클라이언트/서버 런타임 하위 시스템
"오늘의AI위키"의 AI를 통해 더욱 풍부하고 폭넓은 지식 경험을 누리세요.
1. 개요
클라이언트/서버 런타임 하위 시스템(CSRSS)은 사용자 모드에서 실행되는 윈도우 서비스로, 콘솔 창 관리, 프로세스 및 스레드 생성, 사이드 바이 사이드 지원 등과 관련된 기능을 수행한다. Win32 라이브러리에서 시스템 호출 대신 CSRSS 프로세스로 로컬 프로시저 호출을 보내 작업을 처리하며, 창 관리자와 GDI 서비스는 커널 모드 드라이버(win32k.sys)에 의해 관리된다. 윈도우 시작 시 winlogon.exe와 함께 세션 관리자 하위 시스템(smss.exe)에 의해 호출되며, Windows 7 이상 버전에서는 콘솔 창 그리기를 conhost.exe 하위 프로세스에 위임한다. CSRSS는 멀웨어에 악용될 수 있으며, csrss.exe를 사칭하는 멀웨어가 존재하므로 주의해야 한다. 정상적인 csrss.exe 파일은 C:\Windows\System32에 위치하며, 다른 위치에 있는 동일한 이름의 파일은 멀웨어일 가능성이 높다.
더 읽어볼만한 페이지
- 윈도우 NT 아키텍처 - WoW64
WoW64는 64비트 윈도우에서 32비트 응용 프로그램을 실행하기 위한 호환성 계층으로, 32비트 코드를 변환하고 시스템 자원을 관리하며 파일 시스템 리디렉션을 제공하지만, 완벽한 호환성을 보장하지 않고 성능 오버헤드 및 API 관련 문제점을 가질 수 있다. - 윈도우 NT 아키텍처 - 로컬 보안 인증 하위 시스템 서비스
- 윈도우 구성 요소 - 인터넷 익스플로러
마이크로소프트가 개발한 웹 브라우저인 인터넷 익스플로러는 윈도우 운영 체제와의 통합으로 높은 시장 점유율을 유지했으나, 웹 표준 문제와 보안 취약점으로 비판받으며 2015년 엣지에 자리를 내주고 2022년 지원이 종료되었지만, 엣지의 IE 모드로 레거시 호환성을 유지하고 있다. - 윈도우 구성 요소 - 원격 데스크톱 서비스
원격 데스크톱 서비스(RDS)는 네트워크를 통해 원격으로 컴퓨터의 데스크톱 환경에 접근할 수 있게 해주는 기술이며, 클라이언트 소프트웨어, 서버 구성 요소, 다양한 역할을 수행하는 구성 요소로 구성된다.
| 클라이언트/서버 런타임 하위 시스템 | |
|---|---|
| 개요 | |
| 종류 | 마이크로커널 하위 시스템 |
| 개발사 | 마이크로소프트 |
| 운영 체제 | 윈도우 NT 기반 운영 체제 |
| 설명 | 사용자 모드에서 실행되는 윈도우 NT 운영 체제의 필수적인 부분 |
| 역할 | Win32 콘솔 창 처리, 종료 시 스레드 정리, Windows GUI 관련 작업 처리 |
| 상세 정보 | |
| 기능 | 프로세스 및 스레드 생성 및 삭제 Win32 콘솔 처리 GUI 관련 작업 관리 |
| 중요성 | 시스템이 작동하는 동안에는 종료할 수 없는 필수 프로세스 |
| 위치 | 사용자 모드 |
| 파일 이름 | `csrss.exe` |
| 역할 변화 | 윈도우 NT 4.0에서 그래픽 장치 인터페이스(GDI) 및 윈도우 관리자를 사용자 모드로 이동시킴 |
| 윈도우 비스타 | 시작 프로세스 내부에서 중요한 역할 수행 |
2. 동작
CSRSS는 사용자 모드 윈도우 서비스로서 동작한다. 사용자 모드 프로세스가 콘솔 창, 프로세스/스레드 작성, 사이드 바이 사이드 지원(side-by-side support)과 관련된 함수를 호출할 경우, 시스템 호출을 하는 대신 Win32 라이브러리(kernel32.dll, user32.dll, gdi32.dll)들은 커널과 관계 없이 대부분의 일을 하는 CSRSS 프로세스에게 프로세스 간 호출을 보낸다.[14] 대신 창 관리자와 그래픽 장치 인터페이스(GDI) 서비스들은 커널 모드 드라이버 (win32k.sys)에 의해 관리된다.[15]
CSRSS는 winlogon.exe와 함께 윈도우 시작 시 세션 관리자 하위 시스템(smss.exe)에 의해 호출된다. 둘 중 하나에 이상이 있을 시 NT 커널은 블루스크린과 함께 시동을 종료하며, 에러 코드는 0xc000021a이다.[16]
Windows 7 이상에서는 CSRSS가 콘솔 창을 직접 그리는 대신, conhost.exe 하위 프로세스를 생성하여 콘솔 창을 그린다.
