Nieczytelne pliki systemowe Windows i dlaczego warto o nich wiedzieć


System operacyjny Windows składa się z dużego asortymentu plików i programów. Niektóre z nich działają cały czas, a inne są wywoływane przez system operacyjny tylko sporadycznie.

Prawie wszystkie podstawowe pliki systemu operacyjnego Windows są przechowywane w folderach C: \ Windows \ System i C: \ Windows \ System32(na komputerze litera dysku może być inna). Sam folder Windows zawiera również wiele niezbędnych plików.

Wszystkie programy zainstalowane na komputerze zazwyczaj mają pliki wykonywalne i powiązane przechowywane w folderze C: \ Program Fileslub C: \ Program Files (x86).

Zasadniczo nigdy nie chcesz modyfikować, usuwać ani przenosić plików systemu Windows znajdujących się w żadnym z tych katalogów . Istnieje jednak kilka plików, które są kluczowe dla funkcji systemu operacyjnego. Jeśli pliki te zostaną usunięte lub w inny sposób uszkodzone, musisz przywrócić system operacyjny Windows.

Ntoskrnl.exe

Plik wykonywalny to obraz jądra . Oznacza to, że jest to zasadniczo kod podstawowy (wykonawczy), który sprawia, że ​​system operacyjny działa poprawnie.

Ten kod obsługuje zarządzanie sprzętem, procesami systemowymi i zarządzaniem pamięcią. Jest to również kod, który planuje, które aplikacje mają dostęp do procesora systemowego i ile pamięci (i adresów pamięci) są przydzielone do wykorzystania.

In_content_1 all: [300x250] / dfp: [640x360]->

Ten plik wykonywalny pojawia się w Menedżer zadań o nazwie System i rejestr. Jest to plik silnie chroniony, więc żadna aplikacja, taka jak złośliwe oprogramowanie, nie może go uszkodzić ani usunąć.

W starszych wersjach systemu Windows, jeśli otworzysz dużą liczbę aplikacji, uruchomi się Ntoskrnl.exe zużywa dużą ilość pamięci. Począwszy od systemu Windows 10, Ntoskrnl.exe teraz kompresuje nieużywane strony, zamiast przechowywać je w pamięci. Zmniejsza to zużycie pamięci, ale może zwiększyć użycie procesora, jeśli uruchamiasz wiele aplikacji jednocześnie.

Ntkrnlpa.exe

Ten proces jest podstawowym oprogramowaniem składnik jądra i kodu systemu Microsoft Windows. Nazwa oznacza alokator procesów jądra nowej technologii. Oprócz Ntoskrnl.exe kontroluje planowanie i zarządzanie pamięcią.

Uniemożliwia również aplikacjom i usługom innym niż rdzeń dostęp do podstawowych obszarów systemu operacyjnego, co zapewnia bezpieczne działanie systemu operacyjnego w chronionym obszarze systemu. memory.

Od Ntkrnlpa. exe jest odpowiedzialny za blokowanie dostępu aplikacji do chronionej pamięci systemowej, wielu użytkowników często uważa, że ​​to Ntkrnlpa.exe powoduje awarię systemu Windows. Wynika to z faktu, że Ntkrnlpa.exe to proces, który zwraca błąd.

Zwykle przyczyną tego jest złośliwe oprogramowanie próbujące spowodować chronioną pamięć systemową, uruchamiając błędy Ntkrnlpa.exe.

Hal.dll

Kolejnym plikiem rdzenia związanym z jądrem systemu i systemem rdzenia jest Hal.dll. Nazwa tego pliku DLL oznacza Hardware Abstraction Layer.

Ten plik zawiera kod podstawowy, który pozwala aplikacjom na interakcję ze sprzętem komputerowym za pomocą prostych funkcji programu, a nie skomplikowanego kodu maszynowego.

Odpowiednio nazwany, usuwa abstrakcję z komunikacji ze sprzętem komputerowym i kontrolowania go.

Ten plik wykonywalny działa w pamięci RAM i znajduje się w katalogu System32.

