PID 4, Netstat Çıktıları ve Hangi Dosyalara Erişildiğinin Tespiti

Kurumsal ağlarda dosya sunucuları hâlâ kritik öneme sahip bileşenlerdir. Kullanıcıların günlük işlemleri, paylaşılan klasör yapıları, departman dizinleri, otomasyon yazılımlarının dosya tabanlı süreçleri gibi pek çok aktivite, SMB (Server Message Block) protokolü üzerinden gerçekleşir.

Bir sistem yöneticisi olarak, dosya sunucularını incelerken karşımıza sık sık bazı sorular çıkar:

 Hangi istemci sunucuma bağlanıyor?
 Bu istemci hangi paylaşım klasörlerine erişiyor?
 Açtığı dosyalar neler?
 Bu bağlantı hangi uygulama üzerinden geliyor?
 Neden PID 4 görünüyor? bu bir problem mi? kötü amaçlı bir şey mi?

İşte bu blog yazısında, bu soruların tamamını gerçek bir örnek üzerinden adım adım ele alıyoruz.

Bir Durum İncelemesi: Netstat Çıktısında PID 4

Örnek senaryomuzda, dosya sunucusunda şu komut çalıştırılıyor:

cmd
netstat ano | findstr 10.20.30.5

Ve sonuç şu şekilde geliyor:

TCP    10.20.30.9:445    10.20.30.5:51795    ESTABLISHED     4
TCP    10.20.30.9:445    10.20.30.5:51797    ESTABLISHED     4
TCP    10.20.30.9:445    10.20.30.5:51798    ESTABLISHED     4

İlk bakışta anlamlı olan şey:
10.20.30.5, sunucuya 445 numaralı port üzerinden bağlanıyor.
Bu port, SMBv2/v3 protokollerinin standart bağlantı noktasıdır.

Dikkat çeken şey ise: PID 4.

PID 4 Neden Özel Bir PID'dir?

Windows’ta PID 4, dünyada yalnızca bir tek süreç için ayrılmıştır:

SYSTEM (NT Kernel & System Process)

Bu süreç, işletim sisteminin çekirdeğinin çalışmasını sağlar.
İçinde:

 SMB sunucusu sürücüleri
 Dosya paylaşımı bileşenleri
 NFS / CIFS işleyicileri
 Kernelmode network stack
 Windows Defender’ın bazı çekirdek eklentileri
 I/O scheduler yönetimi
 Bellek yönetiminin büyük kısmı

gibi en düşük seviyeli bileşenler vardır.

Dolayısıyla bir SMB bağlantısı geldiğinde Windows işlem tablosu şu şekilde çalışır:

 "Bu bağlantıyı kullanıcı uygulaması başlatmıyor. SMB protokolü kernel seviyesinden işleniyor. O hâlde bu bağlantı PID 4 üzerinden görünecek."

Ve bu tamamen doğru, beklenen, olağan bir durumdur.
Bir uygulamanın kötü amaçlı olduğuna işaret etmez.

SMB Trafiği Neden Kernel (PID 4) Üzerinden Yönetilir?

SMB çok sık kullanılan ve performans açısından kritik bir protokoldür. Bu nedenle Microsoft, SMBv2’den itibaren protokolü kullanıcı modundan çıkarıp kernel seviyesine taşımıştır.

Bu sayede:

 Daha düşük gecikme
 Daha hızlı dosya listeleme
 Daha az CPU kullanımı
 Yüksek yoğunluklu bağlantılarda kararlılık
 Kaya gibi sağlam bir güvenlik modeli

elde edilir.

Bu yüzden SMB bağlantısının PID 4 olarak görünmesi:

✔ Doğru
✔ Güvenli
✔ Tasarımsal bir davranıştır

> “Sunucuma bir şey mi bulaştı?”
> Hayır. Bu davranış Windows Server’ın doğal çalışma şeklidir.

10.20.30.5 Hangi Dosyalara Erişiyor?

İşte işin teknik olarak ilginç kısmı burada başlıyor.
Netstat yalnızca bağlantının olduğunu gösterir.
Ama bağlantının içeriği hakkında hiçbir şey söylemez.

Yani:

 Hangi klasör?
 Hangi dosya?
 Ne zaman açtı?
 Ne kadar süre açık kaldı?
 Kullanıcı kimliği ne?
 Okuma mı yaptı yazma mı yaptı?

Bunların hiçbirini netstat ile göremezsiniz.

Peki nasıl görürüz?

Windows Server bize bunun için çok güçlü araçlar sunuyor.

1. SMB Oturumlarını Görme – Bağlantının Kimliği

İlk adım, istemcinin sunucuda aktif bir oturumu olup olmadığını görmek:

powershell
GetSmbSession | Select ClientComputerName, ClientUserName, NumOpens

Bu komut size şunu söyler:

 10.20.30.5 şu kullanıcı ile bağlı
 Bu oturumda X adet dosya açık
 Bağlantı SMBv2 mi SMBv3 mü
 Oturum trafiği kaç MB

 2. En Kritik Adım: Açık Dosyaları Listeme – Gerçekleri Görme

Bu komut, bir istemcinin o anda hangi dosyaları açtığını birebir gösterir:

powershell
GetSmbOpenFile | WhereObject {$_.ClientComputerName eq "10.20.30.5"} |
    Select ClientComputerName, Path, ClientUserName

Bu sayede direkt olarak:

 “Hangi paylaşım klasörüne girilmiş?”
 “Hangi dosya açılmış?”
 “Okuma mı yazma mı yapılmış?”
 “Kim erişmiş?”

hepsini net bir şekilde görürüz.

