자유 게시판

일단 파란창 뜰 때의 프로세스 목록입니다.

2012.09.04 13:57

Per4u3e 조회:3142 추천:1

0: kd> !process 0 0

**** NT ACTIVE PROCESS DUMP ****

PROCESS 852d8040 SessionId: none Cid: 0004 Peb: 00000000 ParentCid: 0000

DirBase: 00185000 ObjectTable: 82203000 HandleCount: <Data Not Accessible>

Image: System

PROCESS 866c3cc0 SessionId: none Cid: 0124 Peb: 7f0df000 ParentCid: 0004

DirBase: 3e0c4020 ObjectTable: 8c814180 HandleCount: <Data Not Accessible>

Image: smss.exe

PROCESS 8776b5c0 SessionId: 0 Cid: 0180 Peb: 7fa47000 ParentCid: 0178

DirBase: 3e0c4060 ObjectTable: 8f3c81c0 HandleCount: <Data Not Accessible>

Image: csrss.exe

PROCESS 85352040 SessionId: 1 Cid: 01b8 Peb: 7f643000 ParentCid: 0124

DirBase: 3e0c4080 ObjectTable: 00000000 HandleCount: 0.

Image: smss.exe

PROCESS 878701c0 SessionId: 1 Cid: 01c0 Peb: 7f8d3000 ParentCid: 01b8

DirBase: 3e0c40a0 ObjectTable: 822d56c0 HandleCount: <Data Not Accessible>

Image: csrss.exe

PROCESS 87876340 SessionId: 0 Cid: 01c8 Peb: 7ff17000 ParentCid: 0178

DirBase: 3e0c40c0 ObjectTable: 822e3880 HandleCount: <Data Not Accessible>

Image: wininit.exe

PROCESS 853accc0 SessionId: 1 Cid: 01fc Peb: 7fc76000 ParentCid: 01b8

DirBase: 3e0c4040 ObjectTable: 913b3f40 HandleCount: <Data Not Accessible>

Image: winlogon.exe

PROCESS 85363cc0 SessionId: 0 Cid: 0228 Peb: 7fb74000 ParentCid: 01c8

DirBase: 3e0c40e0 ObjectTable: 913d9c40 HandleCount: <Data Not Accessible>

Image: services.exe

PROCESS 85366640 SessionId: 0 Cid: 0230 Peb: 7f4d5000 ParentCid: 01c8

DirBase: 3e0c4100 ObjectTable: 913ebd40 HandleCount: <Data Not Accessible>

Image: lsass.exe

PROCESS 878c2040 SessionId: 0 Cid: 0288 Peb: 7f976000 ParentCid: 0228

DirBase: 3e0c4120 ObjectTable: 81095840 HandleCount: <Data Not Accessible>

Image: svchost.exe

PROCESS 878da400 SessionId: 0 Cid: 02bc Peb: 7f36f000 ParentCid: 0228

DirBase: 3e0c4140 ObjectTable: 810db540 HandleCount: <Data Not Accessible>

Image: svchost.exe

PROCESS 87921040 SessionId: 1 Cid: 031c Peb: 7f0ca000 ParentCid: 01fc

DirBase: 3e0c4160 ObjectTable: 8115f3c0 HandleCount: <Data Not Accessible>

Image: dwm.exe

PROCESS 87924800 SessionId: 0 Cid: 0324 Peb: 7f675000 ParentCid: 0228

DirBase: 3e0c4180 ObjectTable: 81162700 HandleCount: <Data Not Accessible>

Image: svchost.exe

PROCESS 87927cc0 SessionId: 1 Cid: 032c Peb: 7f52a000 ParentCid: 01fc

DirBase: 3e0c41a0 ObjectTable: 00000000 HandleCount: 0.

