“Svchost.exe”, Windows işletim sisteminde dinamik bağlantı kitaplıklarından (.dll dosyaları) çalışan Windows hizmetlerini barındırmak yönetmekle sorumlu bir sistem işlemidir.
Bu işlem el ile başlatılamaz veya bitirilemez. “Svchost”, kaynak tüketimini azaltmak ve sistemin kaynaklarını korumak için birçok hizmeti içerisinde barındırır veya başka bir deyiş ile ev sahipliği yapar.
Tüm hizmetler tek bir işlem altında çalıştırılırsa, birinin çökmesi durumunda tüm Windows çökebilir. Bu nedenle her “svchost.exe” işlemi bir grup hizmet içermektedir.
Svchost işlemi C:\Windows\System32 dizininde bulunmaktadır. Belirtilen dosya yolu üzerinden çalışmıyor ise, bilgisayar içerisinde kötü amaçlı işlemler gerçekleştirebilen herhangi bir tehdit olduğu unutulmamalıdır.
Tehdit Avcılığı İpuçları:
Bu işlem, kötü amaçlı hizmetleri (hizmet olarak yüklenen kötü amaçlı yazılım) başlatmak için de kullanılabilir. Kötü amaçlı bir hizmet başlatıldıktan sonra “-k” parametresi mevcut olmaz.
Zararlı bir işlem için çalıştırılmak istendiğinde aşağıdaki durumlar gerçekleştirilebilir.
- Yazım hatası içeren svchostt.exe gibi bir işlem çalıştırmak.
- Farklı dizinlere ve yollara yerleştirerek çalıştırmak
Farklı dizinlere ve yollara yerleştirilerek çalıştırılan bir svchost.exe işleminin ana işleminin (parent process) “services.exe” olmayacağı unutulmamalıdır.
Tehdit aktörlerinin sürekli olarak kullandığı Windows Prosesleri yazılarımızın tamamına erişmek için tehdit avcılığında kullanılan windows prosesleri bölümümüze link üzerinden ulaşabilirsiniz.
Kaynaklar: