윈도우7에서 csrss.exe가 2개이상 되던데 바이러스 인가요...

 

윈도우7에서 로그인해서
작업관리자에서 보면, csrss.exe가 2개가 떠 있습니다.
이것은 바이러스가 아니고, 윈도우7의 session(세션) 정책 때문입니다.

세션이 뭐예요 ?
세션(session) 이라는 것은 로그온 사용자환경을 의미합니다

컴퓨터 켜서 로그인하면 
첫번째 로그인 id 는 session 1,
두번째 로그인 id 는 session 2...
이렇게 연결이 됩니다.

아래 그림은 부팅후 admin 권한의 로그인 아이디로 들어가서 그림을 캡처한 것입니다.
id 가 1로 나타나는 것을 보실 수 있습니다.

이번에는 user 권한의 (user) id로 로그인을 해서
사용자 전환을 해서 admin 권한의 (sungtg)와  전환해서 캡처한 그림입니다.

아이디
user ->  session 1
sungtg -> session 2

그럼 session 0는 뭘까요 ?

보통 우리가 윈도우에 로그온을 하게 되면 winlogon.exe explorer.exe csrss.exe가 실행이 됩니다.
위 그림 작업관리자/프로세스 에서 보듯이 explorer.exe csrss.exe가 각각 sungtg , user에 따로따로
실행이 되어 있는것을 확인 할 수 있을 겁니다

그러면....session 0 의 역할은 ....
session 0 은 윈도우시스템 프로세스들 과 윈도우서비스 프로세스들이 실행되는 영역입니다.
시스템 세션입니다.

비스타,  윈도우7부터  
사용자가 프로그램을 사용하는 메모리 영역과
시스템(윈도우)이 사용하는 메모리 영역을 서로 다르게 설정을 해놨습니다.

왜냐하면
기존에 윈도우xp에서는 로그온 하는 사용자가 session 0 영역을 사용했습니다
시스템이 사용하는 영역과 프로그램이 사용하는 영역이 같습니다.

그래서 악성코드나 바이러스, 해커들이
이 약점을 이용해서 침입해서 마치 윈도우서비스 인양 바이러스를 침투 시킬 수 있었습니다.
이것을 아예 차단하게 된것이죠..
윈도우7에서 로그온 하면 session 1 으로 매치가 되니까요..

그럼 xp에서 작업관리자를  잠깐 볼까요..

화면캡처하는 프로그램(snagit32) 이 
첫번째 그림에서 보듯이 윈도우7에서는 session 1에서 실행이 되지만..
xp에서는 session 0 레벨에서 실행이 되는 것을 확인할 수 있을 겁니다.

xp기준으로 가정을 해보자구요..

캡처프로그램에도 프린트서비스기능이 있는데..
이런 기능을 가장해서 윈도우서비스에 침입을 한다면
부팅될 때 마다 내 컴퓨터를 휘젓고 다닐 것이 뻔하겠지요..

윈도우서비스로 가장했으니 제어판에서 삭제한다고 해도 완전하게 삭제도 안될 것이고...
바이러스 체크프로그램으로 체크를 한다고 해도
안전모드에서 체크하지 않는 이상
체크프로그램이 제대로 된 윈도우서비스로 착각하게 될 가능성이 있습니다.
체크를 못하는 것이죠..
가정이지만 엑티브x 등 다른 경로가지고도 예상을 할 수 있을 겁니다.

비스타 부터 프로그램의 실행이나 버벅되는 것 때문에 짜증을 났어도..
바이러스가 잘 안걸리는 것은 익히 잘 아실 겁니다.

질문 중에 제일 많은 것이 바이러스나 보안 문제인데...
윈도우7으로 갈아 타보는 것도 나쁘지 않을 것 같네요....