csrss.exe (Sous-système d’exécution du serveur client)

  • Fonction: Un processus critique et central de Windows, responsable de la gestion des fenêtres de la console (comme l’invite de commande), de la création et de la suppression de threads, et de la gestion de parties du sous-système graphique. En raison de ses opérations de bas niveau, sa mémoire contient souvent des chemins logés des fichiers exécutés () et des bibliothèques chargées ()..exe.dll

  • Problèmes d’accessibilité : En tant que processus système protégé, accéder à la mémoire nécessite souvent des privilèges administrateur et activé le pilote en mode noyau dans System Informer. Les logiciels antivirus peuvent parfois interférer, et l’accès peut être restreint sur des systèmes fortement verrouillés ou des versions spécifiques de Windows. Il y a généralement deux cas de course.csrss.execsrss.exe

  • Logique de filtrage (Multiples instances) : En analysant les deux cas :csrss.exe

    • Pour trouver les fichiers exécutés (avec des extensions standards), concentrez l’analyse sur l’instance avec moins d’octets privés..exe

    • Pour trouver des fichiers chargés/injectés OU des fichiers avec des extensions usurpées/modifiées, concentrez-vous sur l’instance avec plus d’octets privés..dll.exe

  • Motifs de recherche courants (Regex, insensible à la majuscule) :

    • ^[A-Z]:\\.+.exe$: Trouve des chemins complets se terminant spécifiquement par . Principalement utilisé sur l’instance avec moins d’octets privés..exe

    • ^[A-Z]:\\.+.dll$: Trouve des chemins complets se terminant spécifiquement par . Principalement utilisé sur l’instance avec plus d’octets privés. Crucial pour détecter les injections DLL standard. Faites une attention particulière aux DLL non signés trouvés avec ce schéma..dll

    • ^(?:\\\\\?\\)?[A-Za-z]:\\.+$: Un schéma plus large pour trouver des chemins complets avec ou aucune extension. Utile sur l’instance avec plus d’octets privés lors de la recherche d’exécutables déguisés par de fausses extensions (par exemple, , ) ou des fichiers sans extension lancés via des méthodes spécifiques. Ça peut aussi aider à trouver des DLL..tmp.png

Précédentexplorer.exe (Explorateur Windows)SuivantService PlugPlay (parfois affiché sous DCOMLaunch)

Mis à jour