16.8 C
İstanbul
15/04/2024
Image default
Tehdit Avcılığı

Tehdit Avcılığında Windows Prosesleri – Smss.exe

SMSS.EXE, oturum yönetici olarak bilinmektedir. Sorumluluğu ise yeni oturumlar oluşturmaktır.

Oturum 0, crss.exe ve wininit.exe’yi başlatır. (İşletim Sistemi Servisleri)

Oturum 1, crss.exe ve winlogon.exe’yi başlatır. (Kullanıcı Oturumu)

İşlem ağacında 1 örnek (Oturum 0) göreceksiniz. Diğer oturumları oluşturmak için kullanılan smss.exe’nin alt örnekleri, kendisini bu yeni oturuma kopyalayarak, kendi kendine sona erecektir.

Kayıt defterini ve bilinen DLL’leri, diğer şeylerin yanı sıra paylaşılan bellek konumlarına yükler.

Resim 1: Oturum 0
Resim 2: Oturum 1
Resim 3: SANS Digital Forensics Posteri

Tehdit Avcılığı İpuçları:

Oturum 0 ve 1 normal durumlardır. Paylaşılan bilgisayarlarda RDP oturumları ve Hızlı Kullanıcı Değiştirme ile ek oturumlar oluşturulabilir. Bu durum sizin ortamınız için geçerli değil ise, ek oturumları kontrol etmek gerekmektedir.

SMSS.exe için sadece bir örneğin çalışıyor olması gerektiği unutulmamalıdır.

Tehdit aktörlerinin sürekli olarak kullandığı Windows Prosesleri yazılarımızın tamamına erişmek için tehdit avcılığında kullanılan windows prosesleri bölümümüze link üzerinden ulaşabilirsiniz.

Kaynak: SANS Digital Forensics Posteri

Related posts

Tehdit Avcılığında Windows Prosesleri – System

Serdar H.

Tehdit Avcılığı – Part-1

Serdar H.

Tehdit Avcılığında Windows Prosesleri – Csrss.exe

Serdar H.

Bu web sitesi, kullanıcı deneyimini iyileştirmek amacıyla çerezler kullanmaktadır. Kabul Et Daha Fazlası