본문 바로가기
푸닥거리

Windows 주요프로세스

by [김경민]™ ┌(  ̄∇ ̄)┘™ 2020. 9. 14.
728x90

[lass.exe]

 

Local Security Authority Subsystem Services

•보안정책적용을담당하고있는프로세스

•패스워드변경, access tokens 생성, 사용자인증등을담당

•악성코드가자주사용하는이름중하나

 

Anomalies

•실행이미지의경로가%systemroot%\system32 가아닌경우.

•자식process 를가지고있는경우•프로세스시작시간이시스템부팅시간과동떨어진경우

•CPU 점유율이과도하게높은경우

 

[svchost.exe]

 

프로세스의목적및기능

•Service  host

•동적라이브러리(DLL) 에서실행되는윈도우의각종서비스를제어.

•윈도우부팅시레지스트리의서비스부분을검사.

•로드해야할서비스의대상, 위치, 시작되는방법파악

 

실행파일의경로

•C:\windows\system32

 

Anomalies

•윈도우서비스와관련이없는경우

•부모프로세스가services.exe 가아닌경우

•이미지파일의위치가%systemroot%\system32 와다른경우

•비슷한이름으로위장하는경우(scvhost.exe,  svchosts.exe 등)

 

•Windows  Service  Host Process

•윈도우내주요서비스를호스팅하는역할

•모든시스템에항상존재하고, 보통여러개의인스턴스가동시에실행되기때문에악성코드은닉에많이악용

 

의심스러운svchost.exe

•rogue  name

scvhost.exe, svchosts.exe,svch0st.exe etc...

 

•부모프로세스가services.exe가아닌경우

•호스팅하는프로세스가없는경우.커맨드라인파라미터를통해확인가능.

•은닉되어있는경우

  

[csrss.exe]

 

프로세스의목적및기능

•Client  Server  Runtime  process

•smss.exe 에로드

•각각의프로그램들이win32  API 를호출할때, 운영체제의커널이응답하도록중계

•프로세스나스레드의생성및삭제

•윈도우콘솔에서명령을호출할수있게함

 

실행파일의경로

•C:\windows\system32

 

부모프로세스

•smss.exe

 

[smss.exe]

 

프로세스의목적및기능

•Session Manager Subsystem 

•동적라이브러리(DLL) 에서실행되는윈도우의각종서비스제어

•윈도우부팅시레지스트리의서비스부분검사

•로드해야할서비스의대상, 위치, 시작되는방법파악

 

실행파일의경로

•C:\windows\system32

 

Anomalies

•부모프로세스가시스템프로세스(PID  4) 가아닌경우

•자식프로세스가winlogon.exe 가아닌경우

•일반유저프로세스보다PID 가높은숫자를가지는경우

•실행파일의경로가%systemroot%\system32 가아닌경우

 

[services.exe]

 

프로세스의목적및기능

•Service  Control  Manager

•서비스콘솔안의프로세스를실행시키거나종료

•부팅시또는사용자가요구시각종드라이버와서비스로드

•현재실행중인서비스와드라이버정보및상태유지

•유지된정보를통해다른서비스와사용자의요구에응답

 

실행파일의경로

•C:\windows\system32

 

부모프로세스

•winlogon.exe

 

[winlogon.exe]

 

프로세스의목적및기능

•윈도우로그온화면에서SAS 키조합담당

•SAS (Secure  Attention Sequence) 는로그인화면을보여주는특별한키조합

•계정아이디와패스워드가일치하는지여부파악

•로그온이이뤄지면사용자프로필및환경설정로드

•화면보호기가작동시PC 를잠그는일을담당

 

실행파일의경로

•C:\windows\system32

 

자식및부모프로세스

•services.exe  (자식프로세스)

•smss.exe (부모프로세스)

 

[userinit.exe]

 

프로세스의목적및기능

•부팅후시작버튼및트레이, 작업표시줄등을로드

•윈도우사용자쉘인explorer.exe 를호출

•위의작업이끝나면자동으로바로종료

 

실행파일의경로

•C:\windows\system32Anomalies

•시스템부팅후어느정도시간이지났음에도남아있는경우

•실행파일의경로가%systemroot%\system32 가아닌경우  

Windows 주요프로세스

 

728x90

'푸닥거리' 카테고리의 다른 글

chrome 에서 css 비활성화하기  (0) 2020.09.29
Please submit a new appeal and make sure that the link is publicly browsable  (0) 2020.09.15
IIS에서 apk 파일 다운로드 가능하도록 설정  (0) 2020.09.14
딥러닝을 활용한 이미지 처리  (0) 2020.08.08
데이터 분석 라이브러리  (0) 2020.07.30

관련글

댓글

티스토리툴바