2006년 07월 28일
CSRSS.EXE (Client Server Runtime Process)
Windows의 Task Manager를 띄워보면 csrss.exe 라는 프로세스가 언제나 떠있다.
이녀석은 도대체 뭐하는 녀석일까 알아보니 아주 흥미로운 놈이다.
CSRSS.EXE는 시스템상에 구동중인 모든 프로세스를 찾을 수 있는 정보를 제공
한다. 단, 다음의 네가지 프로세스를 제외하고 시스템의 모든 프로세스에 대한
핸들을 가지고 있다.
- The Idle Process
- The System Process
- SMSS.EXE
- CSRSS.EXE
CSRSS.EXE 에서 사용하는 Handle을 탐색하여, 그들과 관련있는 프로세스를 찾아
낼 수 있다는 것이다. 아래는 CSRSS.EXE의 핸들 테이블을 찾기 위해 필요한
오프셋을 각각의 OS버젼별로 나누어 놓은 것이다.
일반적으로 모든 프로세스의 EPROCESS 블록내에는 HANDLE_TABLE 구조체를 가리키는
포인터가 존재한다. HANDLE_TABLE 구조체 내부에는 실제 핸들 테이블을 가리키는 포인
터를 포함하여 다른 정보들도 함께 존재한다.
이녀석은 도대체 뭐하는 녀석일까 알아보니 아주 흥미로운 놈이다.
CSRSS.EXE는 시스템상에 구동중인 모든 프로세스를 찾을 수 있는 정보를 제공
한다. 단, 다음의 네가지 프로세스를 제외하고 시스템의 모든 프로세스에 대한
핸들을 가지고 있다.
- The Idle Process
- The System Process
- SMSS.EXE
- CSRSS.EXE
CSRSS.EXE 에서 사용하는 Handle을 탐색하여, 그들과 관련있는 프로세스를 찾아
낼 수 있다는 것이다. 아래는 CSRSS.EXE의 핸들 테이블을 찾기 위해 필요한
오프셋을 각각의 OS버젼별로 나누어 놓은 것이다.
Windows 2000 | Windows XP | Windows 2003 | |
|---|---|---|---|
Offset to Handle Table in EPROCESS | 0x128 | 0xc4 | 0xc4 |
Offset to the actual table within the Handle Table Structure | 0x8 | 0x0 | 0x0 |
일반적으로 모든 프로세스의 EPROCESS 블록내에는 HANDLE_TABLE 구조체를 가리키는
포인터가 존재한다. HANDLE_TABLE 구조체 내부에는 실제 핸들 테이블을 가리키는 포인
터를 포함하여 다른 정보들도 함께 존재한다.
# by | 2006/07/28 13:45 | Garage | 트랙백 | 덧글(1)
☞ 내 이글루에 이 글과 관련된 글 쓰기 (트랙백 보내기) [도움말]