2007년 3월 9일 금요일

작업 관리자 프로세스 설명

% csrss.exe

Csrss는 Client/Server Runtime SubSystem의 약자로서, 윈도우 콘솔을 관장하고, 쓰레드를 생성/삭제하며, 16bit 가상 MS-DOS 모드를 지원합니다. Win32.sys가 커널모드에서 가장 핵심적인 부분이라면 csrss.exe 사용자모드에서 가장 핵심적인 부분입니다.. 이 프로세서는 작업관리자로 죽일수 없는 프로세스이기도 합니다..


% explorer.exe

작업표시줄, 바탕화면과 같은 유저 쉘을 지원합니다.


% internat.exe

사용자에 따른 입력 로케일을 로드합니다.


% lsass.exe

Lsass는 Local Security Authentication Server의 약자로서, Winlogon 서비스에 필요한 인증 프로세스를 담당합니다. 이 과정은 Msgina.dll과 같은 인증 패키지를 이용하여 이루어집니다.


% mstask.exe

Mstask는 작업 스케쥴러 서비스입니다.


% smss.exe

Smss는 Session Manager SubSystem의 약자로서, 사용자 세션을 시작하는 기능을 담당합니다. 이 프로세스는 시스템 쓰레드에 의해 실행되며, Winlogon, Win32(Csrss.exe)을 구동시키고, 시스템 변수를 설정합니다. 이러한 과정이 끝나면, Smss는 Winlogon이나 Csrss가 끝나기를 기다려, 정상적인 Winlogon/Csrss 종료시 시스템을 종료시키며, 비정상적인 Winlogon/Csrss 종료시, 시스템이 멎는 상태가 됩니다. (System Hang)


% spoolsv.exe

프린터 및 팩스의 Spooling 기능을 담당합니다.


% svchost.exe

Svchost는 DLL로부터 실행되는 다른 프로세스들의 host 역할을 해 줍니다. 따라서 작업관리자의 프로세스 창에는 하나 이상의 Svchost.exe가 존재할 수 있습니다. 실제로 어떤 프로세스들이 Svchost상에서 실행되고 있는지 확인하기 위해서는, tlist -s 명령어를 사용하면 됩니다.
사용자가 NETWORK.SERVICE, SYSTEM, LOCAL.SERVICE 이 세가지가 아닐때 바이러스로 의심하삼..


% services.exe

Service Control Manager로서, 시스템 서비스들을 시작/정지시키고, 그들간의 상호작용하는 기능을 수행한다.


% system

대부분의 커널모드 쓰레드들의 시작점이 되는 프로세스입니다.


% winlogon.exe

사용자 로그인/로그오프를 담당하는 프로세스입니다.
윈도우의 시작/종료시에 활성화 되며, 또한 Ctrl-Alt-Del을 눌렀을 경우에도 활성화됩니다.


% winmgmt.exe

클라이언트 관리의 핵심 요소입니다.위에 기술한 프로세스들 중에서, 작업관리자에서 [프로세스 끝내기]로 종료시킬 수 있는 프로세스는 Explorer.exe, Internat.exe, Taskmgr.exe 뿐입니다. 나머지 프로세스들은 윈도우를 정상적으로 운영하는데 있어 필수적인 프로세스들로서, 작업관리자에서 종료시킬 수 없습니다. 단, 이러한 프로세스들도 Resource Kit의 kill.exe 명령으로 강제종료시킬 수는 있지만, 시스템 다운을 유발하거나, 다른 부작용을 낳을 수 있습니다.


% nvsvc32.exe

파일은 NVIDIA 드라이버 도우미 프로세서입니다.
즉,화면보호기 ,그래픽설정등을 관장하는거죠..


% alg.exe
인터넷연결공유 및 방화벽을 설정하실 경우에 돌아가는 프로세스


% taskmgr.exe
작업 관리자를 실행했을때 생기는 실행 파일입니다..즉, 작업관리자 자신입니다
taskmgr.exe는 윈도우의 모든 일처리를 담당하는 프로세스로 말그대로 task(일)+mgr(메니저,관리자)입니다....


% ctfmon.exe
Office XP에서 부터 도입된 고급 텍스트 서비스로 이서비스는
일반적인 한글 입력외에 필기입력, 음성인식과 같이 보다 향상된 입력 방법을
제공합니다


% wmiprvse.exe
윈도우 미디어 플레이어 10을 설치하면 생기는 것이라는 그 외에 wdfmgr.exe이라는게 더 생깁니다
xp나 2000 기동 시..WMI는 다른 몇 개의 서비스와 함께 공유되는 서비스 호스트에게 있는데...
프로바이더가 실패할 때, 모든 서비스를 멈추는 것을 피하기 위해 분리된 호스트 프로세서인 wmiprvse.exe에 로드됩니다.
wmiprvsw.exe 는 웜 바이러스..


% wuauclt.exe
(Windows Update AutoUpdate Client)는 Windows가 인터넷에 연결되어 있을 경우
마이크로소프트의 윈도우 업데이트 페이지로부터 사용자의 윈도우를 업데이트해야하는지 자동으로
체크하여 업데이트하도록 도와주는 백그라운드 프로그램입니다



파일 이름들을 잘보고..

이와 약간 다르게 변형된(철자 위치변경. 대,소문자 혼합 등등) 경우 바이러스 의심..


출처:http://support.i-heart.co.kr/2000/process.htm + 내가 좀 찾았삼..