Buscar este blog

jueves, 15 de enero de 2015

Seguridad en el arranque de Windows. Parte 2 de 9


 

En el post de hoy continuaremos con la cadena de artículos sobre seguridad en el arranque de Windows, tratando el paso 1 de 8 dentro de nuestra clasificación y que se corresponde con el inicio del proceso Session Manager.

Session Manager, o smss.exe, siglas que toma del nombre en inglés Session Management SubSystem, es el proceso que levanta los modos del núcleo y de usuario del subsistema Win32. Este subsistema incluye, entre otros, win32k.sys (kernel), winsrv.dll (usuario), y csrss.exe (usuario). Podemos verlo en la siguiente clave de registro:
  • HKLM\System\CurrentControlSet\Control\Session Manager\SubSystems




El modo usuario es el modo menos privilegiado de funcionamiento del sistema operativo, sin acceso directo al hardware. Para acceder a los recursos del sistema, procede a través de APIs, utilizando su propio espacio de dirección.  Por el contrario, el modo kernel es el modo más privilegiado y con privilegios totales sobre la memoria y los recursos hardware.

El ejecutable smss.exe podemos encontrarlo en "C:\Windows\System32\smss.exe". En ocasiones el malware se aprovecha de este proceso para ocultarse e iniciarse de manera automática, por ello, es uno de los posibles puntos de análisis durante la localización de software malicioso. 

Session Manager es el encargado de crear las variables de entorno y los archivos de paginación de la memoria virtual.

Además arranca winlogon.exe, el gestor de inicio de sesión de Windows y que trataremos más adelante en esta cadena.