Hal.dll zwykle nie powoduje żadnych problemów z komputer, jednak niektóre szkodliwe programy próbują zamaskować pliki wykonywalne, nadając im tę samą nazwę. Można go jednak zidentyfikować jako fałszywą aplikację, gdy znajduje się w innym folderze niż System32.

Nigdy nie przerywaj zadania Hal.dll, ponieważ spowoduje to, że system nie będzie działał i może zmusić Cię do konieczności przywróć system operacyjny Windows.

Win32k.sys

Ten plik jest znany jako plik sterownika Win32 dla wielu użytkowników, pierwotnie wydany jako część System operacyjny Windows XP. Został zaktualizowany w każdej nowej wersji systemu Windows, w tym Windows 10.

Jest to interfejs sterownika karty graficznej, który zarządza wysyłaniem grafiki do monitorów i innych urządzeń wyjściowych. Kod jest wykonywany przez gdi32.dllw systemie Windows 10.

Niestety, ponieważ Win32k.sys był tak długo podstawowym elementem systemu operacyjnego Windows i ponieważ znajduje się w folderze (Program Files), który nie jest zazwyczaj tak dobrze chroniony, jak folder System32, złośliwe oprogramowanie często atakuje ten plik pod kątem uszkodzenia.

Dodatkowo, jest to również popularna nazwa wybierana przez złośliwe oprogramowanie dla własnych plików, aby użytkownicy nie podejrzewali, że plik jest częścią infekcji komputera.

Ntdll.dll

Ten plik znajduje się w katalogach systemowych System i System32. Opis pliku to NT Layer DLL. Zasadniczo jest to plik DLL zawierający podstawowe funkcje jądra NT.

Oznacza to, że zawiera kod maszynowy umożliwiający prawidłowe działanie podstawowego systemu operacyjnego. Podstawowy program jądra uzyskuje dostęp do funkcji zawartych w Ntdll.dll, a ten plik przetwarza funkcje na poziomie maszyny.

Jeśli zobaczysz jakieś komunikaty o błędach pochodzące z procesu Ntdll.dll, jest to zwykle spowodowane uszkodzonym plikiem Ntdll.dll lub problemami sprzętowymi na komputerze, który powodują awarię procesu.

Zwykle ponowna instalacja sterownika sprzętowego powodująca błąd zazwyczaj usuwa błąd. Jeśli problemem jest uszkodzony plik Ntdll.dll, oprogramowanie antywirusowe jest w stanie naprawić problem. Jeśli nie, konieczne może być przywrócenie systemu Windows.

Kernel32.dll

Ten plik DLL to kolejny plik znaleziony jako część jądra systemu operacyjnego Windows. Zarządza pamięcią, w tym przerwaniami pamięci. Zarządza także wszystkimi operacjami wejścia i wyjścia.

Kernel32.dll to kolejny plik, który jest ładowany do chronionej przestrzeni pamięci, w której zwykłe aplikacje użytkownika nie mogą działać.

Jeśli kiedykolwiek zobaczysz błąd związany z Kernel32.dll, zwykle jest to spowodowane złośliwym oprogramowaniem lub uszkodzonymi sterownikami sprzętowymi (lub wadliwym sprzętem) próbującymi zapisać w chronionej pamięci, w której znajduje się Kernel32.dll. Zwykle ponowna instalacja sterowników sprzętu lub nowego sprzętu rozwiązuje te błędy.

Advapi32.dll

Ten plik DLL jest kolejnym podstawowym składnikiem systemu operacyjnego Windows. Jego nazwa oznacza Advanced Application Programming Interface lub Advanced API. Obsługuje systemowe wywołania bezpieczeństwa i odwołania do rejestru systemowego.

Ta biblioteka DLL zarządza uruchamianiem i zamykaniem systemu Windows, zarządzanie rejestrem Windows, obsługą kont użytkowników i zabezpieczeniami kont oraz zarządzaniem usługami Windows.

