Windows 시스템 프로세스 소개 - -
(1)[시스템 유휴 프로세스]
프로세스 파일: [시스템 프로세스] 또는 [시스템 프로세스]
(1) p >
프로세스 이름: Windows 메모리 처리 시스템 프로세스
설명: Windows 페이지 메모리 관리 프로세스, 우선 순위 0입니다.
소개: 이 프로세스는 각 프로세서에서 단일 스레드로 실행되며 시스템이 다른 스레드를 처리하지 않을 때 프로세서 시간을 할당합니다. CPU 사용량이 많을수록 할당에 사용할 수 있는 CPU 리소스가 늘어나고, 숫자가 작을수록 CPU 리소스가 부족해집니다.
(2)[alg.exe]
프로세스 파일: alg 또는 alg.exe
프로세스 이름: 애플리케이션 계층 게이트웨이 서비스
설명: 네트워크 공유를 위한 응용 계층 게이트웨이 서비스입니다.
소개: "인터넷 연결 프리미엄 서비스" 및 "인터넷 연결 방화벽 서비스"에 대한 타사 프로토콜 플러그인에 대한 지원을 제공하는 게이트웨이 통신 플러그인 관리자입니다.
(3)[csrss.exe]
프로세스 파일: csrss 또는 csrss.exe
프로세스 이름: 클라이언트/서버 런타임 서버 하위 시스템
설명: Windows 그래픽 관련 하위 시스템을 제어하는 데 사용되는 클라이언트 서비스 하위 시스템입니다.
소개: 이는 사용자 모드 Win32 하위 시스템의 일부입니다. csrss는 클라이언트/서버 운영 하위 시스템을 나타내며 항상 실행되어야 하는 기본 하위 시스템입니다. csrss는 Windows 제어를 유지하고 스레드 및 일부 16비트 가상 MS-DOS 환경을 생성 또는 삭제하는 데 사용됩니다.
(4)[ddhelp.exe]
프로세스 파일: ddhelp 또는 ddhelp.exe
프로세스 이름: DirectDraw Helper
설명 : DirectDraw Helper는 그래픽 서비스인 DirectX의 구성 요소입니다.
소개: Directx 도우미
(5)[dllhost.exe]
프로세스 파일: dllhost 또는 dllhost.exe
프로세스 이름 : DCOM DLL 호스트 프로세스
설명: DCOM DLL 호스트 프로세스는 Windows 프로그램을 실행하기 위해 COM 개체 기반의 DLL을 지원합니다.
소개: com 프록시, 시스템에 더 많은 dll 구성 요소가 연결될수록 dllhost가 더 많은 CPU 및 메모리 리소스를 차지합니다. 8월의 "Shock Wave Killer"는 아마도 모든 사람들에게 더 친숙해지게 만들 것입니다.
(6)[explorer.exe]
프로세스 파일: explorer 또는 explorer.exe
프로세스 이름: 프로그램 관리
설명 : Windows 프로그램 관리자 또는 Windows 탐색기는 시작 메뉴, 작업 표시줄, 바탕 화면 및 파일 관리를 포함하여 Windows 그래픽 셸을 제어하는 데 사용됩니다.
소개: 이것은 작업 표시줄, 데스크탑 등으로 보이는 사용자 셸입니다. 즉, 리소스 관리자를 실행하고 볼 수 있다고 생각하지 않습니다. 이는 여전히 Windows 시스템의 안정성에 상대적으로 중요하며, 빨간색 코드는 c 및 d 루트 아래에 explorer.exe를 생성하는 것입니다.
(7)[inetinfo.exe]
프로세스 파일: inetinfo 또는 inetinfo.exe
프로세스 이름: IIS 관리 서비스 도우미
설명: InetInfo는 Microsoft IIS(인터넷 정보 서비스)의 일부이며 디버깅에 사용됩니다.
소개: IIS 서비스 프로세스, 블루 코드는 inetinfo.exe의 버퍼 오버플로 취약점을 악용합니다.
