Try Hack MeのCore Windows Processesルームのwrite upです。
write upはほぼおまけで、内容を個人的に理解するためにまとめました。
ルームのURL
TryHackMe | Core Windows Processes
Write Up
Task3 System
Q: What PID should System always be?
A: 4
Task4 System > smss.exe
Q: Aside from csrss.exe, what process does smss.exe spawn in Session 1?
A: winlogon.exe
Task5 csrss.exe
Q: What was the process which had PID 384 and PID 488?
A: smss.exe
Task6 wininit.exe
Q: Which process might you not see running if Credential Guard is not enabled?
A: lsaiso.exe
Task7 wininit.exe > services.exe
Q: How many instances of services.exe should be running on a Windows system?
A: 1
Task8 wininit.exe > services.exe > svchost.exe
Q: What single letter parameter should always be visible in the Command line or Binary path?
A: k
Task9 lsass.exe
Q: What is the parent process for LSASS?
A: wininit.exe
Task10 winlogon.exe
Q: What is the non-existent parent process for winlogon.exe?
A: smss.exe
Task11 explorer.exe
Q: What is the non-existent process for explorer.exe?
A: userinit.exe
まとめ
本ルームの説明とSANSのチートシート(参考1)を考慮すると、プロセスツリーは以下のようになるかと思います。
ルームの振り返りにもなりますが、出てきた用語(プロセスの機能や特徴等)をざっくりとまとめます。
パスなどの情報はSANSのチートシートを参考にしてください。
System
説明:NT Kernel & System
カーネルモードのみで実行されるOSの基本的な処理に関するプロセス。
smss.exe
説明:Windowsセッションマネージャー
セッションの開始等を担当する。Windowsセッションであるセッション0と、ユーザセッションであるセッション1で作成するプロセスが異なる。セッション作成用のsmss.exeを作成すると、マスターであるsmss.exeは終了する。
csrss.exe
説明:クライアントサーバーランタイムプロセス
Win32コンソールウィンドウと、プロセススレッドの作成と削除等の役割を担う。
wininit.exe
説明:Windowsスタートアップアプリケーション
セッション0内でservices.exe、lsass.exe、lsaiso.exe(資格情報ガードが有効な場合)を開始する。
lsass.exe
説明:Local Security Authority Process
コンピュータ等にログインしているユーザの確認、パスワード変更の処理やアクセストークンの作成などを行う。
LsaIso.exe
説明:Credential Guard & VBS Key Isolation
資格情報ガード(Credential Guard)が有効な場合に開始される。lsass.exeと通信し、ユーザのトークンハッシュを格納する。
services.exe
説明:サービスとコントローラーアプリケーション
サービスの読み込み、対話、開始や終了の処理を担う。
svchost.exe
説明:Windowsサービスのホストプロセス
Windowsサービスのホストと管理を担う。関連する複数のサービスを一つのプロセスで管理している。
RuntimeBroker.exe
説明:Runtime Broker
ユニバーサルWindowsプラットフォーム(UWP)アプリ(Calculator.exeのようなモダンアプリケーション)とWindows API間のプロキシのようなもの。UWPアプリがハードウェアやファイルシステムに対して必要なアクセスを提供するために使用される。通常RuntimeBroker.exeは、UWPアプリ一つにつき一つ存在する。
taskhostw.exe
説明:Windowsタスクのホストプロセス
Windowsタスクの汎用ホストプロセス。このプロセスは定義されたスケジュール、ユーザログオン、システム起動等のトリガーイベントを待ち続けるループを実行する。
winlogon.exe
説明:Windowsログオンアプリケーション
対話型のユーザログオンとログオフの役割を担う。このプロセスはSecure Attention Sequence(SAS)というキーボード操作の組み合わせ(Alt+Ctrl+Deleteキー)が入力された際、ユーザからのログオン要求を受け取る。
userinit.exe
説明:不明
ユーザ環境の初期化を行うプロセス。ログオンスクリプトの実行やネットワーク接続の再接続などの役割を担う。explorer.exeを生成したのち、userinit.exeは終了する。
explorer.exe
説明:エクスプローラー
ユーザに対して、フォルダやファイルへのアクセスを提供する役割を担う。
まだまだ分からないことだらけですが、まとめたらちょっと理解が深まりました。
参考