16.8 C
İstanbul
15/04/2024
Image default
Tehdit Avcılığı

Tehdit Avcılığında Windows Prosesleri – Svchost.exe

“Svchost.exe”, Windows işletim sisteminde dinamik bağlantı kitaplıklarından (.dll dosyaları) çalışan Windows hizmetlerini barındırmak yönetmekle sorumlu bir sistem işlemidir.

Bu işlem el ile başlatılamaz veya bitirilemez. “Svchost”, kaynak tüketimini azaltmak ve sistemin kaynaklarını korumak için birçok hizmeti içerisinde barındırır veya başka bir deyiş ile ev sahipliği yapar.

Tüm hizmetler tek bir işlem altında çalıştırılırsa, birinin çökmesi durumunda tüm Windows çökebilir. Bu nedenle her “svchost.exe” işlemi bir grup hizmet içermektedir.

Resim 1: SANS Digital Forensics Posteri

Svchost işlemi C:\Windows\System32 dizininde bulunmaktadır. Belirtilen dosya yolu üzerinden çalışmıyor ise, bilgisayar içerisinde kötü amaçlı işlemler gerçekleştirebilen herhangi bir tehdit olduğu unutulmamalıdır.

Tehdit Avcılığı İpuçları:

Bu işlem, kötü amaçlı hizmetleri (hizmet olarak yüklenen kötü amaçlı yazılım) başlatmak için de kullanılabilir. Kötü amaçlı bir hizmet başlatıldıktan sonra “-k” parametresi mevcut olmaz.

Resim 2: Svchost.exe’nin -k parametresi

Zararlı bir işlem için çalıştırılmak istendiğinde aşağıdaki durumlar gerçekleştirilebilir.

  • Yazım hatası içeren svchostt.exe gibi bir işlem çalıştırmak.
  • Farklı dizinlere ve yollara yerleştirerek çalıştırmak

Farklı dizinlere ve yollara yerleştirilerek çalıştırılan bir svchost.exe işleminin ana işleminin (parent process) “services.exe” olmayacağı unutulmamalıdır.

Tehdit aktörlerinin sürekli olarak kullandığı Windows Prosesleri yazılarımızın tamamına erişmek için tehdit avcılığında kullanılan windows prosesleri bölümümüze link üzerinden ulaşabilirsiniz.

Kaynaklar:

  1. Sans Digital Forensics Posteri

Related posts

Tehdit Avcılığında Windows Prosesleri – Csrss.exe

Serdar H.

Tehdit Avcılığında Windows Prosesleri – System

Serdar H.

Tehdit Avcılığı – Part-1

Serdar H.

Bu web sitesi, kullanıcı deneyimini iyileştirmek amacıyla çerezler kullanmaktadır. Kabul Et Daha Fazlası