(8)[internat.exe]
프로세스 파일: internat 또는 internat.exe
프로세스 이름: 입력 로케일
설명 : 이 입력 제어 아이콘은 국가, 키보드 유형, 날짜 형식과 같은 설정을 변경하는 데 사용됩니다. internat.exe는 시작 시 실행되기 시작합니다. 사용자가 지정한 다양한 입력 지점을 로드합니다. 입력 지점은 레지스트리 위치 HKEY_USERS\.DEFAULT\Keyboard Layout\Preload에서 콘텐츠를 로드합니다. internat.exe는 "EN" 아이콘을 시스템 아이콘 영역에 로드하여 사용자가 다양한 입력 지점 간에 쉽게 전환할 수 있도록 합니다. 프로세스가 중지되면 아이콘은 사라지지만 제어판을 통해 입력 지점을 계속 변경할 수 있습니다.
소개: 주로 입력 방법을 제어하는 데 사용됩니다. 작업 표시줄에 "EN" 아이콘이 없고 시스템에 internat.exe 프로세스가 있는 경우 프로세스를 종료하고 다음을 실행할 수 있습니다. 런타임의 internat 명령이 전부입니다.
(9)[kernel32.dll]
프로세스 파일: kernel32 또는 kernel32.dll
프로세스 이름: Windows 셸 프로세스
설명: Windows 셸 프로세스는 여러 스레드, 메모리 및 리소스를 관리하는 데 사용됩니다.
소개: 더 많은 불법적인 브라우징 작업과 Kernel32 해석
(10)[lsass.exe]
프로세스 파일: lsass 또는 lsass.exe
p>
프로세스 이름: 로컬 보안 권한 서비스
설명: 이 로컬 보안 권한 서비스는 Windows 보안 메커니즘을 제어합니다. IP 보안 정책을 관리하고 ISAKMP/Oakley(IKE) 및 IP 보안 드라이버 등을 활성화합니다.
소개: 이는 로컬 보안 인증 서비스이며, winlogon 서비스를 사용하여 인증된 사용자에 대한 프로세스를 생성합니다. 이 프로세스는 기본 msgina.dll과 같은 승인된 패키지를 사용하여 수행됩니다. 인증이 성공하면 lsass는 초기 쉘을 시작하는 데 사용되지 않는 사용자 액세스 토큰을 생성합니다. 사용자가 시작한 다른 프로세스는 이 토큰을 상속합니다. Windows Active Directory 원격 스택 오버플로 취약점은 LDAP 3 검색 요청 기능을 사용하여 사용자가 제출한 요청에 대한 올바른 버퍼 경계 검사가 부족하고 1,000개 이상의 "AND" 요청을 구성한 후 서버로 보내 스택 오버플로가 발생하도록 합니다. 및 Lsass .exe 서비스가 중단되고 30초 이내에 시스템이 다시 시작되었습니다.
(11)[mdm.exe]
프로세스 파일: mdm 또는 mdm.exe
프로세스 이름: Machine Debug Manager
설명: Microsoft Office의 Microsoft Script Editor 및 애플리케이션 디버깅을 위한 디버그 디버그 관리입니다.
