12.5 C
İstanbul
05/11/2024
Image default
Tehdit Avcılığı

Tehdit Avcılığında Windows Prosesleri – Csrss.exe

CSRSS.exe, istemci/sunucu alt sistem çalıştırma sistemidir.

İşlemleri ve iş parçacıklarını yönetmenin yanı sıra Windows API’nin diğer işlemler için de kullanılabilir olmasını sağlamaktan sorumludur. Ayrıca sürücü harflerinin eşleştirilmesinden, geçici dosyaların oluşturulmasından ve kapatma işleminden de sorumludur.

Oturum 0 ve 1 içerisinde çalışmaktadır.

Yeni oluşturulan her kullanıcı oturumu için kullanılabilirdir.

Resim 1: CSRSS.exe
Resim 2: SANS Digital Forensics Posteri

Tehdit Avcılığı İp Uçları:

Tehdit aktörleri, kötü amaçlı yazılımlarını csrss.exe gibi görünecek şekilde gizleyebilirler, csrss.exe olarak adlandırabilirler, ancak yanlış yazılma olması gerekecektir.

Örnek olarak, “cssrs.exe, cssrss.exe veya csrsss.exe” verilebilir.

Windows sistemlerde genellikle iki “csrss.exe” işlemi görüleceği ve CSRSS.exe’nin C:\Windows\System32 dizininde bulunması gerekmektedir. Bu dizin içerisinde bulunmuyor ise bilgisayar içerisinde kötü amaçlı işlem gerçekleştirebilecek bir tehditin olduğu unutulmamalıdır.

Tehdit aktörlerinin sürekli olarak kullandığı Windows Prosesleri yazılarımızın tamamına erişmek için tehdit avcılığında kullanılan windows prosesleri bölümümüze link üzerinden ulaşabilirsiniz.

Kaynak: SANS Digital Forensics Posteri

Related posts

MITRE ATT&CK Teknikleri ile Tehdit Avcılığı

Barış

Tehdit Avcılığında Windows Prosesleri – Smss.exe

Serdar H.

Tehdit Avcılığı – Part-1

Serdar H.

Bu web sitesi, kullanıcı deneyimini iyileştirmek amacıyla çerezler kullanmaktadır. Kabul Et Daha Fazlası