Sistem işlemi, NT çekirdeğinde bulunan sistem belleğini ve sıkıştırılmış belleği yönetir.
Dosyanın orijinal dosya ismi aşağıdaki resim ile birlikte görülebilir.
Sistem prosesi her bir işlemci üzerinde çalışan tek bir iş parçacığıdır. Ayrıca USB, Touchpad, Bağlantı Noktaları, Ses, Ağ vb gibi aygıt sürücüleri de barındırmaktadır.
SANS bu prosesi Digital Forensics posterinde aşağıdaki şekilde yayınlamıştır.
Windows 10’da “sistem” prosesinin daha fazla boş bellek alanı sağlamak için eski bellek sayfalarını da sıkıştıran ek bir görevi bulunmaktadır. Bu prosesin çok fazla bellek alanı kullanmasının nedeni de bu işlem olabilir. Ayrıca %30-100 CPU tüketebilmektedir.
Windows işletim sisteminde bulunan görev yöneticisi kontrol edildiğinde, “Sistem”in her zaman PID değeri 4 olduğu görülmektedir. Eğer bu değer 4 değil ise, çalışan işlemin kötü amaçlı yazılım olduğunu anlayabilirsiniz. Ayrıca kötü amaçlı bir yazılımın herhangi bir ad ile çalışabileceğini de unutmamak gerekmektedir. Bu nedenle, çalışan işlemlerin dosyalarının nerede olduğunun kontrol edilmesi oldukça faydalı bir hareket olacaktır.
PID: Process Identification yani İşlem/Proses Kimliği olarak bilinmektedir.
Sistem Prosesi ile ilgili Tehdit Avcılığı İpuçları
Genellikle bu proses ile alakalı kötü amaçlı etkinlikler çekirdek modu (kernel-mode) iş parçacıklarında gerçekleşmektedir. Sistem prosesi aynı zamanda bazı DLL dosyalarını da içermektedir. Bu nedenle, bu prosesin içerdiği DLL’lerden bir beyaz liste oluşturulması da etkili bir yöntem olacaktır. Bu duruma ek olarak, zararlı yazılımlar yanlış yazıma sahip çalıştırılabilir dosyalar da olabilir. Bu nedenle yanlış yazıma sahip işlemlerin de kontrol edilmesi ve “ntoskrnl.exe” gibi çalıştırılabilir dosyalar için orijinal dosya yolu üzerinden çalıştırılması önemlidir.
Tehdit aktörlerinin sürekli olarak kullandığı Windows Prosesleri yazılarımızın tamamına erişmek için tehdit avcılığında kullanılan windows prosesleri bölümümüze link üzerinden ulaşabilirsiniz.
Kaynaklar: