윈도우 부팅과 시스템 프로세스

 

그림 1-1 윈도우 운영체제 구조

시스템 프로세스(시스템 지원 프로세스)

• 운영체제를 사용하는 사용자를 위함
• 유저 모드에서 동작하는 중요한 프로세스

시스템 프로세스의 특징

• 윈도우 시작 프로세스
• 사용자가 시스템을 사용하는 데 필요한 핵심 부분을 담당
• 커널과 연결되는 서브 시스템을 구동하거나 관리

주요 프로세스

• smss.exe, csrss.exe, winlogon.exe, lass.exe, servcies.exe

그림 1-2 프로세스

depends 프로그램을 이용해 EXPLORER.exe 프로그램은 GUI 환경이라는 것을 알 수 있다.

그림 1-3 GUI

depends 프로그램을 이용해 CMD.exe 프로그램은 Console 환경이라는 것을 알 수 있다.

그림 1-4 Console

PEview 프로그램을 이용해 notepad.exe 프로그램을 보면 IMAGE_OPTIONAL_HEADER에서 Subsystem을 보면 GUI 환경이라는 것을 알 수 있다.

그림 1-5 PEview

010 Editor 프로그램을 이용해 notepad.exe 13C 주소로 이동했다.

그림 1-6 010Editor

01 00 00 80 주소로 변경하였다.

그림 1-7 13C

notepad.exe 프로그램 실행 시 에러 메시지가 발생하는 것을 알 수 있다.

그리 1-8 에러 메시지

 

smss.exe

• session Manager Subsystem의 약자
• 커널 생성 후 최초로 생성되는 시스템 구동에 필요한 시스템 프로세스
• 네이티브 애플리케이션

Csrss.exe

• Client-Server Runtime Subsystem
• Smss가 로드하는 3개의 서브시스템 중 하나
• 윈도우 서브시스템이라고도 불림
• 프로세스와 스레들을 관리

Winlogon.exe

• 사용자의 로그인을 지원하는 프로세스
• 보안 인증을 담당하는 Lsass.exe 실행
• 서비스를 관리하는 SCM 실행
• 유저 로그인 동작을 위해 GINA를 호출하는 등
• 로그온, 로그오프 관련 기능을 수행

Winint.exe

• 비스타 이후부터 새롭게 생성된 시스템 프로세스
• smss에 의해 실행
• 윈도우 세션 0을 생성하는 역할
• Winlogon.exe는 사용자 세션(세션 1)로 변경
• 세션 0은 SCM, LSA를 로드

Lsass.exe

• 사용자 인증과 관련
• 유저모드 프로세스
• 시스템의 보안 정책, 사용자 인증, 이벤트 로그에 보안 감사 메시지 전달 등 윈도우의 보안 처리를 담당

Services.exe

• 부팅 시 Winlogon
• 서비스의 시작, 중지와 같은 서비스들과 상호 작용을 담당
• 상태 정보를 서비스 관리 도구에는 전달하는 등의 단순 서비스 제어 역할
• 로그온 없이 부팅 중 자동 실행
• 로그온 이후 서비스 수동 조작
• 드라이버도 실행 가능
• 일부 서비스는 %Systemroot%\System32\svchost.exe에 의지하여 실행