Window process 정리

정리하기 위한 목적 : Volatility로 프로세스를 분석하다보면 대부분 윈도우 환경에서의 메모리 덤프였다. 매번 다른 메모리 덤프 이미지를 분석하면서도 반복적으로 나오는 윈도우 관련 시스템 프로세스가 존재하는데 해당 프로세스의 부모-자식 관계나 어떤 역할을 하는 프로세스인지를 잘 모르기 때문에 윈도우 프로세스 종류를 정리함으로써 수상한 프로세스를 더 빠르게 잡아내기 위함이다.

 

 

 

1. csrss.exe

- Clinet Server Runtime SubSystem의 약자로, 윈도우 시스템에 기본으로 동작되는 프로세스이다.

- 클라이언트 요청에 대한 작업자 thread를 만들거나 삭제하고, 16 bit 가상 MS-DOS의 일부를 구현하는 역할을 하는 마이크로소프트 클라이언트 서버 런타임이다.

- 중요 프로세스이기에 임의로 종료하거나 제거하면 시스템에 치명적인 오류가 발생할 수 있다.

 

 

2. wininit.exe

- Windows Initialization의 약자로, 윈도우 초기화 프로세스를 실행하는 매우 중요한 코어 프로그램이다.

- 윈도우에 필요한 기초적 백그라운드 프로세스를 시작한다.

- 이것도 중요 프로세스이기에 임의로 종료하거나 제거하면 시스템에 치명적인 오류가 발생할 수 있다.

 

 

3. services.exe 

- Service control Manager의 약자로, 시스템 서비스들을 시작/정지시키고 그들 간의 상호작용 기능을 수행한다.

- 부팅 시 혹은 사용자 요구 시 각종 드라이버와 서비스를 로드한다.

- 부모 프로세스 : wininit.exe

 

 

4. dllhost.exe

- 윈도우 운영체제에서 여러 파일을 실행하는 단일 파일에 저장된 코드 블록인 Dynamic Link Library Host를 실행한다.

- COM+를 기반으로 사용하는 응용프로그램을 관리하는 역할을 한다.

- 강제로 종료해도 시스템 상 큰 문제는 없으나 관련 응용 프로그램이 정상적으로 실행되지 않을 우려가 있다.

- dllhost.exe는 수많은 바이러스나 악성코드 감염의 타겟이 되는 프로세스이다. (조심!)

(COM은 한마디로 객체 지향적 모듈 개발이라고 설명할 수 있다.)

- 부모 프로세스 : services.exe

 

 

5. svchost.exe

- Service Host Process의 약자로, DLL(Dynamic Link Library)에 의해 실행되는 각종 서비스를 제어한다.

- 윈도우 부팅 시 레지스트리의 서비스 부분을 검사한다.

- 한 시스템에 여러 개의 svchost.exe가 존재한다.

- 부모 프로세스 : services.exe

 

 

6. msdtc.exe

- Distributed Transaction Coordinator의 약자로, 웹서버 및 SQL 서버 구동 시에 다른 서버와의 연동을 위한 프로세스이다.

- 부모 프로세스 : services.exe

 

 

7. dwm.exe

- Desktop Windows Manager의 약자로, 윈도우 바탕화면이나 창의 각종 시각적 효과 및 색상 등을 담당하는 프로세스이다.

- 데스크톱 창 관리자이다.

- 윈도우즈의 중요한 프로세서이므로 삭제하면 안된다.

- 부모 프로세스 : svchost.exe

 

 

8. taskhost.exe

- 윈도우에서 호스트로 모든 DLL 기반 서비스를 실행하는 데 사용되며 svchost.exe와 기능면에서 유사하다.

- 윈도우에서 'Task'를 시작하는 프로세스이다.

('Task'는 정해진 시간과 타이밍(시작하거나 로그온 시 등)에 시작되는 프로세스이다.)

