THM-核心Windows进程(Core Windows Processes)

任务管理器

使用任务管理器可以管理系统中常见的进程,以及进程的相关信息

右键其中的名称或者PID等列选择列,可以选择一些平常看不到的信息,例如路径名称、命令行

系统自带的任务管理器的功能是有限的,这里推荐使用方便查看的工具

系统进程(System)

我们一般使用的程序的进程中,都是系统随机分配的,但是系统进程不一样,是固定的。
系统进程(System)的进程ID是4,这是无法更改和替代的,负责管理和调度系统资源。它是由Windows NT操作系统创建的,用于启动和管理其他系统进程和服务

用户模式和内核模式

  • 用户模式是应用程序在用户模式下运行,只能使用CPU支持指令集的一个子集,只能访问用户空间中的内存,并且不能直接访问硬件。所有的Windows应用程序都工作于用户模式。位于用户空间的代码都工作于用户模式。应用程序只能通过Windows规定的一些API访问内核模式的代码和数据
  • 内核模式是核心操作系统组件在内核模式下运行。多个驱动程序在内核模式下运行,但某些驱动程序也在用户模式下运行。工作在内核模式的程序不受任何限制,可以使用CPU支持的任意指令,可以访问任意的内存空间,可以直接访问硬件。位于内核空间的代码都工作于内核模式

使用processhacker查看

右键properties查看该进程的详细信息

需要注意的点:

  • 程序路径: C:\Windows\system32\ntoskrnl.exe
  • 父进程: System Idle Process (0)

常见的异常情况:

  • 父进程不是0
  • 有多个system进程
  • PID不是4
  • 运行回话不是0

System -> smss.exe

下一个进程是smss.exe会话管理子系统)。该进程也称为Windows 会话管理器,负责创建新会话。它是内核启动的第一个用户模式进程

此进程启动 Windows 子系统的内核和用户模式.该子系统包括win32k.sys(内核模式)、winsrv.dll(用户模式)和csrss.exe(用户模式)

重点:
smss.exe会在会话0中启动csrss.exe(Windows 子系统)wininit.exe,
会话1中启动csrss.exewinlogon.exe

注意会启动两个csrss.exe,其中一个会话为0,一个会话为1

SMSS 还负责创建环境变量、虚拟内存分页文件并启动 winlogon.exe(Windows 登录管理器)

异常情况:

  • 父进程不是System(4)
  • 程序路径不是C:\Windows\System32\smss.exe
  • 有多个该进程正在运行
  • 运行的用户不是SYSTEM

csrss.exe

csrss.exe(客户端服务器运行时进程)是 Windows 子系统的用户模式端。该进程始终运行,对系统运行至关重要。如果该进程偶然终止,将会导致系统故障。该进程负责Win32控制台窗口和进程线程的创建和删除。对于每个实例,都会加载 csrsrv.dllbasesrv.dllWinsrv.dll

注意:回想一下,会话 1 启动时从 smss.exe 调用 csrss.exewinlogon.exe

其中有两个csrss.exe,都是有smss.exe生成的

异常情况:

  • 有一个实际的父进程(smss.exe在生成csrss.exe会结束)
  • 程序路径不是C:\Windows\System32\csrss.exe
  • 使用如容易看出的拼写错误
  • 运行的用户不是SYSTEM

wininit.exe

Windows初始化进程wininit.exe负责在会话 0 中启动 services.exe(服务控制管理器)、lsass.exe(本地安全机构)和 lsaiso.exe。它是另一个在后台运行的关键 Windows进程,及其子进程

我们可能看不到lsaiso.exe,那是因为没有启动Credential Guard

异常情况:

  • 有一个实际的父进程(smss.exe在生成wininit.exe会结束进程)
  • 程序路径不是C:\Windows\System32\wininit.exe
  • 利用微妙的拼写错误
  • 运行的账户不是SYSTEM

wininit.exe -> services.exe

services.exe是服务控制管理器(SCM-Service Control Manager),。它的主要职责是处理系统服务:加载服务、与服务交互以及启动或结束服务。它维护一个数据库,可以使用 Windows 内置实用程序sc.exe对服务进程进行管理

