فرآیندهای ویندوز مناسب بدافزارها

فرآیند در ویندوز چیست؟

فرآیند (Process) در ویندوز یک برنامه در حال اجرا و یا یک بخش از برنامه است که در حافظه سیستم موجود است و می تواند توسط سیستم عامل مدیریت شود. هر برنامه ای که در ویندوز اجرا می شود، یک فرآیند جدید ایجاد می کند. همچنین، برخی از برنامه ها ممکن است بیش از یک فرآیند داشته باشند. در این مقاله به معرفی فرآیندهای ویندوز مناسب بدافزارها می پردازیم.

هر فرآیند دارای یک شناسه منحصر به فرد است که به آن Process ID (PID) گفته می شود. سیستم عامل ویندوز، با استفاده از این شناسه، می تواند هر فرآیند را به صورت مستقل از سایر فرآیندها مدیریت کند.

همچنین، هر فرآیند می تواند یک یا چند ترد داشته باشد. تردها (Threads) به عنوان بخشی از فرآیند، برای اجرای همزمان چندین وظیفه، مانند پاسخگویی به درخواست های کاربر، استفاده می شوند.

با استفاده از مدیریت فرآیندها در ویندوز، کاربران می توانند برنامه های در حال اجرا را مشاهده، مدیریت، مانیتور و در صورت نیاز، آنها را ببندند یا اجرایشان را متوقف کنند.

این فرآیندها می‌توانند از طریق Task Manager در ویندوز شناسایی شوند و شامل برنامه‌هایی هستند که در حال اجرا در پس‌زمینه، برنامه‌های در حال اجرا در پنجره‌ها، سرویس‌های سیستم و سایر فرآیندهایی هستند که در سیستم عامل ویندوز به صورت پنهان اجرا می‌شوند.

فرآیندهای ویندوز مناسب بدافزارها

بدافزارها ممکن است فرآیندهای ویندوز را برای پنهان شدن از نظر کاربر یا برنامه‌های ضد ویروس انتخاب کنند. در ادامه با برخی از این فرآیندها آشنا خواهید شد.

بیشتر بخوانید: بدافزار (Malware) چیست؟ و انواع آن چگونه است

فرآیند svchost.exe

فرآیند svchost.exe یکی از فرآیندهای سرویس مشترک سیستم عامل ویندوز می‌باشد. این فرآیند به سرویس‌های مختلف ویندوز اجازه می‌دهد تا فرآیندها را با یکدیگر به اشتراک بگذارند و در نتیجه، استفاده از منابع سیستم را کاهش داده و عملکرد سیستم را بهبود می‌بخشد. بسیاری از سرویس‌های ویندوز، از جمله Windows Update، Windows Defender و Windows Error Reporting از طریق فرآیند svchost.exe اجرا می‌شوند.

در Task Manager، ممکن است بیش از یک نمونه از فرآیند svchost.exe را ببینید، که این نیز طبیعی است و به دلیل این است که هر گروه از سرویس‌های ویندوز با یک فرآیند svchost.exe جداگانه اجرا می‌شود.

فایل‌های قانونی svchost.exe باید در مسیر C:\Windows\System32 وجود داشته باشند. اگر مشکوک به وجود هک شدن یکی از این فایل‌ها هستید، می‌توانید مسیر C:\Windows\Temp را بررسی کنید. در صورت وجود فایل svchost.exe در این مسیر، ممکن است یک فایل مخرب باشد. بنابراین، برای بررسی و شناسایی هرگونه ویروس یا بدافزار، بهتر است از یک نرم‌افزار آنتی‌ویروس استفاده کنید و در صورت نیاز، فایل را قرنطینه کنید.

فرآیند explorer.exe

Explorer.exe یکی از فایل‌های مهم سیستم عامل ویندوز است که مسئول پوسته گرافیکی و نمایشی آن می‌باشد. بدون این فایل، قابلیت استفاده از محیط کاربری ویندوز به طور کامل مختل می‌شود و نمی‌توان به نوار وظیفه، منوی استارت، مدیریت فایل یا حتی دسکتاپ دسترسی داشت.

در عین حال، برخی ویروس‌ها و نرم‌افزارهای مخرب می‌توانند از نام فایل Explorer.exe استفاده کنند تا خود را در سیستم عامل ویندوز پنهان کنند. برای مثال، trojan.w32.ZAPCHAST یکی از ویروس‌هایی است که از نام فایل Explorer.exe برای پنهان شدن استفاده می‌کند. فایل Explorer.exe قانونی در مسیر C:\Windows قرار دارد و اگر آن را در مسیر System32 یا جای دیگری پیدا کردید، بهتر است با استفاده از یک نرم‌افزار آنتی‌ویروس، سیستم خود را بررسی کنید و هرگونه ویروس یا نرم‌افزار مخرب را حذف کنید.

فرآیند csrss.exe

فرآیند Csrss.exe یا زیرسیستم Client/Server Run-Time، یکی از فرآیندهای ضروری ویندوز است که به عنوان یک سرویس سیستمی عمل می کند. این فرآیند به منظور ارتباط بین برنامه های کاربردی و سیستم عامل ویندوز ایجاد شده است و برای مدیریت بسیاری از عملیات سیستمی مانند رسم رابط کاربری، مدیریت پنجره ها، و کار با منابع سیستم استفاده می شود.

