8.9 KiB
{% hint style="success" %}
Μάθετε & εξασκηθείτε στο AWS Hacking:
Εκπαίδευση HackTricks AWS Red Team Expert (ARTE)
Μάθετε & εξασκηθείτε στο GCP Hacking: 
Εκπαίδευση HackTricks GCP Red Team Expert (GRTE)
Υποστηρίξτε το HackTricks
- Ελέγξτε τα σχέδια συνδρομής!
- Εγγραφείτε στην 💬 ομάδα Discord ή στην ομάδα telegram ή ακολουθήστε μας στο Twitter 🐦 @hacktricks_live.
- Μοιραστείτε τεχνικές χάκερ καταθέτοντας PRs στα αποθετήρια του HackTricks και του HackTricks Cloud.
smss.exe
Διαχειριστής Συνεδρίας.
Η Συνεδρία 0 ξεκινά τα csrss.exe και wininit.exe (υπηρεσίες λειτουργικού συστήματος) ενώ η Συνεδρία 1 ξεκινά τα csrss.exe και winlogon.exe (συνεδρία χρήστη). Ωστόσο, θα πρέπει να βλέπετε μόνο ένα διεργασία αυτού του δυαδικού χωρίς παιδιά στο δέντρο διεργασιών.
Επίσης, συνεδρίες εκτός από τις 0 και 1 μπορεί να σημαίνουν ότι συμβαίνουν συνεδρίες RDP.
csrss.exe
Διεργασία Υποσυστήματος Εκτέλεσης Πελάτη/Διακομιστή.
Διαχειρίζεται διεργασίες και νήματα, καθιστά διαθέσιμο το API των Windows για άλλες διεργασίες και επίσης χαρτογραφεί γράμμες οδήγησης, δημιουργεί αρχεία προσωρινής μνήμης και χειρίζεται τη διαδικασία απενεργοποίησης.
Υπάρχει μία εκτελούμενη στη Συνεδρία 0 και μία ακόμα στη Συνεδρία 1 (έτσι 2 διεργασίες στο δέντρο διεργασιών). Δημιουργείται μία ακόμα για κάθε νέα Συνεδρία.
winlogon.exe
Διεργασία Εισόδου Windows.
Είναι υπεύθυνη για τις ενέργειες σύνδεσης/αποσύνδεσης χρήστη. Εκκινεί το logonui.exe για να ζητήσει όνομα χρήστη και κωδικό πρόσβασης και στη συνέχεια καλεί το lsass.exe για να τα επαληθεύσει.
Στη συνέχεια εκκινεί το userinit.exe το οποίο καθορίζεται στο HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon με το κλειδί Userinit.
Επιπλέον, το προηγούμενο μητρώο θα πρέπει να έχει το explorer.exe στο κλειδί Shell αλλιώς μπορεί να καταχραστεί ως μέθοδος μόνιμης διατήρησης κακόβουλου λογισμικού.
wininit.exe
Διεργασία Εκκίνησης Windows.
Εκκινεί τα services.exe, lsass.exe και lsm.exe στη Συνεδρία 0. Θα πρέπει να υπάρχει μόνο 1 διεργασία.
userinit.exe
Εφαρμογή Σύνδεσης Χρήστη.
Φορτώνει το ntduser.dat στο HKCU και αρχικοποιεί το περιβάλλον χρήστη και εκτελεί σενάρια σύνδεσης και GPO.
Εκκινεί το explorer.exe.
lsm.exe
Τοπικός Διαχειριστής Συνεδρίας.
Λειτουργεί με το smss.exe για τη διαχείριση των συνεδριών χρήστη: Σύνδεση/αποσύνδεση, εκκίνηση κελύφους, κλείδωμα/ξεκλείδωμα επιφάνειας εργασίας, κ.λπ.
Μετά το W7 το lsm.exe μετατράπηκε σε ένα υπηρεσία (lsm.dll).