소개: Mdm.exe의 주요 작업은 응용 프로그램 소프트웨어를 디버깅하는 것입니다. 말하자면, 시스템에 fff로 시작하는 0바이트 파일이 있으면 mdm.exe가 생성됩니다. 문제 해결 과정 중 일부 임시 파일이 있습니다. 이러한 파일은 운영 체제가 종료될 때 자동으로 지워지지 않습니다. 따라서 fff로 시작하는 이상한 파일 중에는 쓸모 없는 정크 파일인 접미사 CHK가 있는 일부 파일이 있습니다. 시스템에 Mdm.exe가 존재하는 한 fff로 시작하는 이상한 파일이 생성될 수 있습니다. 다음 방법을 사용하면 시스템의 Mdm.exe 실행을 중지하여 fff로 시작하는 이상한 파일을 완전히 삭제할 수 있습니다. 먼저 "Ctrl+Alt+Del" 키 조합을 누르고 "프로그램 닫기" 팝업에서 "Mdm"을 선택합니다. Mdm.exe가 백그라운드에서 실행되는 것을 중지하려면 "작업 끝내기" 버튼을 클릭한 다음 Mdm.exe(C:\Windows\System 디렉터리에 있음)의 이름을 Mdm.bak로 바꿉니다. msconfig 프로그램을 실행하고 시작 페이지에서 "Machine Debug Manager" 선택을 취소합니다. 이렇게 하면 Mdm.exe가 자동으로 시작되지 않습니다. 그런 다음 "확인" 버튼을 클릭하여 msconfig 프로그램을 종료하고 컴퓨터를 다시 시작합니다. 또한 IE 5를 사용하는 경우.
(12)[mmtask.tsk]
프로세스 파일: mmtask 또는 mmtask.tsk
프로세스 이름: 멀티미디어 지원 프로세스
설명: 이 Windows 멀티미디어 데몬은 MIDI와 같은 멀티미디어 서비스를 제어합니다.
소개: 사용자가 특정 시간에 실행하기로 결정한 작업을 미리 실행하는 역할을 담당하는 작업 스케줄링 서비스입니다.
(13)[mprexe.exe]
프로세스 파일: mprexe 또는 mprexe.exe
프로세스 이름: Windows 라우팅 프로세스
설명: Windows 라우팅 프로세스에는 네트워크의 적절한 부분에 네트워크 요청을 보내는 작업이 포함됩니다.
소개 : 네트워크 클라이언트 구성 요소 시작의 핵심인 Windows의 32비트 네트워크 인터페이스 서비스 프로세스 파일입니다. 제가 보기에는 "A-311 Trojan(Trojan.A-311.104)" 역시 메모리에 mprexe.exe 프로세스를 생성하고, 리소스 관리를 통해 해당 프로세스를 종료할 수 있는 것 같습니다.
(14)[msgsrv32.exe]
프로세스 파일: msgsrv32 또는 msgsrv32.exe
프로세스 이름: Windows Messenger Service
설명: Windows Messenger 서비스는 시작 시 Windows 드라이버 및 프로그램 관리자를 호출합니다.
소개: msgsrv32.exe는 정보 창을 관리하는 응용 프로그램입니다. win9x에서 사운드 카드나 그래픽 카드 드라이버가 올바르게 구성되지 않으면 충돌이 발생하거나 msgsrv32.exe 오류가 발생합니다.
(15)[mstask.exe]
프로세스 파일: mstask 또는 mstask.exe
프로세스 이름: Windows 예약 작업
설명: Windows 예약 작업은 상속이 백업되거나 실행될 시간 또는 날짜를 설정하는 데 사용됩니다.
소개: 레지스트리를 통해 자동으로 시작되는 예약된 작업입니다. 따라서 예약된 작업을 통해 자체 시작된 프로그램의 파일 이름은 시스템 정보에 표시되지 않으며, 레지스트리에서 삭제되거나 비활성화되면 예약된 작업을 통해 시작된 모든 프로그램이 자동으로 실행될 수 없습니다. 예약된 작업은 win9X에서 시스템이 시작될 때 시작됩니다. 예약된 작업 아이콘 - 고급 - 예약된 작업 종료를 두 번 클릭하여 시작을 중지할 수 있습니다. 또한 공격자는 공격 프로세스 중에 파일 업로드, 권한 상승, 백도어 설치, 발자국 청소 등 계획된 작업을 사용하는 경우가 많습니다.
(16)[regsvc.exe]
프로세스 파일: regsvc 또는 regsvc.exe
프로세스 이름: 원격 레지스트리 서비스
설명: 원격 레지스트리 서비스는 원격 컴퓨터의 레지스트리에 액세스하는 데 사용됩니다.
