Process Explorer Rehberi
Bir siber güvenlik uzmanı veya sistem yöneticisi için standart Windows Görev Yöneticisi çoğu zaman "buzdağının sadece görünen kısmıdır". Olay müdahalesi (Incident Response) ve zararlı yazılım analizi söz konusu olduğunda, Sysinternals Process Explorer sahadaki en güçlü "İsviçre Çakısı" haline gelir. Bu makalede, Process Explorer'ı sadece bir izleme aracı olarak değil, aktif bir tehdit avcılığı platformu olarak nasıl kullanacağımızı inceleyeceğiz.
Neden Process Explorer?
Windows'un yerleşik Görev Yöneticisi bize "ne"yin çalıştığını söyler, ancak Process Explorer bize "nasıl" ve "neden" çalıştığını gösterir. Bir siber güvenlik uzmanı için Process Explorer'ı vazgeçilmez kılan üç temel yetenek vardır:
Hiyerarşik Görünüm (Parent-Child İlişkisi): Hangi sürecin hangi süreci doğurduğunu görmek, zararlı yazılımın sisteme giriş noktasını (Initial Access) tespit etmede kritiktir.
DLL ve Handle Görünümü: Bir sürecin arka planda hangi kütüphaneleri (DLL) çağırdığını veya hangi dosyalara kilit attığını görebilirsiniz.
İmza ve Bütünlük Kontrolü: Çalışan exe'nin Microsoft veya güvenilir bir üretici tarafından imzalanıp imzalanmadığını anlık olarak doğrulayabilirsiniz.
Process Highlighting
Process Explorer'ı ilk açtığınızda gördüğünüz renk cümbüşü rastgele değildir; her renk sürecin kimliğine dair bir ipucudur.
Pembe (Services): Windows servislerini temsil eder. Eğer svchost.exe dışında pembe bir süreç görüyorsanız, şüphelenmeye başlayabilirsiniz.
Mavi (Own Processes): Mevcut kullanıcının çalıştırdığı süreçlerdir.
Mor (Packed Images): Sıkıştırılmış veya şifrelenmiş kod içeren süreçlerdir. Malware yazarları kodlarını gizlemek için sıkıştırma (packing) teknikleri kullandığından, mor renkli süreçler her zaman öncelikli inceleme alanıdır.
Kritik Analiz Özellikleri
1. VirusTotal Entegrasyonu
Process Explorer'ın en güçlü yanlarından biri, çalışan tüm süreçlerin hash değerlerini (MD5/SHA256) alıp anlık olarak VirusTotal veritabanı ile kıyaslayabilmesidir.
Nasıl Kullanılır: Options > VirusTotal.com > Check VirusTotal.com yolunu izleyin.
Yorumlama: 1/70 gibi bir skor her zaman False Positive olabilir, ancak 20/70 gibi bir skor gördüğünüzde alarm seviyesini yükseltmelisiniz.
2. Verified Signer (İmza Doğrulama)
Zararlılar kendilerini genellikle svchost.exe veya chrome.exe gibi meşru isimlerle gizlerler. Ancak dijital imzayı taklit etmek çok daha zordur.
İpucu: View > Select Columns > Verified Signer kutucuğunu işaretleyin. Eğer "Microsoft Windows" isminde bir süreç görüyor ama imza kısmında "(No Signature)" veya "Unable to Verify" yazıyorsa, büyük ihtimalle bir zararlı ile karşı karşıyasınız.
Olay Müdahalesinde Altın Kural: Suspend -> Dump -> Kill
Bir sistemde şüpheli veya zararlı bir süreç tespit ettiğinizde, içgüdüsel olarak "Kill Process" (Görevi Sonlandır) yapmak isteyebilirsiniz. Ancak bir uzman olarak bunu yapmamalısınız. Süreci öldürmek, bellekteki (RAM) değerli kanıtları yok eder.
Doğru müdahale zinciri şu şekilde olmalıdır:
Suspend (Dondur): Süreci sağ tıklayıp Suspend diyerek duraklatın. Bu, zararlının iletişimini ve yayılmasını durdurur ancak bellekteki varlığını korur.
Create Dump (Döküm Al): Süreç askıdayken sağ tıklayıp Create Dump > Create Full Dump seçeneğini kullanın. Bu işlem, RAM'deki veriyi bir dosyaya yazar. Bu döküm dosyası daha sonra debugger'lar ile analiz edilerek zararlının amacı, bağlantı kurduğu C2 sunucuları veya şifreleme anahtarları (Ransomware vakalarında) tespit edilebilir.
Kill (Sonlandır): Kanıtı güvene aldıktan sonra artık süreci sonlandırabilirsiniz.
Process Explorer, sadece bir görev yöneticisi alternatifi değil, Windows Internals dünyasına açılan bir kapıdır. Renk kodlarını okumayı öğrenmek, imza doğrulamalarını rutin hale getirmek ve doğru müdahale zincirini (Suspend-Dump-Kill) uygulamak, siber savunma hattınızı reaktif bir yapıdan proaktif bir yapıya taşıyacaktır.
yazar: Asrın Haktan Şahin