* lass.exe : Local Security Authority Subsystem Services
: 보안 정책 적용을 담당하고 있는 프로세스
: 패스워드 변경, access tokens 생성, 사용자 인증 등을 담당
: 악성코드가 자주 사용하는 이름 중 하나
* svchost.exe : Service host
: 동적 라이브러리(DLL)에서 실행되는 윈도우의 각종 서비스를 제어
: 윈도우 부팅 시 레지스트리의 서비스 부분을 검사
: 로드해야 할 서비스의 대상, 위치, 시작되는 방법 파악
: 부모 프로세스는 services.exe
* csrss.exe : Client Server Runtime process
: smss.exe에 의해 로드 (부모 프로세스가 smss.exe)
: 각각의 프로그램들이 win32 API를 호출할 때, 운영체제의 커널이 응답하도록 중계
: 프로세스나 스레드의 생성 및 삭제
: 윈도우 콘솔에서 명령 호출이 가능하도록 함
* smss.exe : Session Manager Subsystem
: 커널 생성 이후 최초로 생성되는 세스템 프로세스
: 윈도우에서 세션을 만들기 위한 환경을 구성
: 부모 프로세스는 시스템 프로세스 (PID 4) / 자식 프로세스는 winlogon.exe
* services.exe : Service Control Manager
: 서비스 콘솔안의 프로세스를 실행 시키거나 종료
: 부팅 시 또는 사용자가 요구 시 각종 드라이버와 서비스 로드
: 현재 실행중인 서비스와 드라이버 정보 및 상태 유지
: 유지된 정보를 통해 다른 서비스와 사용자의 요구에 응답
: 부모 프로세스는 winlogon.exe
* winlogon.exe
: 윈도우 로그온 화면에서 SAS 키 조합 담당
- SAS (Secure Attention Sequence) : 로그인 화면을 보여주는 특별한 키 조합
: 계정 아이디와 패스워드가 일치 하는지 여부 파악
: 로그온이 이루어지면 사용자 프로필 및 환경 설정 로드
: 화면 보호기가 작동 시 PC를 잠그는 일 담당
: 자식 프로세스는 services.exe / 부모 프로세스는 smss.exe
* userinit.exe
: 부팅 후 시작 버튼 및 트레이, 작업 표시줄 등을 로드
: 윈도우 사용자 쉘인 explorer.exe 호출
: 위의 작업이 끝나면 자동으로 바로 종료
rootable