File di sistema di Windows oscuri e perché dovresti conoscerli


Il sistema operativo Windows è costituito da un vasto assortimento di file e programmi. Alcuni di questi vengono eseguiti continuamente, mentre altri vengono chiamati dal sistema operativo solo occasionalmente.

Quasi tutti i file principali del sistema operativo Windows sono archiviati nelle cartelle C: \ Windows \ System e C: \ Windows \ System32(sul computer, la lettera dell'unità potrebbe essere diversa). La stessa cartella di Windows contiene anche una serie di file essenziali.

Tutti i programmi installati sul computer in genere hanno file eseguibili e relativi archiviati in C: \ Programmio C: \ Programmi (x86).

In generale, non si desidera mai modificare, eliminare o spostare i file di sistema di Windows che si trovano in una di queste directory . Tuttavia, ci sono alcuni file che sono fondamentali per la funzione del sistema operativo. Se questi file vengono eliminati o altrimenti danneggiati, dovrai ripristinare il tuo sistema operativo Windows.

Ntoskrnl.exe

Questo eseguibile è l'immagine del kernel . Ciò significa che è essenzialmente il codice principale (il dirigente) a far funzionare correttamente il sistema operativo.

Questo codice gestisce la gestione dell'hardware, i processi di sistema e la gestione della memoria. È anche il codice che pianifica quali applicazioni hanno accesso al processore di sistema e quanta memoria (e indirizzi di memoria) sono allocate per l'uso.

In_content_1 all: [300x250] / dfp: [640x360]->

Questo eseguibile appare in Task Manager con il nome Sistema e Registro. È un file fortemente protetto, quindi è difficile per qualsiasi applicazione come malware corrompere o eliminare il file.

Nelle versioni precedenti di Windows, se avessi aperto un gran numero di applicazioni, Ntoskrnl.exe avrebbe iniziato consumando una grande quantità di memoria. A partire da Windows 10, Ntoskrnl.exe ora comprime le pagine non utilizzate anziché memorizzarle in memoria. Ciò riduce il consumo di memoria, ma può aumentare l'utilizzo della CPU se si eseguono molte applicazioni contemporaneamente.

Ntkrnlpa.exe

Questo processo è un software di base componente del kernel di Microsoft Windows e codice di sistema. Il nome sta per Allocatore di processi del kernel di nuova tecnologia. Oltre a Ntoskrnl.exe, controlla la pianificazione e la gestione della memoria.

Impedisce inoltre alle applicazioni e ai servizi non core di accedere alle aree principali del sistema operativo, mantenendo il sistema operativo in sicurezza in un'area protetta del sistema memoria.

Da Ntkrnlpa. exe è responsabile del blocco delle applicazioni dall'accesso alla memoria di sistema protetta, molti utenti spesso pensano che sia Ntkrnlpa.exe a causare un errore del sistema Windows. Questo perché Ntkrnlpa.exe è il processo che restituisce l'errore.

Di solito la causa di ciò è in realtà una forma di malware che tenta di causare memoria di sistema protetta, dando il via agli errori Ntkrnlpa.exe.

Hal.dll

Un altro file core relativo al kernel di sistema e al sistema principale è Hal.dll. Il nome di questo file DLL sta per Hardware Abstraction Layer.

Questo file contiene un codice di base che consente alle applicazioni di interagire con l'hardware del computer utilizzando semplici funzioni di programma anziché un codice macchina complicato.

Prontamente chiamato, rimuove l'astrazione dalla comunicazione e dal controllo dell'hardware del computer.

Questo eseguibile viene eseguito all'interno della memoria RAM e si trova nella directory System32.

Hal.dll in genere non causa alcun problema con computer, tuttavia alcune applicazioni malware tentano di occultare i loro eseguibili dando loro lo stesso nome. Tuttavia, puoi identificarlo come un'applicazione contraffatta quando si trova in una cartella diversa da System32.

Non interrompere mai l'attività Hal.dll in quanto ciò renderà il tuo sistema non funzionale e potrebbe costringerti a dover ripristinare il sistema operativo Windows.

Win32k.sys

Questo file è noto come file driver Win32 multiutente, originariamente rilasciato come parte del Sistema operativo Windows XP. È stato aggiornato attraverso ogni nuova versione di Windows, incluso Windows 10.

È un'interfaccia del driver grafico che gestisce l'invio di grafica a monitor e altri dispositivi di output. Il codice viene eseguito da gdi32.dllsu Windows 10.

Sfortunatamente, perché Win32k.sys è stato un elemento fondamentale del sistema operativo Windows da molto tempo e perché risiede in una cartella (Programmi) che non lo è di solito ben protetto come la cartella System32, il malware spesso prende di mira questo file per corruzione.

Inoltre, è anche un nome comune scelto dal malware per i propri file, in modo che gli utenti non sospettino il file come parte di un'infezione da computer.

Ntdll.dll

Questo file si trova nelle directory di sistema System e System32. La descrizione del file è DLL di livello NT. È essenzialmente un file DLL che contiene le funzioni del kernel NT di base.

Ciò significa che contiene il codice macchina che consente al sistema operativo di base di funzionare correttamente. Il programma del kernel principale accede alle funzioni contenute in Ntdll.dll e questo file elabora tali funzioni a livello di macchina.