Örnek bir çıktı:

ClientComputerName : 10.20.30.5
Path               : \\10.20.30.9\Shared\HR\salary.xlsx
ClientUserName     : corpintra\user1

Bu noktada artık bütün tablo netleşmiş olur:

 İstemci → 10.20.30.5
 Erişilen dosya → salary.xlsx
 Paylaşım yolu → HR
 Kullanıcı → user1

 🟧 3. Gerçek Zamanlı İzleme – ShareMonitor / Sysinternals

Eğer canlı olarak:

 kim hangi klasörü açtı,
 dosyanın adı neydi,
 paylaşımdan ne okundu ne yazıldı

görmek istiyorsanız Sysinternals’ın “ShareMonitor” aracı bunu anlık gösterir.

Her açılan dosya şöyle görünür:

10.20.30.5 opened \\10.20.30.9\Accounting\Rapor.xlsx
10.20.30.5 read   \\10.20.30.9\Shared\TaskList.docx

Ağ trafiğini canlı takip etmek, özellikle de büyük şirket ortamlarında çok değerli bir yetenektir.

İleri Seviye: Event Viewer – SMB Access Logları

Eğer SMB Audit Log aktifse:

Event Viewer → Microsoft → Windows → SMBServer → Operational

Başlıklar altında:

 3000 → File Read
 3001 → File Write
 3002 → File Create
 3003 → Directory Access

gibi ID’lerle tüm hareketler kaydedilir.

Bu loglar:

 Forensic incelemelerde
 Veri sızıntısı araştırmalarında
 Kullanıcı hareket analizlerinde

çok işe yarar.

PID 4 Görmek Normaldir, Asıl Önemli Olan Dosya Erişimlerini İzlemektir

Bir istemci dosya sunucusuna bağlandığında bağlantının PID 4 altında görünmesi tamamen olağan bir durumdur.
Bu SMB protokolünün Windows’ta kernel seviyesinde çalışmasından kaynaklanır.

Önemli olan; istemcinin hangi dosyalara eriştiğini, hangi kullanıcıyla bağlandığını, hangi klasörü açtığını doğru araçlarla tespit edebilmektir.

Bu yazıda anlattığımız araçlar:

 GetSmbSession → Oturum kimliği
 GetSmbOpenFile → Açılan dosyalar
 ShareMonitor → Canlı izleme
 SMBServer Logs → Adli inceleme

sistemin tüm resmini net şekilde görmeyi sağlar.

Aşağıya talep ettiğin üç bölümü blog yazısına ek içerik olarak hazırladım.
Hepsi profesyonel – anlaşılır – teknik olarak doğru şekilde düzenlendi.

SMB Teknik Terimler Sözlüğü (TR/EN)

SMB dünyasında sık geçen kavramların Türkçe–İngilizce karşılıkları ve kısa açıklamaları:

Bu sözlük, blog yazına ayrı bir bölüm olarak eklenebilir.

SMBv2 ve SMBv3 Arasındaki Farklar (Detaylı Tablo)

SMBv2 → Windows Vista/Server 2008 ile geldi
SMBv3 → Windows 8/Server 2012 ile geldi

Aşağıdaki tablo, iki sürüm arasındaki farkları net şekilde ortaya koyar:

SMBv3, hem hız hem güvenlik hem dayanıklılık açısından en ideal sürümdür.
Günümüz sunucularında SMBv1 kapalı, SMBv2/3 açık olarak çalışması önerilir.

Powershell ile Otomatik SMB İzleme Scripti

Aşağıdaki script, belirli bir istemci IP adresinin (ör: 10.1.0.24) hangi dosyalara eriştiğini otomatik izler, her 10 saniyede bir kontrol eder ve log kaydı oluşturur.

Script Özellikleri

✔ Hangi dosyalara erişildiğini bulur
✔ Kullanıcı bilgisiyle birlikte log’a yazar
✔ Tarih-saat damgası ekler
✔ Gerçek zamanlı takip sağlar
✔ Log dosyasını CSV olarak üretir

smb-monitor.ps1 — Otomatik SMB Dosya Erişim İzleme Scripti

# ============================
# SMB Otomatik İzleme Scripti
# ============================

$TargetIP = "10.1.0.24"         # İzlenecek istemci IP
$LogFile = "C:\SMB_Logs\smb_log.csv"

# Log dosyası yoksa oluştur
if (-Not (Test-Path $LogFile)) {
    "Timestamp,ClientIP,User,FilePath" | Out-File -FilePath $LogFile -Encoding utf8
}

Write-Host "SMB izleme başlatıldı... IP: $TargetIP" -ForegroundColor Green
Write-Host "Log dosyası: $LogFile"

while ($true) {

    $files = Get-SmbOpenFile | Where-Object {
        $_.ClientComputerName -eq $TargetIP
    }

    foreach ($file in $files) {
        $timestamp = (Get-Date).ToString("yyyy-MM-dd HH:mm:ss")
        $entry = "$timestamp,$($file.ClientComputerName),$($file.ClientUserName),$($file.Path)"

        # Log kaydını yaz
        Add-Content -Path $LogFile -Value $entry

        Write-Host "[KAYIT] $entry" -ForegroundColor Yellow
    }

    Start-Sleep -Seconds 10  # Her 10 saniyede bir kontrol et
}

Kullanım Talimatı

1. Scripti bir dosyaya kaydet:

C:\Scripts\smb-monitor.ps1

2. Log klasörü oluştur:

mkdir C:\SMB_Logs

3. Scripti çalıştır:

powershell -ExecutionPolicy Bypass -File C:\Scripts\smb-monitor.ps1

4. Log dosyasına bak:

C:\SMB_Logs\smb_log.csv

Her satırda şunlar olacak:

2025-12-03 16:22:10,10.1.0.24,corpintra\user1,\\10.1.0.9\Shared\Finance\budget.xlsx