Основные процессы Windows.
Информация получена из Proccess Explorer (SysInternals).
system
Системный процесс выполняющийся на уровне ядра.
| Нормальное поведение | Потенциально опасное поведение |
|---|---|
| Всегда запускается в 0 сессии | Запущен не в 0 сессии. |
| Всегда имеет PID = 4. | PID не равен 4 |
| Родительских процессов нет. | Наличие родительского процесса |
| Количество экземпляров - 1 | Наличие нескольких экземпляров |
| Пользователь NT AUTHORITY/SYSTEM. | |
| Запуск при загрузке ОС. | |
Путь к образу: None (по факту: %system32%\ntoskrnl.exe) |
smss.exe
System manager subsystem процесс ответственный за создание сессий.
1-й процесс запускаемый в User mode. В процессе работы запускает подсистемы: win32k.sys (kernel mode), winsrv.dll (user mode), csrss.exe (user mode).
Для запуска подсистем пораждает собственные экземпляры, которые уничтожает после выполнения задачи.
| Нормальное поведение | Потенциально опасное поведение |
|---|---|
Пользователь NT AUTHORITY/SYSTEM. |
Пользователь не SYSTEM |
Родитель - system |
Родитель отличный от PID 4 |
Путь к образу: %system32%\smss.exe |
Путь к образу не: %system32%\smss.exe |
| Количество экземпляров - 1 основной, остальные самоуничтожаются сразу после запуска подсистем. | Наличие нескольких экземпляров |
Запуск при загрузке, после system |
|
| Нестандартные записиси в ветке реестра для запуска подсистем. |
csrss.exe
Client server runtime process - Олицетворяет user mode в Windows.
Критически важный процесс для функционирования системы: отвечает за процессы создания и удаления потоков, за обеспечение Windows API, присваивание букв дискам, процессы отключения и перезагрузки.
| Нормальное поведение | Потенциально опасное поведение |
|---|---|
Пользователь NT AUTHORITY/SYSTEM. |
Пользователь не SYSTEM |
Родитель - Один из экземпляров smss.exe (отображаются как Non-existent Process, потому как экземпляры smss.exe самоуничтожаются после выполнения поставленных задач) |
Наличие родительского процесса |
Путь к образу: %system32%\csrss.exe |
Путь к образу не: %system32%\csrss.exe |
| Количество экземпляров - 2 и более, один в сессии 0, остальные по одному на каждую сессию | |
| Запуск через несколько секунд после загрузки | |
| Опечатки в названии: например csrcs.exe |
wininit.exe
Windows Initializtion Proccess - еще один критически важный процесс который отвечает за запуск services.exe (Service control management), lsass.exe (Local Security Authority), lsaiso.exe (Только если включен Credential Guard).
Работает в фоне в 0 сессии, вместе со своими дочерними процессами.
| Нормальное поведение | Потенциально опасное поведение |
|---|---|
Пользователь NT AUTHORITY/SYSTEM. |
Пользователь не SYSTEM |
Родитель - Один из экземпляров smss.exe (отображаются как Non-existent Process, потому как экземпляры smss.exe самоуничтожаются после выполнения поставленных задач) |
Наличие родительского процесса |
Путь к образу: %system32%\wininit.exe |
Путь к образу не: %system32%\wininit.exe |
| Количество экземпляров - 1 | Наличие нескольких экземпляров |
| Запуск через несколько секунд после загрузки | |
| Опечатки в названии: например winlnit.exe |
services.exe
Service control manager - (SCM) - ответственный за обработку всех сервисов ОС, включая задачи запуска/управления/выключения. Поддерживает БД всех сервисов, имеет CLI инструмент для работы с этой БД - sc.exe. Ведет журнал событий.
Информация о сервисах расположена в HKLM\System\CurrentControlSet\Services.
Также, services.exe отвечает за загрузку драйверов которые должны быть загружены при старте системы. В случае успешного входа пользователя в систему - services.exe обновляет ключ реестра HKLM\System\Select\LastKnownGood.
Является родителем для целой группы системных процессов: svhost.exe, spoolsv.exe, dllhost.exe, msmpeng.exe и др.
| Нормальное поведение | Потенциально опасное поведение |
|---|---|
Пользователь NT AUTHORITY/SYSTEM. |
Пользователь не SYSTEM |
| Родитель - wininit.exe | Родитель не wininit.exe |
Путь к образу: %system32%\services.exe |
Путь к образу не: %system32%\services.exe |
| Количество экземпляров - 1 | Наличие нескольких экземпляров |
| Запуск через несколько секунд после загрузки | |
| Опечатки в названии: например servlces.exe |
svchost.exe
Host process for Windows Services - отвечает за размещение и управление конкретными процессами. Сервисы запущенные svhost.exe определяются в DLLках, пути к которым определены в HKLM\SYSTEM\CurrentControlSet\Services\%SERVICE NAME%\Parameters.
