امنیت و موارد دیگر ضروری هستند.

در اینجا خلاصه ای از آنچه svchost.exe انجام ‌می‌دهد آورده شده است:

Process Hosting
Svchost.exe چندین سرویس را با هم در یک نمونه واحد گروه بندی ‌می‌کند. این باعث صرفه جویی در حافظه و منابع ‌می‌شود، زیرا اجرای هر سرویس به صورت جداگانه کارایی کمتری خواهد داشت.

DLL Sharing

Svchost.exe ، DLL های ضروری را اجرا ‌می‌کند که این سرویس‌‌ها به آنها متکی هستند. DLL ها حاوی کدهایی هستند که ‌می‌توانند توسط چندین برنامه به اشتراک گذاشته شوند و مصرف منابع را بیشتر کاهش دهند.

Multiple Instances
اغلب چندین فرآیند svchost.exe در حال اجرا در Task Manager خود خواهید دید. این طبیعی است، زیرا هر instance سرویس‌‌های متفاوتی را گروه بندی ‌می‌کند.

شرکت سورین آماده ارائه خدمات شکار تهدیدات و راه اندازی مرکز عملیات امنیت است.