csrss.exe (Client/Server Runtime SubSystem, Win32)
- 윈도우 콘솔 관장, 스레드 생성/삭제, 32비트 가상 MS-DOS 모드 지원
explorer.exe
- 작업 표시줄, 바탕 화면과 같은 사용자 셀을 지원
lsass.exe (Local Security Authentication Server)
- winlogon 서비스에 필요한 인증 프로세스 담당
mstask.exe (Window Task Scheduler)
- 시스템에 대한 백업이나 업데이트 등에 관련된 작업의 스케줄러
smss.exe (Session Manager System)
- 사용자 세션을 시작, Winlogon/Win32(csrss.exe) 구동, 시스템 변수 설정, Winlogon이나 csrss가 끝나기를 기다려 정상적인 Winlogon과 csrss 종료 시 시스템을 종료
Spoolsv.exe (Printer Spooler Service)
- 프린터와 팩스의 스풀링 기능을 담당
Service.exe (Service Control Manager)
- 시스템의 서비스들을 시작/정지, 서비스들간 상호작용 기능 수행
System
- 대부분의 커널 모드 스레드의 시작점이 되는 프로세스
System Idle Process
- 각 CPU마다 하나씩 실행되는 스레드로서 CPU의 잔여 프로세스 처리량을 %로 표시
winlogon.exe (Windows Logon Process)
- 사용자 로그온/로그오프를 담당, 윈도우 시작/종료시에 활성화
단축키<Ctrl + Alt + Del>
taskmgr.exe (task manager)
- 작업 관리자 자식
winmgmt.exe (Window Manager Service)
- 장치들에 대한 관리/계정관리, 네트워크 등의 동작에 관련된 스크립트를 위한 프로세스
msdtc.exe (Distributed Transaction Coordinator)
- 웹 서버 및 SQL 서버 구동 시 다른 서버와의 연동을 위한 프로세스
ctfmon.exe (Alternative User Input Services)
- 키보드, 음성, 손으로 적은 글 등 여러 가지 텍스트 입력에 대한 처리를 할 수 있도록 지원
dfssvc.exe
- 분산 파일 시스템(DFS, Distributed File System)에 대한 지원을 위해 백그라운드로 실행되는 프로세스
Wininit.exe
- 코어 시스템 프로세스, 백그라운드 프로세서
Svchost.exe
- 동적 연결 라이브러리(DLL)에서 실행되는 서비스의 일반 호스트 프로세스 이름
- 저장 위치: %SystemRoot%\System32
- Svchost.exe 정보: HKLM/Software/Microsoft/WindowsNT/CurrentVersion/Svchost
'Forensics > 정리자료' 카테고리의 다른 글
| EPROCESS_2017_04_17 (0) | 2017.04.17 |
|---|---|
| 핸들과 DLL_2017_04_17 (0) | 2017.04.17 |
| Live Response 명령어 (0) | 2017.04.17 |
| 커널(Kernel)_2017_4_17 (0) | 2017.04.17 |
| 윈도우즈 구조_2017_04_17 (0) | 2017.04.17 |
