16.8 C
İstanbul
15/04/2024
Image default
Tehdit Avcılığı

Tehdit Avcılığında Windows Prosesleri – System

Sistem işlemi, NT çekirdeğinde bulunan sistem belleğini ve sıkıştırılmış belleği yönetir.

Dosyanın orijinal dosya ismi aşağıdaki resim ile birlikte görülebilir.

Resim 1: C:\Windows\System32\ntoskrnl.exe

Sistem prosesi her bir işlemci üzerinde çalışan tek bir iş parçacığıdır. Ayrıca USB, Touchpad, Bağlantı Noktaları, Ses, Ağ vb gibi aygıt sürücüleri de barındırmaktadır.

SANS bu prosesi Digital Forensics posterinde aşağıdaki şekilde yayınlamıştır.

Resim 2: SANS Digital Forensics Posteri

Windows 10’da “sistem” prosesinin daha fazla boş bellek alanı sağlamak için eski bellek sayfalarını da sıkıştıran ek bir görevi bulunmaktadır. Bu prosesin çok fazla bellek alanı kullanmasının nedeni de bu işlem olabilir. Ayrıca %30-100 CPU tüketebilmektedir.

Windows işletim sisteminde bulunan görev yöneticisi kontrol edildiğinde, “Sistem”in her zaman PID değeri 4 olduğu görülmektedir. Eğer bu değer 4 değil ise, çalışan işlemin kötü amaçlı yazılım olduğunu anlayabilirsiniz. Ayrıca kötü amaçlı bir yazılımın herhangi bir ad ile çalışabileceğini de unutmamak gerekmektedir. Bu nedenle, çalışan işlemlerin dosyalarının nerede olduğunun kontrol edilmesi oldukça faydalı bir hareket olacaktır.

PID: Process Identification yani İşlem/Proses Kimliği olarak bilinmektedir.

Resim 3: PID Değeri

Sistem Prosesi ile ilgili Tehdit Avcılığı İpuçları

Genellikle bu proses ile alakalı kötü amaçlı etkinlikler çekirdek modu (kernel-mode) iş parçacıklarında gerçekleşmektedir. Sistem prosesi aynı zamanda bazı DLL dosyalarını da içermektedir. Bu nedenle, bu prosesin içerdiği DLL’lerden bir beyaz liste oluşturulması da etkili bir yöntem olacaktır. Bu duruma ek olarak, zararlı yazılımlar yanlış yazıma sahip çalıştırılabilir dosyalar da olabilir. Bu nedenle yanlış yazıma sahip işlemlerin de kontrol edilmesi ve “ntoskrnl.exe” gibi çalıştırılabilir dosyalar için orijinal dosya yolu üzerinden çalıştırılması önemlidir.

Tehdit aktörlerinin sürekli olarak kullandığı Windows Prosesleri yazılarımızın tamamına erişmek için tehdit avcılığında kullanılan windows prosesleri bölümümüze link üzerinden ulaşabilirsiniz.

Kaynaklar:

  1. Sans Digital Forensics Posteri

Related posts

Tehdit Avcılığında Windows Prosesleri – Svchost.exe

Serdar H.

Tehdit Avcılığı – Part-1

Serdar H.

Tehdit Avcılığında Windows Prosesleri – Winlogon.exe

Serdar H.

Bu web sitesi, kullanıcı deneyimini iyileştirmek amacıyla çerezler kullanmaktadır. Kabul Et Daha Fazlası