Image: LogonUI.exe

PROCESS 87965040 SessionId: 0 Cid: 0370 Peb: 7f37b000 ParentCid: 0228

DirBase: 3e0c41c0 ObjectTable: 8eee19c0 HandleCount: <Data Not Accessible>

Image: svchost.exe

PROCESS 879a2cc0 SessionId: 0 Cid: 03c8 Peb: 7fbb8000 ParentCid: 0228

DirBase: 3e0c41e0 ObjectTable: 9d4a4380 HandleCount: <Data Not Accessible>

Image: svchost.exe

PROCESS 879b8040 SessionId: 0 Cid: 0428 Peb: 7f399000 ParentCid: 0228

DirBase: 3e0c4200 ObjectTable: 9d4dd400 HandleCount: <Data Not Accessible>

Image: svchost.exe

PROCESS 879d1900 SessionId: 0 Cid: 0498 Peb: 7f928000 ParentCid: 0228

DirBase: 3e0c4220 ObjectTable: 9d4f5b00 HandleCount: <Data Not Accessible>

Image: svchost.exe

PROCESS 87a2c780 SessionId: 0 Cid: 0520 Peb: 7f35a000 ParentCid: 0228

DirBase: 3e0c4260 ObjectTable: 9d549940 HandleCount: <Data Not Accessible>

Image: spoolsv.exe

PROCESS 87a3f040 SessionId: 0 Cid: 0540 Peb: 7f95f000 ParentCid: 0228

DirBase: 3e0c4280 ObjectTable: 9d553500 HandleCount: <Data Not Accessible>

Image: svchost.exe

PROCESS 87b2f6c0 SessionId: 0 Cid: 05f4 Peb: 7ffdf000 ParentCid: 0228

DirBase: 3e0c4240 ObjectTable: 9f657680 HandleCount: <Data Not Accessible>

Image: sppsvc.exe

PROCESS 87af98c0 SessionId: 0 Cid: 062c Peb: 7fa35000 ParentCid: 05f4

DirBase: 3e0c42a0 ObjectTable: 00000000 HandleCount: 0.

Image: slsvc.exe

PROCESS 87b51580 SessionId: 0 Cid: 063c Peb: 7fb43000 ParentCid: 0228

DirBase: 3e0c42c0 ObjectTable: 9f69c980 HandleCount: <Data Not Accessible>

Image: vmtoolsd.exe

PROCESS 87b6f040 SessionId: 0 Cid: 0680 Peb: 7ff69000 ParentCid: 0228

DirBase: 3e0c4300 ObjectTable: 9f6e0180 HandleCount: <Data Not Accessible>

Image: MsMpEng.exe

PROCESS 87aa94c0 SessionId: 1 Cid: 07fc Peb: 7fa6f000 ParentCid: 0228

DirBase: 3e0c4360 ObjectTable: 9e483f40 HandleCount: <Data Not Accessible>

Image: taskhostex.exe

PROCESS 99ee4cc0 SessionId: 0 Cid: 06e8 Peb: 7f00f000 ParentCid: 0228

DirBase: 3e0c43c0 ObjectTable: 9f6c2ec0 HandleCount: <Data Not Accessible>

Image: dllhost.exe

PROCESS 87bf1300 SessionId: 0 Cid: 089c Peb: 7f74c000 ParentCid: 0228

DirBase: 3e0c4340 ObjectTable: 9eea09c0 HandleCount: <Data Not Accessible>

Image: msdtc.exe

PROCESS 99f0a040 SessionId: 1 Cid: 091c Peb: 7f0da000 ParentCid: 082c

DirBase: 3e0c4400 ObjectTable: 9eebbb00 HandleCount: <Data Not Accessible>

Image: explorer.exe

PROCESS a1e14540 SessionId: 0 Cid: 0a58 Peb: 7f17f000 ParentCid: 0228

DirBase: 3e0c43a0 ObjectTable: 9e4cb440 HandleCount: <Data Not Accessible>

Image: svchost.exe

PROCESS 87af6040 SessionId: 0 Cid: 0b2c Peb: 7f53f000 ParentCid: 0228

DirBase: 3e0c4480 ObjectTable: 9ef95840 HandleCount: <Data Not Accessible>

Image: SearchIndexer.exe

PROCESS 861d3cc0 SessionId: 1 Cid: 0be8 Peb: 7f7ff000 ParentCid: 091c

DirBase: 3e0c4500 ObjectTable: a2640f40 HandleCount: <Data Not Accessible>

Image: vmtoolsd.exe

PROCESS 866cd780 SessionId: 0 Cid: 0f58 Peb: 7f28f000 ParentCid: 0324

DirBase: 3e0c4320 ObjectTable: 9f766c40 HandleCount: <Data Not Accessible>

Image: audiodg.exe

PROCESS 8777c240 SessionId: 1 Cid: 0f7c Peb: 7fdb3000 ParentCid: 0428

DirBase: 3e0c42e0 ObjectTable: a33439c0 HandleCount: <Data Not Accessible>

Image: TabTip.exe

PROCESS 99eecb80 SessionId: 0 Cid: 0a78 Peb: 7f8e7000 ParentCid: 0228

DirBase: 3e0c44c0 ObjectTable: a2767300 HandleCount: <Data Not Accessible>

Image: sppsvc.exe

PROCESS 87b2b580 SessionId: 0 Cid: 078c Peb: 7f30f000 ParentCid: 0370

DirBase: 3e0c4440 ObjectTable: a26a96c0 HandleCount: <Data Not Accessible>

Image: WMIADAP.exe

PROCESS 99e7db40 SessionId: 0 Cid: 0d38 Peb: 7f8ca000 ParentCid: 0288

DirBase: 3e0c4380 ObjectTable: a32fb6c0 HandleCount: <Data Not Accessible>

Image: WmiPrvSE.exe

분석하는데 그다지 쉽지 않군요. 일단 목록부터 올려봅니다.