Chociaż ten plik nie jest wymagany do Windows, aby uruchomić się poprawnie, jest wymagany do prawidłowego działania większości aplikacji i sprzętu. Jeśli ten plik systemowy Windows zostanie usunięty lub uszkodzony, wszelkie wywołania interfejsu API aplikacji w celu uzyskania dostępu do rejestru systemu lub zabezpieczeń zakończą się niepowodzeniem, a zobaczysz wiele komunikatów o błędach.

User32.dll

Kolejna podstawowa biblioteka DLL, ten plik systemowy Windows zawiera większość podstawowych API Windows dla aplikacji użytkownika do komunikacji z systemem operacyjnym. Obsługuje większość rodzimych okien i kontrolek wyświetlanych przez aplikacje Windows.

Każda aplikacja, która ma graficzny interfejs użytkownika, zwykle korzysta ze składników oferowanych przez plik User32.dll.

Jednak w większości przypadków , Aplikacje Windows wykorzystują biblioteki wbudowane w platformę Windows .NET, która z kolei zarządza komunikacją z User32.dll.

W obu przypadkach User32.dll tłumaczy wspólny, łatwy do zrozumienia kod aplikacji na polecenia na poziomie komputera wymagane przez system operacyjny Windows.

Gdi32 .dll

Podobnie jak User32.dll, Gdi32.dll zawiera funkcje umożliwiające aplikacjom tworzenie graficznych interfejsów użytkownika na monitorze.

Gdi32.dll zawiera funkcje, które pozwalają aplikacje tworzą na ekranie dwuwymiarowe obiekty. Akceptuje kod z aplikacji lub usługi Windows i wykonuje wymagany kod maszynowy, aby wyświetlić obiekty wizualne na monitorze.

Podczas gdy system operacyjny Windows może uruchomić się nawet po uszkodzeniu lub usunięciu tej biblioteki DLL, system operacyjny wyświetlanie systemu nie działa poprawnie.

Inne ważne pliki systemowe Windows

Chociaż są to podstawowe pliki systemowe Windows i pliki wykonywalne wymagane do prawidłowego działania w systemie operacyjnym Windows jest kilka dodatkowych plików wymaganych do poprawnego działania niekrytycznych funkcji systemu komputerowego.

  • Pagefile.sys: pomaga systemowi operacyjnemu zarządzać pamięcią RAM i poprawiać wydajność systemu.
  • Swapfile.sys: jest to nowszy plik systemowy, który pomaga w przenoszeniu nowoczesnych Aplikacje systemu Windows na dysk twardy, gdy są w stanie hibernacji.
  • Crss.exe: jest to proces wykonawczy serwera klienta, który obsługuje okna konsoli i system Windows proces zamykania systemu.
  • Shell32.dll: zawiera funkcje API powłoki Windows, które pozwalają przeglądarkom internetowym i innym aplikacjom wyświetlać elementy systemu operacyjnego, takie jak pasek zadań, pulpit i Menu Start poprawnie.
  • Smss.exe: Podsystem menedżera sesji obsługuje sesje użytkownika, w tym logowanie do systemu Windows i ustawienia systemowe użytkownika.
  • Sxs.dll: jest to ważny składnik systemu operacyjnego Windows, który obsługuje pliki manifestu. Są to pliki, które informują system Windows, jak obsługiwać aplikację podczas jej uruchamiania.
  • Chociaż w systemie operacyjnym Windows jest o wiele mniej krytycznych plików systemowych, niektóre z wyżej wymienionych Najpopularniejszy. Z tego powodu często są one atakowane przez złośliwe oprogramowanie w celu nakłonienia użytkowników do uznania, że ​​pliki złośliwego oprogramowania są legalne.

    Większość aplikacji antywirusowych jest w stanie zidentyfikować podrobiony plik systemowy Windows i zazwyczaj usuwa je z systemu, zanim się zorientujesz istnieją.

    Gynvael's Livestream #35: O fuzzowaniu z lcamtufem (part 2)

    Powiązane posty:


    3.11.2019