) 4(System Process PID
أول حاجة::
● ده كده العمالق اللي بيشيل السيستم على كتافه 😂
. .
●
شغال جوه حاجة اسمها ( Kernel Modeيعني
بي
م الهار
والمي
ت
● ملوش برنامج منفصل بتفتحه ،ده جاي من قلب ويندوز (.)ntoskrnl.exe
● بيشتغل من أول ما بتدوس باور لحد ما تقفل الجهاز. .
● طول الوقت هتالقيه شغال بـ PID 4ومفيش منه غير نسخة واحدة بس! !
● 🚩
خلي بالك::
Session
D PI m Syste
️🛠
تاني حاجه (smss.exe (Session Manager
Subsystem
● ده أول حاجة ال Kernelبيشغلها لما الويندوز يقوم. .
● وظيفته األساسية::
s Session
(يعني
يستم
وز كل وا
في
● بيطلع عمليتين مهمين في :Session 0
○ csrss.exe
○ Wininit.exe
● و في Session1بيطلع عمليتين مهمين بردو و هما :
○ csrss.exe
○ Winlogon.exe
● بيطلع نسخة Session 0للسيستم ،ولما اليوزر يدخل ،بيطلع نسخة
.Session 1
● بعد ما يجهز السيشن و العمليات✅
ي(
Self-Terminat
n oi
n
● عشان كدا معمول باللون االزرق فالصوره عشان من بعد ما بيطلع البروسيس
ديه بيعمل .Self Terminate
● ✅
الطبيعي: :
○ Parentبتاعه. )4 System (PID ::
○ مكانه. e C:\Windows\System32\smss.ex::
● 🚩
لو شفته في مكان تاني أو لسه شغال كتير → احتمال .Malware
e csrss.exe (Client/Server Runtim::بعده بيجي
m
🖥️
Subsyste
.Threads والـConsole Windows ● مسؤول عن إدارة الـ
) .)
💀 BSOD( أي مشكلة فيه ➔ شاشة زرقة على طول،● وجوده ضروري جدًا
:csrss.exe فيه نسخة منSession ● لكل
.Session 0 → System ○ واحدة لـ
.Session 1+ →○ واحدة لكل يوزر
: :الطبيعي
✅ ●
. e smss.ex:: بتاعهParent ●
. e C:\Windows\System32\csrss.ex::● مكانه
w
mal =احتم
n
winint.exe
غر
مك
) xee.
crss غلط (زيspelling
🚩 ●
> windows Initializatio::ثم
⚙️
.Session 0 ● بيشتغل في
: :● مسؤوليته تشغيل
. . ➔ مدير السيرفيسزservices.exe ○
. . ➔ أمان السيستمlsass.exe ○
.Credentials ➔ حماية الـlsaiso.exe ○
: :الطبيعي
✅ ●
. e smss.ex:: بتاعهParent ○
. e C:\Windows\System32\wininit.ex::○ مكانه
.malware → غريبParent أوSystem32 لو مش في
🚩 ●
️🛡
بعدين>Service Contro::
Manage
l services.ex
r
● بيشغل كل سيرفيس في السيستم ،وكمان بعض الدرايفرز. .
● بيطلع تحتيه: :
○ أكتر من svchost.exeكل واحد شايل مجموعة سيرفيسز. .
● وجوده أساسي لتشغيل النظام بشكل صحيح. .
● ✅
الطبيعي: :
○ Parentبتاعه. e wininit.ex::
○ مكانه. e C:\Windows\System32\services.ex::
● 🚩
🏠
ملف مش في System32أو Parentمش → wininitمشكلة. .
بعدين>Service Host Proces::
s svchost.exe
● كل نسخة منه بتشغل مجموعة Servicesمن نفس النوع. .
● السيستم ممكن يشغل 10أو 20نسخة منه عادي حسب عدد الخدمات. .
● بيشتغل تحتيه خدمات زي: :
○ taskhostw.exe
○ Runtimebroker.exe
● ✅
الطبيعي: :
○ Parentبتاعه. e services.ex::
○ موجود في. e C:\Windows\System32\svchost.ex::
● 🚩
spellingغلط (زي scvhost
> --مالو
) xee.م
Syst
23me
🔐
بعدين عندناLocal Securit::
y lsass.exe
Authority Subsyste
● بيهندل عمليات تسجيل الدخول ،الباسوردات ،التوكينز بتاعت السيكيورتي. .
● لو وقف –> جهازك يعمل ريستارت فوري. .
● ✅
الطبيعي: :
○ Parentبتاعه. e wininit.ex::
○ مكانه. e C:\Windows\System32\lsass.ex::
● 🚩
️🛡
نسخة تانية مش من System32أو PIDغريب → خطر! !
وكمانLSA Is::
o lsaiso.exe
● Versionمحسنة من lsass.exeشغالة في Processمستقلة بحماية أكتر. .
● مسؤولة عن ( Credential Guardلو
● ✅
مفع
الطبيعي: :
○ Parentبتاعه. e wininit.ex::
○ مكانه. e C:\Windows\System32\lsaiso.ex::
● 🚩
💻👨
لو مش القيه أو طالع مع Parentغريب →خطر مالوير. .
نروح للناحية التانيةwinlogon.ex::
● بيتحكم في الـ .Logon Process
● بيطلب منك .Ctrl+Alt+Del
● بعد تسجيل الدخول ،بيشغل .userinit.exe
e
m
● ✅
الطبيعي: :
○ Parentبتاعه. e smss.ex::
○ مكانه. e C:\Windows\System32\winlogon.ex::
● 🚩
👤
ملف في غير System32أو Parentمش .smss → warning
بعدهuserinit.ex::
e
● بيشتغل بعد نجاح تسجيل الدخول. .
● مسؤوليته إنه يشغل الـ ( Shellاللي
غا
expl
e ro
● بيخلص شغله ويقفل نفسه بعد كده ( عشان كدا باللون االزرق يعني بيعمل Self
Terminateلنفسه بعد ما يعمل ال child Processبتاعته. .
● ✅
الطبيعي: :
○ Parentبتاعه. e winlogon.ex::
○ مكانه. e C:\Windows\System32\userinit.ex::
● 🚩
ملفات تانية غريبة باسمه → ُ
شك. .
️🗂
وأخيراexplorer.ex::
ً
e
● ده اللي بيعرضلك الديسك توب ,التاسك بار ،والفولدرات. .
● بيتفتح لما تسجل دخول. .
● بيعيش طول ما اليوزر شغال. .
● ✅
الطبيعي: :
○ Parentبتاعه في األول. e userinit.ex::
○ شغال من. e C:\Windows\explorer.ex::
○ يشتغل تحت اليوزر مش .SYSTEM
● 🚩
مكان ملف غريب أو Network Connectionsمش طبيعية = احتمال
مخترق. .