Se vedi dei messaggi di errore provenienti dal processo Ntdll.dll, questo di solito è causato da un file Ntdll.dll corrotto o da problemi hardware sul tuo computer che stanno causando l'arresto anomalo del processo.

In genere, la reinstallazione del driver hardware che causa l'errore di solito risolve l'errore. Se il problema riguarda un file Ntdll.dll danneggiato, il software antivirus è in grado di risolvere il problema. In caso contrario, potrebbe essere necessario un ripristino di Windows.

Kernel32.dll

Questo file DLL è un altro trovato come parte del kernel del sistema operativo Windows. Gestisce la memoria, inclusi gli interrupt di memoria. Gestisce anche tutte le operazioni di input e output.

Kernel32.dll è un altro file che viene caricato nello spazio di memoria protetta dove le normali applicazioni utente non possono funzionare.

Se vedi mai un errore relativo a Kernel32.dll, in genere è dovuto a malware o driver hardware corrotti (o hardware difettoso) che tentano di scrivere nella memoria protetta in cui risiede Kernel32.dll. Di solito la reinstallazione di driver hardware o nuovo hardware risolve questi errori.

Advapi32.dll

Questo file DLL è un altro componente principale del sistema operativo Windows. Il suo nome sta per Advanced Application Programming Interface o Advanced API. Gestisce le chiamate di sicurezza del sistema e le chiamate contro il registro di sistema.

Questa DLL gestisce l'avvio e l'arresto di Windows, la gestione del registro di Windows, la gestione degli account utente e la sicurezza dell'account e la gestione dei servizi Windows.

Sebbene questo file non sia necessario per Windows si avvia correttamente, è necessario per il corretto funzionamento della maggior parte delle applicazioni e dell'hardware. Se questo file di sistema di Windows viene eliminato o danneggiato, qualsiasi chiamata all'API dell'applicazione per accedere al registro di sistema o alla sicurezza fallirà e vedrai una serie di messaggi di errore.

User32.dll

Un'altra DLL di base, questo file di sistema di Windows contiene la maggior parte dell'API di Windows di base per consentire alle applicazioni utente di comunicare con il sistema operativo. Gestisce la maggior parte delle finestre e dei controlli nativi visualizzati dalle applicazioni Windows.

Qualsiasi applicazione che ha un'interfaccia utente grafica in genere utilizza i componenti offerti dal file User32.dll.

Tuttavia, nella maggior parte dei casi , Le applicazioni Windows utilizzano librerie integrate nel framework Windows .NET, che a sua volta gestisce la comunicazione con User32.dll.

In entrambi i casi, User32.dll converte il codice dell'applicazione comune e di facile comprensione nei comandi a livello di macchina richiesti dal sistema operativo Windows.

Gdi32 .dll

Proprio come User32.dll, Gdi32.dll contiene funzioni che consentono alle applicazioni di creare interfacce utente grafiche sul monitor.

Gdi32.dll contiene funzioni che consentono le applicazioni creano oggetti bidimensionali sullo schermo. Accetta il codice da un'applicazione o un servizio Windows ed esegue il codice macchina richiesto per visualizzare gli oggetti visivi sul monitor.

Mentre un sistema operativo Windows può avviarsi anche quando questa DLL è corrotta o cancellata, il sistema operativo la visualizzazione del sistema non funzionerà correttamente.

Altri file di sistema Windows importanti

Mentre questi sono i file di sistema e gli eseguibili di Windows necessari per il corretto funzionamento di nel sistema operativo Windows, sono necessari alcuni file aggiuntivi per il corretto funzionamento delle funzioni non critiche del sistema informatico.

  • Pagefile.sys: aiuta il sistema operativo a gestire lo spazio di memoria RAM e migliorare le prestazioni del sistema.
  • Swapfile.sys: questo è un file di sistema più recente che aiuta a spostarsi in modo moderno App di Windows sul disco rigido quando si trovano in uno stato di ibernazione.
  • Crss.exe: si tratta di un processo di runtime del server client che gestisce le finestre della console e Windows processo di spegnimento.
  • Shell32.dll: contiene funzioni API della shell di Windows che consentono ai browser Web e ad altre applicazioni di visualizzare elementi del sistema operativo come la barra delle applicazioni, il desktop e Avvia correttamente il menu.
  • Smss.exe: il sottosistema del gestore sessioni gestisce le sessioni utente, inclusi l'accesso a Windows e le impostazioni di sistema dell'utente.
  • Sxs.dll: questo è un componente importante del sistema operativo Windows che gestisce file manifest. Questi sono file che indicano a Windows come gestire un'applicazione software quando viene lanciata.
  • Mentre ci sono molti più file di sistema meno critici come parte del sistema operativo Windows, quelli elencati sopra sono alcuni dei il più comune. Per questo motivo vengono spesso presi di mira dai malware per indurre gli utenti a pensare che i file malware siano legittimi.

    La maggior parte delle applicazioni antivirus sono in grado di identificare un file di sistema Windows contraffatto e generalmente puliranno quelli dal sistema prima che tu lo sappia esistono.

    The Guy Who Didn't Like Musicals

    Post correlati:


    3.11.2019