2. 1. 기능
CSRSS는 사용자 모드 시스템 서비스로 실행된다.[3] 사용자 모드 프로세스가 콘솔 창, 프로세스/스레드 생성 또는 사이드 바이 사이드 지원과 관련된 함수를 호출할 때, Win32 라이브러리(kernel32.dll, user32.dll, gdi32.dll)는 시스템 호출을 발행하는 대신 실제 작업 대부분을 수행하는 CSRSS 프로세스에 프로세스 간 호출을 보낸다.[3] 이는 커널을 손상시키지 않도록 하기 위함이다.[3] 창 관리자 및 GDI 서비스는 커널 모드 드라이버(win32k.sys)에서 처리된다.[4]CSRSS는
winlogon.exe과 함께 윈도우 시작 시 smss.exe에서 호출된다.[5]3. 멀웨어 관련 정보
csrss.exe를 사칭하는 멀웨어가 존재하므로 주의가 필요하다. csrss.exe가 멀웨어이며 시스템 손상을 막기 위해 제거해야 한다는 주장은 잘못된 정보이다. csrss.exe를 제거하거나 프로세스를 종료하면 윈도우 응용 프로그램에서 시스템이 충돌한다.
기술 지원 사기범들은 마이크로소프트 직원을 사칭하며 csrss.exe를 바이러스 감염의 "증거"로 악용하여 사용자를 속이는 경우가 있다. 이들은 사용자가 가짜 백신을 구매하도록 유도한다.[6]
csrss.exe 파일 경로 또는 파일명을 사용하는 위장 멀웨어가 몇 가지 확인되었다.[11][12][13]
정상적인 파일은 `C:\Windows\System32`에 저장되어 있으며, 다른 위치에 있는 동일한 이름의 파일은 멀웨어일 가능성이 높다.
3. 1. 확인된 멀웨어
csrss.exe 파일 경로 또는 파일명을 사용하는 위장 멀웨어가 몇 가지 확인되었다.[11][12][13]정상적인 파일은 `C:\Windows\System32`에 저장되어 있으며, 다른 위치에 있는 동일한 이름의 파일은 멀웨어일 가능성이 높다.
참조
[1]
웹사이트
The Windows NT 4.0 Kernel mode change
https://technet.micr[...]
Microsoft
2009-01-19
[2]
웹사이트
Inside the Windows Vista Kernel – Startup Processes
https://technet.micr[...]
Microsoft
2010-10-01
[3]
웹사이트
Detailed implementation of a system service in Windows NT
http://www.left-brai[...]
2010-06-10
[4]
서적
Windows Internals, 5th Edition
Microsoft Press
[5]
웹사이트
How to troubleshoot a "STOP 0xC000021A" error in Windows XP or Windows Server 2003
https://support.micr[...]
2020-03-15
[6]
웹사이트
Symantec Disavows Business Partner Caught Running a Tech Support Scam
http://news.softpedi[...]
Softpedia
2016-07-29
[7]
웹사이트
Windows NT Workstation Resource Kit Chapter 5 - Windows NT 4.0 Workstation Architecture
https://www.microsof[...]
Microsoft
2016-07-06
[8]
문서
Windows Internals, p.118
[9]
문서
Windows Internals, p.54
[10]
웹사이트
Windows 7 / Windows Server 2008 R2: Console Host - Ask the Performance Team Blog
https://blogs.techne[...]
Microsoft
2009-10-05
[11]
웹사이트
W32.Nimda.E@mm : シマンテック 日本
https://www.symantec[...]
시만텍
2016-07-06
[12]
웹사이트
W32.Netsky.AB@mm : シマンテック 日本
https://www.symantec[...]
시만텍
2016-07-06
[13]
웹사이트
"ウイルス情報 W32/VBMania@MM"
http://www.mcafee.co[...]
마카피
2016-07-06
[14]
웹인용
Detailed implementation of a system service in Windows NT
http://www.left-brai[...]
2010-06-10
[15]
서적
Windows Internals, 5th Edition
https://archive.org/[...]
Microsoft Press
[16]
웹인용
Inside the Windows Vista Kernel – Startup Processes
http://technet.micro[...]
Microsoft
2010-10-01
본 사이트는 AI가 위키백과와 뉴스 기사,정부 간행물,학술 논문등을 바탕으로 정보를 가공하여 제공하는 백과사전형 서비스입니다.
모든 문서는 AI에 의해 자동 생성되며, CC BY-SA 4.0 라이선스에 따라 이용할 수 있습니다.
하지만, 위키백과나 뉴스 기사 자체에 오류, 부정확한 정보, 또는 가짜 뉴스가 포함될 수 있으며, AI는 이러한 내용을 완벽하게 걸러내지 못할 수 있습니다.
따라서 제공되는 정보에 일부 오류나 편향이 있을 수 있으므로, 중요한 정보는 반드시 다른 출처를 통해 교차 검증하시기 바랍니다.
문의하기 : help@durumis.com