Windows : Mengenal Proses Default yang Berjalan Pada sistem Operasi Windows

Jika anda adalah pengguna Windows, maka berurusan dengan virus, worms dan trojan bukanlah hal yang aneh lagi. Salah satu cara untuk mengetahui adanya virus atau malware lainnya, adalah dengan melihat proses yang bekerja saat ini. Untuk menampilkan proses pada Windows bisa dilakukan dengan cara mengetikan perintah “taskmgr” pada menu run atau command prompt (cmd), kemudian pilih tab process.

Tidak mudah menentukan apakah proses yang berjalan itu adalah virus (malware) atau bukan. Beberapa virus menyamarkan dirinya dalam proses-proses yang secara default berjalan pada Windows. Meskipun demikian tidak ada salahnya juga kita mengetahui proses-proses apa saja yang secara default berjalan pada Windows. Beberapa proses tersebut adalah : 

1. csrss.exe. csrss atau Client/Server Run-time SubSystem adalah subsistem penting yang harus selalu jalan setiap saat. Csrss memberikan dukungan untuk teks windows, proses shutdown, dan penanganan hard-error pada lingkungan subsistem Windows NT.

2. Explorer.exe adalah GUI (Graphical User Interface) dari Windows yang sering kita lihat berupa taskbar dan lingkungan desktop. Dengan explorer.exe, pengguna dapat membuka dokumen dan aplikasi dari berbagai macam icons dan menu-menu Windows.

3. Lsass.exe proses ini membantu menangani administrasi keamanan pada lokal komputer, termasuk akses dan permisi dari pengguna. Proses ini bertanggung jawab untuk autentikasi user ke layanan Winlogon dan dibagi oleh layanan netlogon

4. Mstask.exe adalah layanan tugas penjadwalan. Bertanggung jawab untuk menjalankan tugas pada waktu yang sudah ditentukan oleh pengguna.

5. Services.exe adalah proses Windows Service Control Manager, yang bertanggung jawab untuk memulai dan menghentikan layanan sistem dan bekerja dengan mesin Windows lainnya pada jaringan untuk mengelola daftar sumber daya yang tersedia saat ini.

6. Smss.exe atau singkatan dari Session Manager SubSystem bertanggung jawab untuk memulai session dari pengguna. Smss di inisiasi oleh thread sistem dan bertanggungjawab untuk setiap aksi, termasuk menjalankan Winlogon dan proses Win32 (Csrss.exe) dan melakukan pengaturan variable sistem.

7. Spoolsv.exe adalah proses layanan Windows Spooler dan bertanggung jawab untuk pengelolaan dari proses printing dan fax

8. Svchost.exe adalah proses umum (generic) yang berfungsi sebagai host untuk proses lain yang berjalan dari DLLs; oleh karena itu, jangan heran jika ada lebih dari satu proses untuk entry ini.

9. System. Proses ini membolehkan thread sistem kernel-mode berjalan sebagai proses sistem

10. System Idle Process. Proses ini adalah thread tunggal yang berjalan pada setiap processor.  Fungsi satu-satunya dari proses ini adalah menghitung waktu processor ketika sistem tidak memproses thread lainnya.

Demikianlah beberapa proses yang secara default berjalan pada Windows. Ada beberapa proses lainnya yang tidak disebutkan disini. Seperti disebutkan sebelumnya, mengetahui proses default yang berjalan pada Windows bukan berarti bahwa proses lain yang tidak ada pada bahasan diatas adalah sebuah virus/malware. Untuk menentukan apakah sebuah proses itu adalah virus/malware hanya bisa dilakukan dengan menggunakan antivirus/antimalware atau virus removal tools.

Apabila ternyata proses-proses tadi telah disisipi virus atau virus telah menyamar menjadi proses-proses tadi, dan secara tidak sengaja terhapus oleh virus removal tools atau antivirus, maka untuk mengembalikannya coba gunakan utilitas sfc pada menu command prompt (cmd). Ketikan perintah sfc /scannow untuk melakukan proses scanning jika ada file yang rusak/hilang dari sistem Windows, jangan lupa siapkan CD installernya. Selamat mencoba

ref : Incident Response : Computer Forensic Toolkit karangan Douglas Schweitzer

Updated: August 28, 2012 — 1:22 pm

Leave a Reply

Your email address will not be published. Required fields are marked *