Θα πρέπει να υπάρχει μόνο 1 διεργασία στο W7 και από αυτές μια υπηρεσία που εκτελεί το DLL.
services.exe
Διαχειριστής Ελέγχου Υπηρεσιών.
Φορτώνει υπηρεσίες που έχουν ρυθμιστεί ως αυτόματη εκκίνηση και οδηγητές.
Είναι η γονική διεργασία των svchost.exe, dllhost.exe, taskhost.exe, spoolsv.exe και πολλών άλλων.
Οι υπηρεσίες ορίζονται στο HKLM\SYSTEM\CurrentControlSet\Services και αυτή η διεργασία διατηρεί μια βάση δεδομένων στη μνήμη με πληροφορίες υπηρεσίας που μπορεί να αναζητηθεί από το sc.exe.
Σημειώστε ότι κάποιες υπηρεσίες θα εκτελούνται σε δική τους διεργασία και άλλες θα μοιράζονται μια διεργασία svchost.exe.
Θα πρέπει να υπάρχει μόνο 1 διεργασία.
lsass.exe
Υποσύστημα Τοπικής Αρχής Ασφάλειας.
Είναι υπεύθυνο για την πιστοποίηση του χρήστη και τη δημιουργία των διακριτικών ασφάλειας. Χρησιμοποιεί πακέτα πιστοποίησης που βρίσκονται στο HKLM\System\CurrentControlSet\Control\Lsa.
Γράφει στο Αρχείο Καταγραφής Συμβάντων Ασφάλειας και θα πρέπει να υπάρχει μόνο 1 διεργασία.
Να έχετε υπόψη ότι αυτή η διεργασία είναι υψηλά επιτεθείμενη για τη διαρροή κωδικών πρόσβασης.
svchost.exe
Γενική Διεργασία Φιλοξενίας Υπηρεσιών.
Φιλοξενεί πολλές υπηρεσίες DLL σε μια κοινόχρηστη διεργασία.
Συνήθως, θα δείτε ότι το svchost.exe ξεκινά με τη σημαία -k. Αυτό θα ξεκινήσει μια ερώτηση στο μητρώο HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Svchost όπου θα υπάρχει ένα κλειδί με το επιχείρημα που αναφέρεται στο -k που θα περιέχει τις υπηρεσίες που θα εκκινηθούν στην ίδια διεργασία.
Για παράδειγμα: Το -k UnistackSvcGroup θα εκκινήσει: PimIndexMaintenanceSvc MessagingService WpnUserService CDPUserSvc UnistoreSvc UserDataSvc OneSyncSvc
Αν η σημαία -s χρησιμοποιείται επίσης με ένα επιχείρημα, τότε ζητείται από το svchost να εκκινήσει μόνο τη συγκεκριμένη υπηρεσία σε αυτό το επιχείρημα.
Θα υπάρχουν αρκετές διεργασίες svchost.exe. Αν κάποια από αυτές δεν χρησιμοποιεί τη σημαία -k, τότε αυτό είναι πολύ ύποπτο. Αν βρείτε ότι η services.exe δεν είναι ο γονικός διεργασία, αυτό είναι επίσης πολύ ύποπτο.
taskhost.exe
Αυτή η διεργασία λειτουργεί ως φιλοξενία για διεργασίες που εκτελούνται από DLLs. Επίσης, φορτώνει τις υπηρεσίες που εκτελούνται από DLLs.
Στα W8 αυτό ονομάζεται taskhostex.exe και στα W10 taskhostw.exe.
explorer.exe
Αυτή είναι η διεργασία υπεύθυνη για τη επιφάνεια εργασίας του χρήστη και την εκκίνηση αρχείων μέσω των επεκτάσεων αρχείων.
Θα πρέπει να δημιουργείται μόνο 1 διεργασία ανά συνδεδεμένο χρήστη.
Αυτό εκτελείται από το userinit.exe το οποίο θα πρέπει να τ