일 | 월 | 화 | 수 | 목 | 금 | 토 |
---|---|---|---|---|---|---|
1 | 2 | 3 | 4 | 5 | 6 | 7 |
8 | 9 | 10 | 11 | 12 | 13 | 14 |
15 | 16 | 17 | 18 | 19 | 20 | 21 |
22 | 23 | 24 | 25 | 26 | 27 | 28 |
29 | 30 | 31 |
- 디지털포렌식 with CTF
- 윈도우 프로세스
- pythonchallenge
- CTF-D
- 는 하지마...
- memory
- 슬퍼유
- 24시간의 전사
- 정보처리기사 필기 합격
- N0Named
- html
- vinetto
- 네트워크관리사2급
- 디지털포렌식
- 2022시작
- blkls
- 생활코딩 html
- 네트워크 보안
- 포렌식
- Multimeida
- 실기
- Window process
- ftz
- 윈도우 프로세스 종류
- disk
- Multimedia
- slack space
- ZIP 파일구조
- 생활코딩
- network
- Today
- Total
ssoL2 TISTORY
Window process 정리 본문
정리하기 위한 목적 : Volatility로 프로세스를 분석하다보면 대부분 윈도우 환경에서의 메모리 덤프였다. 매번 다른 메모리 덤프 이미지를 분석하면서도 반복적으로 나오는 윈도우 관련 시스템 프로세스가 존재하는데 해당 프로세스의 부모-자식 관계나 어떤 역할을 하는 프로세스인지를 잘 모르기 때문에 윈도우 프로세스 종류를 정리함으로써 수상한 프로세스를 더 빠르게 잡아내기 위함이다.
1. csrss.exe
- Clinet Server Runtime SubSystem의 약자로, 윈도우 시스템에 기본으로 동작되는 프로세스이다.
- 클라이언트 요청에 대한 작업자 thread를 만들거나 삭제하고, 16 bit 가상 MS-DOS의 일부를 구현하는 역할을 하는 마이크로소프트 클라이언트 서버 런타임이다.
- 중요 프로세스이기에 임의로 종료하거나 제거하면 시스템에 치명적인 오류가 발생할 수 있다.
2. wininit.exe
- Windows Initialization의 약자로, 윈도우 초기화 프로세스를 실행하는 매우 중요한 코어 프로그램이다.
- 윈도우에 필요한 기초적 백그라운드 프로세스를 시작한다.
- 이것도 중요 프로세스이기에 임의로 종료하거나 제거하면 시스템에 치명적인 오류가 발생할 수 있다.
3. services.exe
- Service control Manager의 약자로, 시스템 서비스들을 시작/정지시키고 그들 간의 상호작용 기능을 수행한다.
- 부팅 시 혹은 사용자 요구 시 각종 드라이버와 서비스를 로드한다.
- 부모 프로세스 : wininit.exe
4. dllhost.exe
- 윈도우 운영체제에서 여러 파일을 실행하는 단일 파일에 저장된 코드 블록인 Dynamic Link Library Host를 실행한다.
- COM+를 기반으로 사용하는 응용프로그램을 관리하는 역할을 한다.
- 강제로 종료해도 시스템 상 큰 문제는 없으나 관련 응용 프로그램이 정상적으로 실행되지 않을 우려가 있다.
- dllhost.exe는 수많은 바이러스나 악성코드 감염의 타겟이 되는 프로세스이다. (조심!)
(COM은 한마디로 객체 지향적 모듈 개발이라고 설명할 수 있다.)
- 부모 프로세스 : services.exe
5. svchost.exe
- Service Host Process의 약자로, DLL(Dynamic Link Library)에 의해 실행되는 각종 서비스를 제어한다.
- 윈도우 부팅 시 레지스트리의 서비스 부분을 검사한다.
- 한 시스템에 여러 개의 svchost.exe가 존재한다.
- 부모 프로세스 : services.exe
6. msdtc.exe
- Distributed Transaction Coordinator의 약자로, 웹서버 및 SQL 서버 구동 시에 다른 서버와의 연동을 위한 프로세스이다.
- 부모 프로세스 : services.exe
7. dwm.exe
- Desktop Windows Manager의 약자로, 윈도우 바탕화면이나 창의 각종 시각적 효과 및 색상 등을 담당하는 프로세스이다.
- 데스크톱 창 관리자이다.
- 윈도우즈의 중요한 프로세서이므로 삭제하면 안된다.