常见的服务在注册表HKLM\System\CurrentControlSet\Services中存储

此进程是其他几个关键进程的父进程:svchost.exespoolsv.exemsmpeng.exedllhost.exe

异常情况:

  • 父进程不是wininit.exe
  • 程序路径不是C:\Windows\System32\services.exe
  • 使用微妙的拼写错误
  • 多个同名程序
  • 运行的用户不是SYSTEM

wininit.exe > services.exe > svchost.exe

svchost.exe是服务主机(Service Host)(Windows 服务的主机进程)负责托管和管理 Windows 服务

该进程中运行的服务被实现为DLL。要实现的 DLL 存储在服务注册表中的子项ParametersServiceDLL
HKLM\SYSTEM\CurrentControlSet\Services\服务名称\Parameters

使用PorcessHacker右键svchost.exe可以看到一个services,随便找到一个服务,选择Go to servie

注意截图会显示他的二进制程序路径,注意这里有一个关键的参数-k

-k 参数用于将相似的服务分组以共享相同的进程。这个概念是基于操作系统设计并实现的,以减少资源消耗。从Windows 10 版本 1703 开始​​,分组到主机进程的服务发生了变化。在运行内存超过 3.5 GB 的计算机上,每个服务将运行自己的进程。

由于svchost.exe在任何Windows系统中都会有多个运行的进程,他是一直被恶意利用的目标。攻击者常常伪装恶意软件利用此进程。可以利用稍微的拼写错误,例如:scvhost.exe

异常情况:

  • 父进程不是services.exe
  • 路径不是C:\Windows\System32\svchost.exe
  • 利用微妙的程序名拼写错误
  • 运行的二进制文件缺少-k参数

lsass.exe

本地安全机构子系统服务 ( LSASS ) 是 Microsoft Windows 操作系统中的一个进程,负责在系统上实施安全策略。它验证登录到 Windows 计算机或服务器的用户、处理密码更改并创建访问令牌。它还会写入 Windows 安全日志

它为 SAM(安全帐户管理器)、AD(Active Directory)和 **NETLOGON **创建安全令牌。

lsass.exe常被用于密码窃取,最常见的工具就是mimikate

异常情况:

  • 父进程不是wininit.exe
  • 程序路径不是C:\Windows\System32\wininit.exe
  • 利用拼写错误
  • 有多个lsass.exe运行实例
  • 运行的账户不是SYSTEM用户

winlogon.exe

Windows登录winlogon.exe负责处理安全注意序列( SAS)。常见的使用例如:用户按下 ALT+CTRL+DELETE 组合键即可输入用户名和密码

该进程还负责加载用户配置文件。它将用户的 NTUSER.DAT 加载到 HKCU 中,而 userinit.exe 加载用户的 shell

注册表路径:HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon

还记得smss.exe吗,他在会话1启动了csrss.exewinlogon.exe程序,需要记住这点

异常情况:

  • 有一个实际的父进程(smss.exe启动winlogon.exe后会结束)
  • 程序路径不是C:\Windows\System32\winlogon.exe
  • 利用拼写错误
  • 注册表中的Shell值有除了explorer.exe的值
  • 运行的账户不是SYSTEM系统用户

explorer.exe

最后一个进程是 Windows 资源管理器explorer.exe。此过程使用户可以访问其文件夹和文件。它还提供其他功能,例如“开始”菜单和任务栏

如前所述,Winlogon 进程运行 userinit.exe,它启动HKLM\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Shell. Userinit.exe 在生成 explorer.exe 后退出。因此,父进程不存在

异常情况:

  • 有一个实际的父进程(userinit.exe在创建explorer.exe后会结束)
  • 程序路径不是C:\Windows\explorer.exe
  • 利用拼接错误
  • 运行的账户位置
  • 有外部的TCP或者UDP数据包连接
posted @ 2023-11-19 10:56  Junglezt  阅读(156)  评论(0编辑  收藏  举报