Sans Evil - process structure

윈도우의 주요 프로세스 설명 및 구조

 

출처: https://www.sans.org/posters/hunt-evil/

 

 

1. system 

커널 모드 스레드를 담당함, 시스템에서 실행되는 모듈은 주로 드라이버(sys)파일 이지만 몇 가지 중요한 DLL과 커널 실행 파일인 ntoskrnl.exe도 포함됨

 

2. smss: 세션 매니저

새로운 세션을 생성하는 역할을 함

시스템 부팅 순서에서 첫번째 시작되는 사용자 모드 프로세스

원격데스크톱으로 로그인할 때 세션 생성, 부모 프로세스는 system 프로세스임

첫 번째 인스턴스는 각 새로운 세션에 대한 자식 인스턴스를 만듦

winlogon과 csrss 같은 시스템의 핵심 프로세스를 구동시키는 역할을 함

 

3. csrss

사용자 모드 프로세스가 콘솔 창, 프로세스/스레드 작성 함수를 호출할 경우 csrss 프로세스 호출, 여러 개 존재 가능

 

4. wininit

시스템 모드 프로세스로서 윈도우 초기화 담당

부모 프로세스 없으며, 단 한 개 사본만 존재함

system32 폴더에서 실행되어야 함

 

5. Services.exe

윈도우 서비스를 관리하며, wininit과 마찬가지로 단 한 개의 사본만 존재함

system32에서 실행되어야 하고 부모는 wininit 프로세스임

 

6. svchost

동시에 실행되는 다수의 프로세스를 가지고 DLL에 대한 컨테이너를 제공함

부모는 services.exe로 cmd가 부모라면 의심해야 함

실행파일 경로는 system32 

 

7. lsass.exe

로컬 보안 권한 서브시스템으로 보안정책을 강화하고 비밀번호를 검증하며 접근 토큰을 생성함

한 개의 인스턴스만 존재하고 system32에서 실행, vista 이후 부모 프로세스는 wininit임

 

8. winlogon

대화식 로그인 프롬프트 제공

부모 프로세스 없으며 system32에서 실행

 

9. explorer

각 로그인 사용자에 대해 한 개의 윈도우 탐색기 생성

사용자와의 상호작용 처리 담당

system32에서 실행

 

 

 

참고 사이트

https://m.blog.naver.com/PostView.naver?isHttpsRedirect=true&blogId=honhon20&logNo=80127556465 

[시스템 보안] Windows 주요 프로세스