vmtoolsd.exe 는 신경쓰지 않으셔도 될겁니다. vmware 툴에 포함되는 녀석입니다.

https://windowsforum.kr/free/3590742 홈으로 위로 목록

댓글 [19]

선지자 2012.09.04 14:12

해당파일을 찾는게 더어려운데요
오펜하이머 2012.09.04 15:40

아스키든 비트맵이든 화면에 보이면 메모리에 올라 있을터 메모리 내에서 먼저 위치를 찾는게 순서입니다.
파일이야 웹상에 있을수도 있고하니 ...
Per4u3e 2012.09.04 19:39

웹상에 없습니다. VM에서 인터넷 연결 한번도 안 하고 설치된 머신에서도 잘 떠요 (...)
카리스마조 2012.09.04 14:20

감사합니다. 살펴보겠습니다.
파란창 안뜰때와 비교는 안되는지요?
Per4u3e 2012.09.04 14:22

하나하나 kill 해가면서 확인해본 결과 파란창은 explorer.exe 로 확인되었습니다. explorer.exe 를 kill 하니까 창이 죽는군요.
Per4u3e 2012.09.04 14:23

파란창 안 떠있을 때에도 프로세스 목록은 동일하네요.
카리스마조 2012.09.04 14:29

프로세서 목록이 동일하다면 explorer에 종속되어 있는것 같습니다.
그럼 저의 실험결과에 따라 확실해 지겠군요
카리스마조 2012.09.04 14:30

시간나실때 대버깅하는 방법좀 알려주세요.
직접 한번 해보게요.
Per4u3e 2012.09.04 14:51

WinDbg 이용해서 VMware 에서 돌아가는 OS 를 잡아다 디버깅하고 있습니다. 디버거 연결 자체는 그다지 어렵지 않고요, 구글링해서 걸린 쓸만한 링크 몇개 놓아두겠습니다.
https://codeengn.com/archive/Reverse%20Engineering/Tools/WinDbg%20%EC%82%AC%EC%9A%A9%EB%B2%95%20%5Bhajesoft%5D.pdf
https://amur.tistory.com/13
https://groups.google.com/forum/?fromgroups#!forum/microsoft.public.windbg
https://heathaze.tistory.com/entry/WinDbg%EB%AA%85%EB%A0%B9%EC%96%B4-%EC%A0%95%EB%A6%AC
https://core.ahnlab.com/137
https://msdn.microsoft.com/en-us/library/windows/hardware/ff542187(v=vs.85).aspx
카리스마조 2012.09.04 14:33

저도 어제 explorer과 twinui를 의심해서 2개의 파일을 저만 접근할수 있도록 하고 system과 서비스의 접근을 차단했는대 그래도 뜨더군요 explorer를 사용못하도록 하면 안뜹니다.
Per4u3e 2012.09.04 14:46

다음 두 파일은 각각 인증창이 떴을 때와 뜨지 않았을 때의 explorer.exe 가 로드하는 DLL 목록입니다.
DLL 로 보아 인증창은 XML로 작성된거같고요 ( Metro UI 코딩하듯이 )...

+ 실수로 잘못 업로드해서 ;; 다시 올립니다.
Per4u3e 2012.09.04 15:16

비교하기 쉽게 DLL 경로만 남겼습니다.
하얀고니 2012.09.04 14:46

종속된 녀석이면 ProcessExplorer로 확인 가능하지 않을까요??
Per4u3e 2012.09.04 14:53

아시다시피 인증창이 떠있는 동안은 다른 어플리케이션을 실행할 수 있는 방법도 극히 제한적이고 최상위 창으로 뜨는 덕분에 화면을 보기도 힘들거든요...
Per4u3e 2012.09.04 15:19