- 부모 프로세스 : svchost.exe
8. taskhost.exe
- 윈도우에서 호스트로 모든 DLL 기반 서비스를 실행하는 데 사용되며 svchost.exe와 기능면에서 유사하다.
- 윈도우에서 'Task'를 시작하는 프로세스이다.
('Task'는 정해진 시간과 타이밍(시작하거나 로그온 시 등)에 시작되는 프로세스이다.)
- 부모 프로세스 : services.exe
9. spoolsv.exe
- printer Spooler Service의 약자로, 프린터와 팩스의 스풀링 기능을 담당하는 프로세스이다.
(스풀링이란, 주변장치와 중앙처리장치의 처리 속도 차이에 의한 대기시간을 줄이기 위한 기법이다.)
- 부모 프로세스 : services.exe
10. sppsvc.exe
- Software Protection Platform Service의 약자로, 윈도우에서 응용 프로그램의 디지털 저작권을 관리하는 프로세스이다.
- Window 7부터 생긴 서비스로, Win10에서는 상술한 디지털 라이선스를 이용하여 인증 유도 및 복제 방지를 담당한다.
- 부모 프로세스 : services.exe
11. SearchIndexer.exe
- 윈도우에서 파일을 미리 검색하고 색인하는 윈도우 서비스 프로세스이다.
- 부모 프로세스 : services.exe
12. lsass.exe
- Local Security Authetication Server의 약자로, winlogon 서비스에 필요한 인증 프로세스이다.
- 보안 정책 적용을 담당하고 있는 프로세스이다. (패스워드 변경, access token 생성, 사용자 인증 등)
- 악성코드가 자주 사용하는 이름 중 하나이므로 조심!
- 부모 프로세스 : wininit.exe
13. lsm.exe
- Local Session Manager Service의 약자로, 로컬 세션 메니서 서비스로 윈도우 시스템의 일부이다.
- Win7과 Vista에서 발견할 수 있고, 호스트 기기로의 터미널 서버 연결을 관리한다.
- 윈도우의 중요 코어 프로세스이다.
- 부모 프로세스 : wininit.exe
14. System
- 대부분의 커널 모드 thread의 시작점이 되는 프로세스이다.
- 각각의 프로세서에서 작동되는 싱글 thread로, 시스템이 다른 thread를 처리하고 있지 않을 때 프로세서 타임 측정에 쓰이는 프로세스이다.
15. smss.exe
- Session Manager SubSystem의 약자로, 사용자 세션을 시작하는 기능을 담당하는 프로세스이다.
- winlogon과 Win32(csrss.exe)를 구동시키고, 시스템 변수를 설정한다.
- winlogon과 Win32(csrss.exe)가 끝날 때까지 기다리고, 종료 시 시스템을 종료시킨다.
- 부모 프로세스 : System
16. explorer.exe
- 윈도우 운영체제의 그래픽 셸 관리자인 윈도우 프로그램 관리자 또는 윈도우 탐색기를 실행한다.
- 윈도우의 적절한 기능을 수행하는 데 필수적인 시스템 구성 요소이다.
- 작업표시줄, 바탕 화면과 같은 사용자 셸을 지원한다.
17. mstsc.exe
- Microsoft Terminal Service Clinet는 원격 관리 서비스 프로세스이다.
- 윈도우 환경에서 터미널 서비스 클라이언트를 여는 실행 파일로, 원격 데스크톱 연결 시 사용된다.
- 부모 프로세스 : explorer.exe
18. winlogon.exe
- Windows Logon Process의 약어로, 사용자 로그온/로그오프를 담당하는 프로세스이다.
- 윈도우 시작/종료 시에 활성화되며 단축키 [CTRL]+[ALT]+[DEL]을 눌러도 활성화된다.
- 윈도우 로그온 화면에서 SAS(Secure Attention Sequence) 키 조합을 담당한다.
(SAS는 로그인 화면을 보여주는 특별한 기 조합이다)
출처
https://gbworld.tistory.com/1420
https://caskers.tistory.com/593
https://blog.naver.com/PostView.nhn?blogId=ster098&logNo=221971797915
https://gbworld.tistory.com/1422
https://securitynewsteam.tistory.com/entry/taskhost%EB%9E%80
'sec > forensic' 카테고리의 다른 글
ZIP 파일 구조 (0) | 2021.05.22 |
---|---|
2차원 바코드의 종류 (0) | 2021.05.22 |
Ubuntu 20.04에 volatility 설치 (0) | 2021.05.20 |
JPEG 구조 파악하기 (0) | 2021.05.06 |
QR 코드 인식 (0) | 2021.05.06 |