Для экономии ресурсов один экземпляр svchost.exe может запускать несколько различных сервисов которые связаны с одним процессом. В современных версиях, если на компе RAM > 3.5 Gb, для каждого процесса запускается свой svchost.exe (с небольшими исключениями).
Легитимный экземпляр svhost.exe всегда запускается с ключём -k который указывает имена сервисов относящихся к одной группе (сервисы совместно работающие с одним процессом).
Обрати внимание
В связи с тем, что экземпляров svchost.exe много - под него часто пытаются мимикрировать всякого рода малварь.
| Нормальное поведение | Потенциально опасное поведение |
|---|---|
Родитель - services.exe |
Родитель не services.exe |
Путь к образу: %system32%\svhost.exe |
Путь к образу не: %system32%\svhost.exe |
Пользователь: различные: (SYSTEM, Network Service, Local Service) Начиная с Win10, некоторые экземпляры могут быть запущены от имени текущего пользователя. |
|
| Количество экземпляров - множество | |
| Запуск через несколько секунд после загрузки, некоторые экземпляры могут быть запущены в любое другое время. | |
| Опечатки в названии: например scvhost.exe | |
| Отсутствие ключа -k в cmd процесса |
lsass.exe
Local Security Authority Subsystem Service - процесс ответственный за выполнение политик безопасности, а также выполнение входа/выхода в систему, смену паролей, ведение раздела Security events в Журнале событий.
Создаёт токены для SAM, AD, NETLOGON. В совей работе использует параметры определенные в HKLM\System\CurrentControlSet\Control\Lsa.
Все это делает lsass.exe привлекательным для малвари, например mimikatz и подобные ему инструменты может сдампить креды, а прочие зловреды могут мимикрировать под lsass.exe изменяя его название.
| Нормальное поведение | Потенциально опасное поведение |
|---|---|
Пользователь NT AUTHORITY/SYSTEM. |
Пользователь не SYSTEM |
Родитель - wininit.exe |
Родитель не wininit.exe |
Путь к образу: %system32%\lsass.exe |
Путь к образу не: %system32%\lsass.exe |
| Количество экземпляров - 1 | Больше чем один запущенный экземпляр |
| Запуск через несколько секунд после загрузки | |
| Опечатки в названии: например lssas.exe |
winlogon.exe
Windows Logon - ответственный за запуск "Press CTRL + ALT + DELETE to enter the username", загрузку профиля пользователя (загружает NTUSER.DAT в HKCU), блокировку экрана и запуска скринсейвера и т.д. Конфиги хранятся в HKLM\System\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon
| Нормальное поведение | Потенциально опасное поведение |
|---|---|
Пользователь NT AUTHORITY/SYSTEM. |
Пользователь не SYSTEM |
Родитель - Один из экземпляров smss.exe (отображаются как Non-existent Process, потому как экземпляры smss.exe самоуничтожаются после выполнения поставленных задач) |
Наличие родительского процесса |
Путь к образу: %system32%\winlogon.exe |
Путь к образу не: %system32%\winlogon.exe |
| Запуск через несколько секунд после загрузки - первый экземпляр (Сессия 1). Остальные - при запуске новых сессий (в том числе удалённых) | |
| Количество экземпляров - 1 и более | |
| Опечатки в названии: например winlogin.exe | |
| Значение ключа shell в ветке реестра с конфигурацией отлично от explorer.exe |
explorer.exe
Предоставляет пользователю доступ к его файлам. Является ответственным за панель задач, трей и т.д.
Запускается процессом userinit.exe (см. winlogon.exe) который самоуничтожается после выполненой задачи. Как правило имеет много дочерних процессов - пользовательского ПО
| Нормальное поведение | Потенциально опасное поведение |
|---|---|
| Пользователь текущий пользователь | Запущен от неизвестного пользователя |
Родитель - userinit.exe (отображаются как Non-existent Process, потому как userinit.exe самоуничтожается после выполнения поставленной задачи) |
Наличие родительского процесса |
Путь к образу: %system32%\explorer.exe |
Путь к образу не: %system32%\explorer.exe |
| Запуск через несколько секунд после загрузки/входа интерактивного пользователя | |
| Количество экземпляров - 1 на каждого интерактивного пользователя | |
| Опечатки в названии: например exploer.exe | |
| Исходящие сетевые соединения |