[THM][Note] Core Windows Processes
https://tryhackme.com/room/btwindowsinternals
Task3
POINT)
- プロセスのPIDは毎回ランダムに振られるが、Systemプロセスは必ず4と決まっている。
- Windowsのスレッドには、「ユーザーモード」と「カーネルモード」がある。
Task4
- smss.exe(セッション・マネージャ・サブ・システム)。Systemプロセスから呼び出される最初のユーザーモードのプロセス。Windowsセッションマネージャーと呼ばれ、新しいセッションの作成を担当している。Systemプロセスから作成されているので、parentIDは必ず4になる。
- smss.exeは、自分自信をコピーしてそのコピーから、セッションID(0)でカーネルモードを作成して、セッションID(1)でユーザーモードを作成する。
- smss.exeのコピーはセッションID(0)の作成時に、「csrss.exe」と「wininit.exe」を作成する。
- smss.exeのコピーはセッションID(1)の作成時に、「csrss.exe」と「winlogon.exe」を作成する。
- csrss.exeは、クライアント・サーバー・ランタイム・プロセス。
- それぞれセッションが作成されたらコピーされたsmss.exeは自信を終了させる。
- また、systemプロセスの正しい形も覚えておくといい。
Task5
- csrss.exeを見てみると、親(smss.exe)は終了しているので、「Non-existent process(PID)」となっている。コレが正しい。
Task6
- wininit.exeは、smss.exeから起動される。
- wininit.exeは、services.exe(サービス・アンド・コントロール・マネージャー)と、lsass.exe(ローカル・セキュリティ・オーソリティー・プロセス)を起動させる。
- wininit.exeの親は、smss.exeなので、こちらも「Non-existent process(PID)」が正しい。
Task7
- services.exeは、サービスの読込、サービスとの対話(scコマンド)、サービスの開始と終了をおこなう。
- services.exeは、svchost.exe(ホスト・プロセス・フォー・ウィンドウズ・サービス)、spoolsv.exe(スプーラ−・サブシステム)、MsMpEng.exe(アンチ・マルウェア・サービス・エグゼキュータブル)、dellhost.exe、等いくつかの重要なプロセスの親。
Task8
- svchost.exeは、Windowsの各種プログラムの起動を担う、ホスト役を務めるプロセス。
- svchost.exeは、通常複数(たくさん)起動している。
- このプロセスで実行させたいサービスは、dllで実装する必要がある。
- たくさんプロセスが立ち上がっているため、このプロセスは悪意のある使用の標的となる。攻撃者は、このプロセスを装うマルウェアを作成し、正規の svchost.exe プロセスの中に隠れようとする。目立たないようにすることが目的。
Task9
- lsass.exe(ローカル・セキュリティ・オーソリティー・サブシステム)は、システムやユーザーにセキュリティポリシーの適用を担当するプロセス。
- こちらも、攻撃者によく狙われる。
Task10
- winlogin.exeは、SAS(セキュア・アテンション・シーケンス)の処理を担当する。
- winlogin.exeは、ユーザーのプロファイルのロードもおこなう。
- winlogin.exeは、画面のロックやスクリーンセーバーの処理を担当する。
- winlogin.exeは、userinit.exeを起動して、userinit.exeはexploer.exeを起動して、自身を終了させる。
Task11
exploer.exeは、
- ユーザーに対してフォルダーとファイルへのアクセスの提供をおこなう。
- スタートメニューやタスクバーなどの管理や処理も担当している。
- 親は、userinfo.exeなので「Non-existent process(PID)」が正しい。
- ログインしているユーザーに対して1つ作成される。
- ログインしているユーザー名で実行されている。