(17)[rpcss.exe]
프로세스 파일: rpcss 또는 rpcss.exe
프로세스 이름: RPC Portmapper
설명 : Windows RPC 포트 매핑 프로세스는 RPC 호출(원격 모듈 호출)을 처리하고 이를 지정된 서비스 공급자에 매핑합니다.
소개: 98은 인터프리터를 로드하거나 부팅할 때 시작되지 않습니다. 사용 중 문제가 발생하면 레지스트리 HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run에서 직접 실행할 수 있습니다.
< p>HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices"문자열 값"을 추가하고 이를 "C:\WINDOWS\SYSTEM\RPCSS"로 지정합니다.(18)[services.exe]
프로세스 파일: services 또는 services.exe
프로세스 이름: Windows 서비스 컨트롤러
설명: Windows 서비스를 관리합니다.
소개: 대부분의 시스템 코어 모드 프로세스는 시스템 프로세스로 실행됩니다. 관리 도구에서 서비스를 열면 많은 서비스가 %systemroot%\system32\service.exe
(19)[smss.exe]
프로세스 파일을 호출하는 것을 볼 수 있습니다. smss 또는 smss.exe
프로세스 이름: 세션 관리자 하위 시스템
설명: 이 프로세스는 세션 관리 하위 시스템에 대한 시스템 변수를 초기화하는 데 사용되며 MS-DOS 드라이버 이름은 LPT1과 유사합니다. 및 COM 은 Win32 셸 하위 시스템을 호출하고 Windows 로그인 프로세스를 실행합니다.
소개: 이것은 사용자 세션 시작을 담당하는 세션 관리 하위 시스템입니다. 이 프로세스는 시스템 프로세스에 의해 초기화되며 이미 실행 중인 Winlogon, Win32(Csrss.exe) 스레드 및 시스템 변수 설정을 포함한 많은 활동을 반영합니다. 이러한 프로세스를 시작한 후 Winlogon 또는 Csrss가 완료될 때까지 기다립니다. 이러한 프로세스가 정상이면 시스템이 종료됩니다. 예상치 못한 일이 발생하면 smss.exe로 인해 시스템이 응답하지 않게 됩니다(즉, 정지).
(20)[snmp.exe]
프로세스 파일: snmp 또는 snmp.exe
프로세스 이름: Microsoft SNMP 에이전트
설명: Windows 단순 네트워크 프로토콜 프록시(SNMP)는 요청을 수신하고 네트워크의 해당 부분으로 보내는 데 사용됩니다.
소개: SNMP 요청 메시지 수신, 필요에 따라 응답 메시지 전송 및 WinsockAPI를 사용한 인터페이스 처리를 담당합니다.
(21)[spool32.exe]
프로세스 파일: spool32 또는 spool32.exe
프로세스 이름: 프린터 스풀러
설명 : 프린터 준비를 위한 Windows 인쇄 작업 제어 프로그램입니다.
(22)[spoolsv.exe]
프로세스 파일: spoolsv 또는 spoolsv.exe
프로세스 이름: 프린터 스풀러 서비스
설명: 프린터 준비를 위한 Windows 인쇄 작업 제어 프로그램입니다.
소개: 스풀러 서비스는 버퍼 풀에서 인쇄 및 팩스 작업을 관리합니다.
(23)[stisvc.exe]
프로세스 파일: stisvc 또는 stisvc.exe
프로세스 이름: 정지 이미지 서비스
설명: 정지 이미지 서비스는 Windows에 연결된 스캐너 및 디지털 카메라를 제어하는 데 사용됩니다.
(24)[svchost.exe]
프로세스 파일 : svchost 또는 svchost.exe
프로세스 이름 : 서비스 호스트 프로세스
설명: 서비스 호스트 프로세스는 표준 동적 링크 라이브러리 호스트 처리 서비스입니다.
