SMSS.EXE
Die Aufgabe des SMSS.exe-Prozesses ist es, neue Sitzungen zu erstellen. Zuerst werden Session 0 und Session 1 erstellt, sobald das Betriebssystem startet. Sitzung 0 löst aus und startet die Prozesse csrss.exe und wininit.exe. Sitzung 1 löst aus und startet csrss.exe und winlogon.exe. Während Session 0-Prozesse Prozesse des Betriebssystems sind, sind Session 1-Prozesse Prozesse der Benutzersitzung. Es darf nur eine Instanz von SMSS.exe in einem Prozessbaum vorhanden sein. SMSS.exe wird für die Erstellung und Verwaltung von Child-Prozessen verwendet. Der gültige Pfad für SMSS.exe ist ‚%SystemRoot%\System32\smss.exe‘. SMSS.exe wird vom System erstellt und hat die folgende SID-Nummer:
S-1-5-18 (NT AUTHORITY\SYSTEM) Während des Bootvorgangs wird sie erstellt und ausgeführt.
CSRSS.EXE
Der Prozess Client Server Run Sub System exe ist für die Verwaltung von Prozessen und Threads zuständig und sorgt für die Kommunikation mit Windows-APIs. Außerdem ist CSRSS.exe für die Zuordnung von physischen Laufwerken, die Erstellung von temporären Dateien und das Schließen und Beenden von Prozessen zuständig. Sein Pfad lautet: %SystemRoot%System32\csrss.exe. Sein übergeordneter Prozess ist SMSS.exe. Der Wert der Benutzer-SID ist: SID ist NT AUTHORITY\SYSTEM(S-1-5-18). Er wird beim Booten des Betriebssystems erstellt. Es darf nur zwei Instanzen im Prozessbaum geben. Malware-Autoren verwenden einen Trick wie die falsche Schreibweise des Prozesses, z. B. cssrs.exe.
WINLOGON.EXE
WINLOGON.EXE ist für die An- und Abmeldevorgänge der Benutzer zuständig. LogonUI.exe sendet Benutzernamen- und Kennwortinformationen an lsass.exe und lsass.exe überprüft und authentifiziert Benutzer, indem es eine Verbindung zum Active Directory herstellt, um die Gültigkeit der Anmeldeinformationen mithilfe von ntds.dit oder Security Account Manager (SAM) zu überprüfen.
Userinit.exe wird unter Software\Microsoft\Windows NT\CurrentVersion\Winlogon installiert und der Authentifizierungsprozess wird gestartet. Der Pfad von WINLOGON.exe lautet %SystemRoot%\System32\winlogon.exe. Der übergeordnete Prozess ist SMSS.EXE. Seine SID ist NT AUTHORITY\SYSTEM (S-1-5-18). WINLOGON.exe verwendet den unten angegebenen Registrierungsschlüssel; Autoren von Malware können die Registrierung dieser Werte manipulieren.
Schlüssel: HKEY_LOCAL_MACHINE \SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon
Name: Shell
Typ: REG_SZ
Wert: [Explorer.exe oder Cmd.exe oder PowerShell.exe oder andere]
WININIT.EXE
Windows Initilization Process exe alias WININIT.exe ist verantwortlich für das Starten und Auslösen von services.exe, lsass.exe, lsm.exe. Sein Pfad ist %SystemRoot%\System32\wininit.exe. Sie wird beim Booten erstellt. Der übergeordnete Prozess ist SMSS.exe, aber er scheint keinen übergeordneten Prozess zu haben. Die SID-Nummer lautet „NT AUTHORITY\SYSTEM(S-1-5-18)“. Es darf nur eine Instanz im Prozessbaum vorhanden sein. Wenn Sie einen zweiten gleichnamigen Prozess sehen, ist dies ein verdächtiger Prozess.
LSM.EXE
Local Session Manager exe alias LSM.exe arbeitet mit SMSS.exe zusammen und ist für die Erstellung, Beendigung und Änderung von Sitzungen verantwortlich. In Windows 7 wird sie als lsm.dll bezeichnet. Ihr Pfad ist %SystemRoot%System32\lsm.exe. Ihr übergeordneter Prozess ist WININIT.exe. Die SID-Nummer ist NT AUTHORITY\SYSTEM(S-1-5-18) und es kann nur eine Instanz in einem Prozessbaum existieren.
SERVICES.EXE
SERVICES.exe ist verantwortlich für das Starten, Anhalten und Aussetzen von Diensten. Die Aufgabe des Service Control Managers ist das Laden von Diensten und Treibern in den Speicher. Es ist der übergeordnete Prozess für svchost.exe, dllhost.exe, taskhost.exe und spoolsv.exe. Sein Registrierungspfad lautet HKLM\SYSTEM\CurrentControlSet\Services. Sein Pfad ist „%SystemRoot%System32\services.exe“. SERVICES.exe hat nur eine Instanz in einem Prozessbaum. Ihre SID ist NT AUTHORITY\SYSTEM ( S-1-5-18).