차이점은 파란 창 뜰 때

C:\Program Files\Internet Explorer\ieproxy.dll
C:\Windows\System32\framedynos.dll
C:\Windows\System32\hcproviders.dll
C:\Windows\System32\msxml6.dll
C:\Windows\SYSTEM32\usbui.dll

C:\Windows\System32\wer.dll
C:\Windows\System32\werconcpl.dll
C:\Windows\System32\wercplsupport.dll

C:\Windows\System32\WSCAPI.dll
C:\Windows\System32\wscinterop.dll
C:\Windows\System32\wscui.cpl

가 추가로 로드되고

C:\Windows\System32\taskschd.dll

가 로드되지 않았습니다.
카리스마조 2012.09.04 15:54

추가로 로드되는 dll 파일을 전부 제거해도 3시간후에 파란창이 뜨는군요
시모스 셋업으로 시간돌리기 4회만에 뜨는군요
Per4u3e 2012.09.04 16:50

아무래도 explorer.exe 내부에 존재하는듯 합니다... 메트로 UI 리소스를 뜯을 만한 도구가 지금 없는걸로 보이는데.. 흠..
오펜하이머 2012.09.04 17:08

그래도 그건 아닐것 같은데요?
다른 컴에서 그 파일을 교체해도 같을테니까요.
한번 실행된 태스크를 빼낸다고 반드시 사라는게 아닐수도 있겠죠..
Per4u3e 2012.09.04 18:44

무슨 소리신지; String 테이블에 없다고 mui 처리 못하는 것도 아니고요...

홈으로 위로 목록

번호	제목	글쓴이	조회	등록일
[공지]	자유 게시판 이용간 유의사항 (정치, 종교, 시사 게시물 자제) [1]	gooddew	-	-
14146	백신을 따로 써야 겠네요... [5]	오백원	1981	09-05
14145	해외검색사이트.. 주로 어딜사용하시나요? [13]	굿보이	2195	09-05
14144	윈8설치중 원래 이런 화면도 있나요? [1]	윈도우찬양	1944	09-05
14143	윈도우포럼 접속 [3]	월미도	5520	09-05
14142	윈도 투 고( Windows To Go) 강좌 [5]	불터스	2378	09-05
14141	발가락 무좀 ..가려움 많으신분 잠깐만 눈팅하세요 [15]	dreamisFai	9153	09-05
14140	싸이가 드디어 미국진출했네요 [1]	고맙쥐	1297	09-05
14139	k-pop 이해가 안되서 질문 하나만 할께요. [5]	kokorozzin	1566	09-05
14138	윈도우포럼 왜이리나 ...	블루포	2058	09-05
14137	해외여행주의사항이라는데	그런거죠	1638	09-05
14136	키움증권 영웅문이 윈8에선 엄청 버벅이네요? [5]	칼슘	3744	09-05
14135	사용자 계정에 관한 궁금 [1]	미부두	1290	09-05
14134	역시 중국이니까 가능한?.. [3]	오페라맨	2285	09-05
14133	볼륨, 리테일 주로 어떤걸 선호하십니까? [7]	미부두	3782	09-05
14132	승합차 출발합니다. [13]	익명요	3001	09-05
14131	윈8 winload.exe [2]	하얀고니	2832	09-04
14130	지금 중국에서는.. [5]	굿보이	3700	09-04
14129	이제품 괜찮을까요... [5]	굿보이	1871	09-04
14128	카*님의 위엄.. [23]	굿보이	4164	09-04
14127	[잡담] LG전자 플래트론LED E2442V-BN	체이서블럭	2301	09-04

첫 페이지 1692 1693 1694 1695 1696 1697 1698 1699 1700 1701 끝 페이지

홈으로 위로 목록

일단 파란창 뜰 때의 프로세스 목록입니다.

댓글 [19]

선지자 2012.09.04 14:12

오펜하이머 2012.09.04 15:40

Per4u3e 2012.09.04 19:39

카리스마조 2012.09.04 14:20

Per4u3e 2012.09.04 14:22

Per4u3e 2012.09.04 14:23

카리스마조 2012.09.04 14:29

카리스마조 2012.09.04 14:30

Per4u3e 2012.09.04 14:51

카리스마조 2012.09.04 14:33

Per4u3e 2012.09.04 14:46

Per4u3e 2012.09.04 15:16

하얀고니 2012.09.04 14:46

Per4u3e 2012.09.04 14:53

Per4u3e 2012.09.04 15:19

카리스마조 2012.09.04 15:54

Per4u3e 2012.09.04 16:50

오펜하이머 2012.09.04 17:08

Per4u3e 2012.09.04 18:44