소개: Svchost.exe 파일은 동적 링크 라이브러리에서 실행되는 서비스에 대한 일반적인 호스트 프로세스 이름입니다. Svhost.exe 파일은 시스템의 %systemroot%\system32 폴더에 있습니다. 시작 시 Svchost.exe는 레지스트리에서 로드해야 하는 서비스 목록을 작성할 위치를 확인합니다. 이로 인해 여러 Svchost.exe가 동시에 실행됩니다. Svchost.exe의 각 세션에는 서비스 집합이 포함되어 있으므로 개별 서비스는 Svchost.exe가 시작되는 방법과 위치에 따라 달라져야 합니다. 이렇게 하면 오류를 더 쉽게 제어하고 찾을 수 있습니다. Windows 2k에는 일반적으로 두 개의 svchost 프로세스가 있습니다. 하나는 RPCSS(원격 프로시저 호출) 서비스 프로세스이고 다른 하나는 많은 서비스에서 공유하는 svchost.exe입니다. Windows XP에는 일반적으로 4개 이상의 svchost.exe 서비스 프로세스가 있으며, Windows 2003 서버에는 더 많습니다.
(25)[taskmon.exe]
프로세스 파일: taskmon 또는 taskmon.exe
프로세스 이름: Windows 작업 최적화 프로그램
설명: Windows 작업 최적화 프로그램은 프로그램 사용 빈도를 모니터링하고 자주 사용하는 프로그램을 로드하여 하드 드라이브를 구성하고 최적화합니다.
소개: 작업 관리자의 기능은 프로그램 실행을 모니터링하고 언제든지 보고하는 것입니다. 작업 표시줄에서 창 모드로 실행 중인 모든 프로그램을 모니터링하고, 프로그램을 열고 종료하며, 시스템 종료 대화 상자를 직접 불러올 수 있습니다.
(26)[tcpsvcs.exe]
프로세스 파일: tcpsvcs 또는 tcpsvcs.exe
프로세스 이름: TCP/IP 서비스
설명: TCP/IP 서비스 응용 프로그램은 TCP/IP를 통해 LAN 및 인터넷 연결을 지원합니다.
(27)[winlogon.exe]
프로세스 파일: winlogon 또는 winlogon.exe
프로세스 이름: Windows 로그온 프로세스
설명: Windows NT 사용자 로그인 프로그램. 이 프로세스는 사용자 로그인 및 로그아웃을 관리합니다. 또한 사용자가 CTRL+ALT+DEL을 누르고 보안 대화 상자를 표시하면 winlogon이 활성화됩니다.
(28)[winmgmt.exe]
프로세스 파일: winmgmt 또는 winmgmt.exe
프로세스 이름: Windows Management Service
설명: Windows 관리 서비스는 WMI(Windows Management Instrumentation 데이터) 기술을 통해 응용 프로그램 클라이언트의 요청을 처리합니다.
소개: winmgmt는 win2000 클라이언트 관리의 핵심 구성 요소입니다. 이 프로세스는 클라이언트 애플리케이션이 연결되거나 하이퍼바이저에 자체 서비스가 필요할 때 초기화됩니다. WinMgmt.exe(CIM 개체 관리자)와 기술 자료(리포지토리)는 WMI의 두 가지 주요 구성 요소입니다. 기술 자료는 개체 정의의 데이터베이스로, 개체 관리자가 담당하는 모든 정적 데이터를 저장합니다. 지식을 처리하고 라이브러리의 개체를 수집 및 조작하고 WMI 공급자로부터 정보를 수집합니다. WinMgmt.exe는 Windows 2k/NT에서는 서비스로 실행되고 Windows 95/98에서는 독립 실행형 exe 프로그램으로 실행됩니다. Windows 2k 시스템의 일부 컴퓨터에서 발생하는 WMI 오류는 Windows 2k SP2를 설치하여 수정할 수 있습니다.
(29)[system]
프로세스 파일: 시스템 또는 시스템
프로세스 이름: Windows 시스템 프로세스
설명: Microsoft Windows 시스템 프로세스.
소개: 작업 관리자에서 이 프로세스를 볼 수 있으며 이는 일반적인 시스템 프로세스입니다.
