Windows 주요 프로세스

보안 관점 중요 Win

• eventvwr.msc : 이벤트 뷰어
• refedit.exe : 레지스트리 편집기
• secpol.msc : 로컬 보안정책
• service.msc : 윈도우에서 기본적으로 사용하는 서비스
• gpedit.msc : 로컬 그룹 정책
• 작업관리자

HKLM (HK-Local Machine)

HKCU (HK-Current User)

HKU (HK - Users)

---

프로세스의 이해

용어의 의미

• 프로그램

  하드 디스크 등에 저장되어 있는 실행코드

• 프로세스

  연속적으로 실행되고 있는 컴퓨터 프로그램의 작은 단위

• 스레드

  프로세스에서 작업의 최소 단위

최소 하나의 프로세스에 하나의 스레드가 존재한다

• 세션

  윈도우 내에 어플리케이션이 동작하기 위해서는 실행하고 있는 세션이 필요

  윈도우의 세션은 일종의 사용자를 뜻하며 Session 0 부터 시작

  Vista이후 Sessions 0 은 단지 시스템 프로세스와 서비스 실행에서만 동작하는 공간으로 정의하고 이후 로그인 사용자에게 각 세션 번호를 부여

윈도우 주요 프로세스 (Windows 7)

System

대부분의 커널 모드 스레드를 담당

smss.exe

Session manager Process 의미

새로 생성되는 세션을 담당

csrss.exe 프로세스 시작

wininit.exe 에서 생성되는 Session 0을 초기화

winlogon.exe 에서 생성되는 Session 1 이상의 새 세션을 초기화

wininit.exe

Session 0 에서 백그라운드로 실행

services.exe , lsass.exe , lsm.exe 실행

taskhost.exe

윈도우 작업을 위한 프로세스

모든 DLL 기반 서비스나 그룹 서비스의 호스트를 제공

lsass.exe

로컬 보안 인증 서브시스템 서버 프로세스

유저의 인증을 위한 프로세스

csrss.exe

Client / Server Run-Time Subsystem 으로 윈도우 서브시스템을 위한 유저모드의 프로세스

services.exe

서비스와 작업 시케쥴을 관리하는 프로세스

svchost.exe

윈도우 서비스의 호스트 프로세스

DLL을 이용한 서비스가 실행하도록 제공

여러 개의 프로세스를 생성할 수 있음

lsm.exe

Local Session Manager

터미널 서비스, 원격 데스크 탑 등의 세션들이 효율적으로 스위칭 될 수 있는 역할 수행

smss.exe 와 같이 새로 세션이 이루어질 때 실행

winlogon.exe

사용자 계정의 로그온과 로그오프 상태를 관리하는 프로세스

explorer.exe

사용자가 파일을 접근하도록 기능을 제공하는 프로세스

iexplorer.exe

explorer 프로세스로 부터 실행된 프로세스

Windows 10 (incl. Windows 7)

• 윈도 7과 유사하나 추가적으로 주요한 프로세스가 존재

RuntimeBroker.exe

제한된 UWP (Universal Windows Platform) 앱과 전체 Windows API간의 프록시 역할을 수행

• UWP : Windows 10, Windows 10 모바일, 엑스박스원 등에서 실행할 유니버셜 앱의 개발을 돕기 위한 것

taskhostw.exe

윈도우 7에서의 taskhost.exe 와 역할이 동일하며 파일 이름만 다름

lsaiso.exe

lsass.exe 가 기능을 대부분 수행하나 계정 자격 증명을 안전하게 저장하는 중요한 역할을 할 때 사용되는 프로세스

하드웨어 가상화 기술을 통해 다른 프로세스와 분리된 컨텍스트에서 실행하여 안정성을 보장

원격 인증을 요구할 경우, RPC 채널을 사용하여 요청을 프록시 수행