- 부모 프로세스 : services.exe

 

 

9. spoolsv.exe

- printer Spooler Service의 약자로, 프린터와 팩스의 스풀링 기능을 담당하는 프로세스이다.

(스풀링이란, 주변장치와 중앙처리장치의 처리 속도 차이에 의한 대기시간을 줄이기 위한 기법이다.)

- 부모 프로세스 : services.exe

 

 

10. sppsvc.exe

- Software Protection Platform Service의 약자로, 윈도우에서 응용 프로그램의 디지털 저작권을 관리하는 프로세스이다.

- Window 7부터 생긴 서비스로, Win10에서는 상술한 디지털 라이선스를 이용하여 인증 유도 및 복제 방지를 담당한다.

- 부모 프로세스 : services.exe

 

 

11. SearchIndexer.exe

- 윈도우에서 파일을 미리 검색하고 색인하는 윈도우 서비스 프로세스이다.

- 부모 프로세스 : services.exe

 

 

12. lsass.exe

- Local Security Authetication Server의 약자로, winlogon 서비스에 필요한 인증 프로세스이다.

- 보안 정책 적용을 담당하고 있는 프로세스이다. (패스워드 변경, access token 생성, 사용자 인증 등)

- 악성코드가 자주 사용하는 이름 중 하나이므로 조심!

- 부모 프로세스 : wininit.exe

 

 

13. lsm.exe

- Local Session Manager Service의 약자로, 로컬 세션 메니서 서비스로 윈도우 시스템의 일부이다.

- Win7과 Vista에서 발견할 수 있고, 호스트 기기로의 터미널 서버 연결을 관리한다.

- 윈도우의 중요 코어 프로세스이다.

- 부모 프로세스 : wininit.exe

 

 

14. System

- 대부분의 커널 모드 thread의 시작점이 되는 프로세스이다.

- 각각의 프로세서에서 작동되는 싱글 thread로, 시스템이 다른 thread를 처리하고 있지 않을 때 프로세서 타임 측정에 쓰이는 프로세스이다.

 

 

15. smss.exe

- Session Manager SubSystem의 약자로, 사용자 세션을 시작하는 기능을 담당하는 프로세스이다. 

- winlogon과 Win32(csrss.exe)를 구동시키고, 시스템 변수를 설정한다.

- winlogon과 Win32(csrss.exe)가 끝날 때까지 기다리고, 종료 시 시스템을 종료시킨다.

- 부모 프로세스 : System

 

 

16. explorer.exe

- 윈도우 운영체제의 그래픽 셸 관리자인 윈도우 프로그램 관리자 또는 윈도우 탐색기를 실행한다.

- 윈도우의 적절한 기능을 수행하는 데 필수적인 시스템 구성 요소이다.

- 작업표시줄, 바탕 화면과 같은 사용자 셸을 지원한다.

 

 

17. mstsc.exe 

- Microsoft Terminal Service Clinet는 원격 관리 서비스 프로세스이다.

- 윈도우 환경에서 터미널 서비스 클라이언트를 여는 실행 파일로, 원격 데스크톱 연결 시 사용된다.

- 부모 프로세스 : explorer.exe

 

 

18. winlogon.exe

- Windows Logon Process의 약어로, 사용자 로그온/로그오프를 담당하는 프로세스이다.

- 윈도우 시작/종료 시에 활성화되며 단축키 [CTRL]+[ALT]+[DEL]을 눌러도 활성화된다.

- 윈도우 로그온 화면에서 SAS(Secure Attention Sequence) 키 조합을 담당한다.

(SAS는 로그인 화면을 보여주는 특별한 기 조합이다)

 

 

 

 

 

 

출처

https://gbworld.tistory.com/1420

https://caskers.tistory.com/593

https://blog.naver.com/PostView.nhn?blogId=ster098&logNo=221971797915

https://gbworld.tistory.com/1422

https://itfix.tistory.com/404

https://securitynewsteam.tistory.com/entry/taskhost%EB%9E%80