Basic Security/_System2007.01.07 10:30
윈도우 주요 프로세스

보통 윈도우를 처음 설치하고 <Ctrl+Alt+Del>를 이용해 작업관리자를 확인해 보면 18~20개 정도의 프로세스가 수행되고 있음을 알 수 있다. 이는 윈도우를 동작하기 위한 주요 프로세스들이다.

이러한 프로세스는 윈도우를 동작시키기 위한 주요 프로세스 들로 각각의 프로세스 들이 어떠한 기능을 수행하는지 알아둘 필요가 있다.

사용자 삽입 이미지

Task Manager



alg.exe(Application Layer Gateway Service)

- 인터넷 연결 공유 응용프로그램과 윈도우즈 XP에 대한 인터넷 연결 방화벽 일부이다. 이 서비스는 인터넷 연결 공유 응용프로그램과 인터넷 연결 방화벽에 대한 third party 프로토콜 플러그인들을 지원한다.

ctfmon.exe(Alternative User Input Services)

- 키보드, 음성, 손으로 적은 글 등 여러 가지 텍스트 입력에 대한 처리를 할 수 있도록 지원하는 프로세스다.

csrss.exe(Client/Server Runtime SubSystem : Win 32)

- 윈도우 생성, 쓰레드, 16비트 가상 MS-DOS 모드 (시작->실행 command.com 을 입력하면 뜨는거.. cmd를 입력하면 뜨는 창과는 다릅니다.) 을 관장한다.

dfssvc.exe(Distributed File System(DFS))
- 이 프로세스는 분산 파일시스템 서비스로 Microsoft Windows Server 제품군에서만 찾아 볼 수 있다.  

dllhost.exe(DCOM DLL Host Process)

- DLL 기반의 COM 객체들을 지원하는 DCOM DLL 호스트 프로세스이고 많은 윈도우즈 프로그램에서 사용된다.

explorer.exe(Microsoft Windows Explorer)
- 윈도우의 기본 쉘로서 작업표시줄, 바탕화면과 같은 사용자 쉘을 지원한다.

internat.exe
- 사용자의 키보드 입력 로케일을 로드 하는 프로세스 입니다. 트레이에 보면, 현재 입력 상태를 표시할 수 있는 아이콘이 있는데 (EN 혹은 KO 라고 적힌 파란색 아이콘(숨겨져 있는 경우도 있음)) 이 입력 로케일을 관리하는 프로세스입니다.

lsass.exe(Local Security Authentication Server)
- 윈도우즈 지역 보안 인증 서버 프로세스(Windows Local Security Authority Server Process) 윈도우즈 보안 메커니즘을 핸들링 한다. 당신의 컴퓨터나 서버에 로그인한 사용자의 유효성을 검증한다. 기술적으로, 소프트웨어는 Winlogon.exe 서비스에 대한 사용자 인증을 담당하는 프로세스를 생성한다.

msdtc.exe(Distributed Transaction Coordinator)
- 이 프로세스는 Microsoft Personal Web Server와 Microsoft SQL Server에 의해 로드된다. 이 서비스는 다중서버의 트랜잭션을 관리하는데 사용된다.

mstask.exe(Window Task Scheduler)
 
- 시스템에 대한 백업이나 업데이트 등에 관련된 작업의 스케줄러다.

mstsc.exe(Microsoft Remote Desktop Connection)
- 원격 데스크탑을 실행했을 때 생성되는 프로세스이다.

services.exe(Windows Service Controller)
- 윈도우의 서비스를 관리하는 역할을 합니다. 여기서 서비스라는건.. Messenger 서비스같은 서비스들을 얘기 합니다. 윈도우즈 NT 4, XP에만 있으며, 시스템 서비스를 시작하고 정지시키고 상호작용하는데 사용된다.

smss.exe(Session Manager SubSystem)
- 사용자 세션을 시작시키는 세션 관리자로서 winlogon 및 Win32(csrss.exe) 프로세스를 구동, 시스템 변수를 설정한다. 또한 winlogon이나 csrss가 끝나기를 기다려 정상적인 winlogon과 csrss 종료 시 프로그램을 종료시킨다.

spoolsrv.exe(Printer Spooler Service)
- 프린터의 작업들을 저장하고 프린터가 저장되었을 때 해당 작업들을 프린터로 포워드하는 서비스를 하는 윈도우즈 프린터의 스풀링을 담당하는 프로세스다.

svchost.exe(Service Host Process)
- DLL(Dynamic Link Libraries) 에 의해 실행되는 프로세스의 기본 프로세스다. 따라서 한 시스템에 여러 개의 svchost 프로세스가 있다.

system
- 대부분의 커널 모드 스레드의 시작점이 되는 프로세스다.

System Idle Process(System Idle Counter)
- 각 CPU마다 하나씩 실행되는 스레드로서 CPU의 잔여 프로세스 처리량을 %로 나타낸 값이다.

taskmgr.exe(Task Manager)
- 작업관리자 자신이다.

wdfmgr.exe(Windows Driver Foundation Manager)
- 이 프로세스는 미디어 플레이어 10 이상을 설치했을 때 생성되는 프로세스이다. 이 파일은 항상 실행되며 미디어플레이어10의 일부분으로 동작한다.

winlogon.exe(Windows Logon Process)
- 사용자 로그온과 로그오프를 관리하는 윈도우즈 NT 프로세스다. 윈도우의 시작/종료 시에 활성화되며, 단축키 <Ctrl+Alt+Del>을 눌러도 활성화된다.

winmgmt.exe(Windows Management Service)
- 장치들에 대한 관리 및 계정 관리 네트워크 등의 동작에 관련된 스크립트를 위한 프로세스다.



Reference : http://www.liutilities.com               

           
Posted by Proneer

댓글을 달아 주세요

  1. 첨언.

    악성코드나 바이러스의 경우에는 프로세스의 이름을 약간 변형해 사용하는 경우가 많습니다. 예를 들면, svchost1.exe 이렇게 하면 잘 구분 못하지요.

    2007.01.14 11:20 신고 [ ADDR : EDIT/ DEL : REPLY ]
  2. 그렇죠..^^ 그래서 나온 바이러스 중에 하나가 internat.exe를 변형한
    lnternat.exe 등... 프로세스 이름에 대해서도 원래 이름과 함께 알아 두시는 것이 중요합니다.

    2007.01.15 21:30 신고 [ ADDR : EDIT/ DEL : REPLY ]