LSASS.EXE
Local Security Authority Sub System exe alias LSASS.exe ist für die Erzeugung von Sicherheits-Token, die Anwendung von Sicherheitsrichtlinien und die Benutzerauthentifizierung zuständig. lsass.exe erzeugt Token für SAM, AD und Netlogon. Sie nutzt Pakete von HKLM\System\CurrentControlSet\Control\Lsa für die Authentifizierung von Benutzern. Er sendet Sicherheitsprotokolle an das Ereignisprotokoll. Sein übergeordneter Prozess ist wininit.exe. Sein Pfad ist %SystemRoot%\System32\lsass.exe. Die SID-Nummer lautet NT AUTHORITY\SYSTEM(S-1-5-18). Malware kann Benutzer austricksen, indem sie Prozesse mit falscher Schreibweise wie 1sass.exe versteckt. Es darf nur eine Instanz von lsass.exe im Prozessbaum von Windows vorhanden sein.
SVCHOST.EXE
Svchost.exe ist ein allgemeiner Host-Prozessname für Dienste, die von Dynamic-Link-Libraries ausgeführt werden. Da es sich bei DDL-Dateien um nicht ausführbare Dateien handelt, werden sie mit svchost ausgeführt, um die Dienste des Betriebssystems zu aktivieren. SVCHOST.exe ist verantwortlich für die Nutzung und Verwaltung der verschiedenen DDL-Dienste zur Optimierung der Systemquellen. Alle Dienste haben die Registerwerte, die serviceDLL einschließen, mit diesen Registerwerten weiß svchost, welche DLL-Dateien verwendet werden. Svchost hat den Parameter -k, um den Namen des Dienstes anzugeben. Sein Pfad lautet %SystemRoot%\System32\svchost.exe -k (Dienstgruppe; d. h. netsvcs). Sein Register lautet Software\Microsoft\Windows NT\CurrentVersion\Svchost. Sie können den svchost-Prozess über die Befehlszeile mit dem Befehl tasklist /svc /fi „imagename eq svchost.exe“ anzeigen. Wenn Sie die Prozessliste untersuchen, können Sie eine Menge svchost-Prozesse sehen. Alle DLL-basierten Dienste teilen sich denselben svchost-Prozess. Jeder svchost-Prozess wird mit einzigartigen Diensten ausgeführt. Sein übergeordneter Prozess ist wininit.exe. Die SID-Nummern sind NT AUTHORITY\SYSTEM (S1-5-18), LOCAL SERVICE (S-1-5-19) oder NETWORK SERVICE (S-1-5-20). Malware-Autoren können svchost zur Prozessinjektion verwenden, können uns mit einer falschen Schreibweise wie svch0st austricksen und wir sollten vorsichtig sein, dass Dienste ohne -k-Parameter und falsche Pfade verwendet werden. Zum Beispiel wird bei Process Hollowing-Angriffen und Process Injection-Angriffen die Mispleling-Technik verwendet, um Malware-Namen zu verstecken.
TASKHOST.EXE
TASKHOST.exe ist eine generische Host-Exe, die für die Ausführung von DLL-Diensten wie svchost verwendet wird. Während der Ininitialisierung des Betriebssystems steuert taskhost den Teil der Registerschlüssel-Dienste und ermöglicht das Ausführen und Laden von DLL-basierten Diensten. Sein Pfad ist %SystemRoot%\System32\taskhost.exe. Sein übergeordneter Prozess ist services.exe. Taskhost.exe ist ein allgemeiner Prozess, der als Host für Prozesse fungiert, die von dynamischen Link-Bibliotheken (dll) anstelle von exe ausgeführt werden. Der Prozess überprüft beim Start die Windows-Registrierung, um dll-basierte Dienste zu finden, die geladen werden müssen.
EXPLORER.EXE
Explorer.exe ist für alle Operationen der grafischen Benutzeroberfläche des Windows Explorers verantwortlich, wie das Durchsuchen von Dateien und Verzeichnissen und den Dateizugriff. Pro Benutzer wird nur eine Instanz von explorer.exe gestartet. Ihr Pfad ist %SystemRoot%\Explorer.exe. Der übergeordnete Prozess USERINIT.exe scheint jedoch keinen übergeordneten Prozess in der Prozessstruktur zu haben. Wenn unter diesem Prozess cmd geöffnet wird oder eine Socket-Verbindung initialisiert wird oder der Prozess conhost geöffnet wird oder explorer.exe keine Microsoft Orginal Digital Signature hat, sind alle verdächtig.