기타 일반적인 시스템 프로세스:
clipsrv.exe 원격 클립보드에서 클립 페이지를 볼 수 있도록 "클립북 뷰어"를 지원합니다.
cisvc.exe 색인 서비스
dfssvc.exe LAN 또는 WAN을 통해 분산된 논리 볼륨 관리
dmadmin.exe 디스크 관리 요청을 위한 시스템 관리 서비스
dns.exe 에 회신 도메인 이름 시스템(DNS) 이름 조회 및 업데이트 요청
faxsvc.exe 팩스 보내기 및 받기를 도와줍니다.
grovel.exe 백업 스토리지(sis) 볼륨에서 중복 파일을 검색하고 중복 파일을 데이터 저장 지점으로 지정하여 디스크 공간 절약(ntfs 파일 시스템에만 유용함)
ismserv.exe Windows Advanced Server 사이트 간에 메시지를 주고받을 수 있도록 허용
llssrv .exe 인증서 녹음 서비스
locator.exe rpc 이름 서비스 데이터베이스 관리
lserver.exe 클라이언트 라이센스 등록
mnmsrvc.exe 인증된 사용자 허용 넷미팅을 사용하여 원격으로 Windows 데스크탑에 액세스
msdtc.exe 병렬 트랜잭션은 두 개 이상의 데이터베이스, 메시지 대기열, 파일 시스템 또는 기타 트랜잭션 보호 리소스 관리자에 분산됩니다.
msiexec: 설치, 복구, .msi 파일에 포함된 명령에 따라 소프트웨어를 제거합니다.
netdde.exe> Dynamic Data Exchange(dde)의 네트워크 전송 및 보안 기능을 제공합니다.
ntfrs.exe 여러 서버 간의 파일 디렉터리 내용을 유지하기 위한 파일 동기화
rseng.exe 자주 사용되지 않는 데이터를 저장하는 데 사용되는 서비스 및 관리 도구를 조정합니다.
rsfsa.exe 원격으로 저장된 파일에 대한 작업을 관리합니다.
rssub.exe 원격으로 데이터를 저장하는 데 사용되는 미디어를 제어합니다.
rsvp.exe 서비스 품질(qos)에 의존하는 프로그램 및 제어 애플리케이션에 대해 네트워크 신호 및 로컬 통신 제어 설치 기능을 제공합니다.< /p>
scardsvr.exe 컴퓨터의 스마트 카드 리더에 삽입된 스마트 카드 관리 및 액세스 제어
smlogsvc.exe 성능 로그 및 경고 구성
snmptrap.exe 트랩 메시지 수신. 로컬 또는 원격 snmp 에이전트에 의해 생성된 후 이 컴퓨터에서 실행 중인 snmp 관리자에게 메시지를 전달합니다.
termsrv.exetermservice
tcpsvcs .exe Windows 2000 Professional을 원격으로 설치하는 기능을 제공합니다. pxe 원격 부팅 가능한 클라이언트 컴퓨터에서
tftpd.exe tftp 인터넷 표준을 구현합니다. 표준에는 사용자 이름과 비밀번호가 필요하지 않습니다.
tlntsvr.exe tlnrsvr
ups.exe 컴퓨터에 연결된 무정전 전원 공급 장치(UP) 관리
utilman.exe 단일 장치에서 보조 장치 실행 및 구성 window 도구
wins.exe netbios 유형 이름을 등록하고 확인하는 tcp/ip 클라이언트에 netbios 이름 서비스를 제공합니다.
여기서 시스템 프로세스가 소개됩니다.
Windows2k/XP에서는 다음 프로세스를 로드해야 합니다:
smss.exe, csrss.exe, winlogon.exe, services.exe, lsass.exe, svchost.exe( 동시에 여러 개가 존재할 수 있음), spoolsv.exe, explorer.exe, System Idle Process;
Windows 9x에서는 다음 프로세스를 로드해야 합니다:
msgsrv32.exe, mprexe.exe, mmtask.tsk, kenrel32.dll.