Merhaba, Svchost adından da anlayacağınız gibi Service Host processidir. Servisi register ederken (sc create) kullandığınız parametreye göre bir ya da birden fazla servisi host edebilir.
Aynı zamanda malwarelar tarafından da yoğunlukla RUNPE ile ya da DLL ile servis yetkilerinde çalışmak için kullanılır çünkü bir çok güvenlik programı svchost'a kısmem güvenilir olarak bakar. İncelediğiniz sistemi görmeden şu adımlarla şüphelerinizden kurtulabilir ya da daha detaylı incelemeye girme kararı alabilirsiniz. 1. Process Explorer'dan, şüpheli PID ler içerisinde yer alan servis adlarına bakın 2. Bu servis adlarını HKLM\CurrentControlSet\Services anahtarı altında tek tek bulup çalıştırdıkları dll dosyalarını not edin 3. Svchost eğer içerisine enjeksiyon yapılmamış bir şekilde çalışıyorsa yukarıda not ettiğiniz dll lerin imzalarına bakın. Burada gördüğünüz imzalar OK ise içiniz rahatlayacaktır. Eğer RUNPE gibi bir metodla enjeksiyon içeren bir svchost ile karşı karşıya iseniz o zaman analizin seviyesini arttırmanız ve svchost'u abuse eden esas noktayı bulmanız gerekir. Not: Burada DLL dememin sebebi svchost'un abuse edilmediğini varsaymamdan. Saygılarımla On Fri, Oct 6, 2017 at 11:23 AM Ceylan BOZOĞULLARINDAN < ceylanbozogullarin...@gmail.com> wrote: > Merhaba, > > Windows'un Resource Monitor penceresinden hareketleri incelerken, > svchost.exe 'nin 40.77.229.86 ve 40.77.229.89 adreslerine 443 portu ile > eriştiğini gördüm. Makinemden çıkış yapılan yerel portlar 54518, 54477. > > [image: Satır içi resim 1] > > *Soru 1.* Bu hareketler şüpheli mi? Şüpheliyse ne yapmalı? > > *Soru 2.* Antivirüs, firewall vb. araçlar olmadan şüpheli hareketleri > nasıl gözlemleyebilirim? Ağ hareketlerini gözlemlemek yeterli midir? > Yeterli ise detaylı analiz nasıl yapabilirim? Bu konuyla ilgili > önerebileceğiniz kitap veya kitaplar var mıdır? > > İyi çalışmalar, > > > > ------------------------------------------------- > Normshield Free Threat Intelligence Services > > https://services.normshield.com > > ------------------------------------------------- -- (sent from my iPhone, sorry for the typos) Best Regards. Emre TINAZTEPE Lead Software Architect Zemana Ltd. USA: +1 650 265 7763 Turkey: +90 284 988 0160 www.zemana.com
------------------------------------------------- Normshield Free Threat Intelligence Services https://services.normshield.com -------------------------------------------------