با این حال، به دلیل استفاده از تکنولوژی های جدیدتر، در نسخه های جدید ویندوز، استفاده از این فرآیند کمتر شده است. با این حال، این فرآیند هنوز هم برای عملکرد صحیح سیستم ضروری است و نمی توان آن را غیرفعال کرد.

در مواردی، فایل پردازش csrss.exe می تواند به تقلید از آن، به عنوان یک تهدید امنیتی برای سیستم شما باشد، به عنوان مثال ویروس Nimda.E. برای اطمینان از اینکه فایل csrss.exe معتبر است، می توانید روی فرآیند csrss.exe در Task Manager کلیک راست کرده و Open File Location را انتخاب کنید. فایل csrss.exe باید در پوشه های System32 یا SysWOW64 قرار داشته باشد.

فرآیند winlogon.exe

فرآیند Winlogon.exe بخشی ضروری از سیستم عامل ویندوز است که در مسئولیت کنترل عناصر امنیتی هنگام ورود به سیستم و قفل کردن رایانه هنگام اجرا شدن محافظ صفحه نمایش مشغول به کار است. با این حال، به دلیل این مسئولیت امنیتی، ویروس‌ها و بدافزارها به دنبال هدف قرار دادن این فرآیند هستند.

به عنوان مثال، چندین ویروس تروجان می‌توانند به عنوان winlogon.exe نمایش داده شوند. معمولاً فایل Winlogon.exe در مسیر C:\Windows\System32 قرار دارد. در صورتی که آن را در محل دیگری مانند C:\Windows\WinSecurity پیدا کردید، ممکن است مخرب باشد. یکی از نشانه‌هایی که می‌تواند برای شناسایی ربوده شدن این فرآیند مفید باشد، استفاده از حافظه زیاد است.

فرآیند Services.exe

فرآیند Services.exe در ویندوز مسئول اجرای و توقف خدمات مختلف ضروری است. این فرآیند مسئول اجرای خدماتی همچون درایورها، سرویس‌های شبکه و دیگر خدمات ویندوزی است. به همان اندازه که سایر فرآیندهای ویندوز، فرآیند Services.exe هم هدف قرارگیری بدافزار‌ها و ویروس‌ها می‌باشد زیرا این فرآیند به آنها اجازه می‌دهد تا خود را در بین فرآیندهای سیستم پنهان کنند.

اگر فایل Services.exe توسط بدافزار ربوده شود، ممکن است با مشکلاتی هنگام راه‌اندازی و خاموش کردن سیستم روبرو شوید. برای اطمینان از وجود فایل Services.exe اصلی، بهتر است در مسیر System32 در محل نصب ویندوز خود به دنبال فایل Services.exe بگردید. در صورتی که فایل در مکان دیگری مانند C:\Windows\ConnectionStatus قرار دارد، احتمالاً این فایل یک ویروس خواهد بود.

فرآیند lsass.exe

فرآیند lsass.exe یکی از فرآیندهای ضروری ویندوز بوده و مسئول تنظیمات امنیتی ویندوز است. این فرآیند مسئول تأیید اعتبار و ورود به سیستم با نام کاربری و رمز عبور است. اگر این فرآیند به درستی اجرا نشود، ممکن است کاربر از رایانه خود خارج شود. با این حال، شناخته شده است که برخی ویروس‌ها از نام این فرآیند استفاده می‌کنند تا خود را پنهان کنند.

برای پیدا کردن فایل lsass.exe، به مسیر C:\Windows\System32 بروید. این تنها مکانی است که فایل lsass.exe باید در آن قرار داشته باشد. در صورتی که این فایل را در مکان‌های دیگر مانند C:\Windows\system یا C:\Program Files مشاهده کردید، با احتیاط عمل کرده و فایل را با آنتی ویروس خود اسکن کنید.

لازم به ذکر است که این فرآیندها نیز ممکن است به طور عادی توسط سیستم عامل ویندوز در حال اجرا باشند و فقط برخی از بدافزارها می توانند از آن‌ها برای پنهان کردن خود استفاده کنند.

چرا فرآیندها محیط مناسبی برای بدافزارها می باشند؟

این مورد میتواند دلایل گوناگونی داشته باشد که مهم ترین آن ها عبارتند از:

1. دسترسی آسان: بسیاری از فرآیندهای ویندوز دارای دسترسی وسیعی به سیستم هستند، بنابراین بدافزارها می‌توانند از آن‌ها به طور غیرمجاز استفاده کنند و به راحتی در سیستم عملیات خود را انجام دهند.
2. نقاط ضعف امنیتی: بعضی از فرآیندهای ویندوز دارای نقاط ضعف امنیتی مختلفی هستند که می‌توانند توسط بدافزارها برای نفوذ به سیستم بهره‌برداری شوند.
3. عدم شناسایی آسان: بعضی از بدافزارها می‌توانند فعالیت‌های خود را درون فرآیندهای ویندوز پنهان کنند و از این رو آن‌ها برای سیستم عامل قابل شناسایی نباشند. این ویژگی‌ها برای بدافزارها می‌توانند جهت غیرقانونی و مخرب کردن سیستم را فراهم کنند.

بیشتر بخوانید:

• نحوه پاکسازی و افزایش فضای درایو C ویندوز
• نحوه استفاده از Windows Security در ویندوز 10
• نفوذ به ویندوز با آسیب پذیری BlueKeep و ابزار متااسپلویت