Σκοτεινά αρχεία συστήματος των Windows και γιατί πρέπει να γνωρίζετε για αυτά

Το λειτουργικό σύστημα Windows αποτελείται από μια μεγάλη ποικιλία αρχείων και προγραμμάτων. Ορισμένα από αυτά εκτελούνται συνεχώς, ενώ άλλα καλούνται από το λειτουργικό σύστημα μόνο περιστασιακά.

Σχεδόν όλα τα βασικά αρχεία(Windows) του λειτουργικού συστήματος των Windows αποθηκεύονται στους φακέλους C:\Windows\System και C:\Windows\System32 (στον υπολογιστή σας, το γράμμα της μονάδας δίσκου μπορεί να είναι διαφορετικό). Ο ίδιος ο φάκελος των Windows(Windows) περιέχει επίσης έναν αριθμό βασικών αρχείων.

Όλα τα προγράμματα που είναι εγκατεστημένα στον υπολογιστή σας έχουν συνήθως εκτελέσιμα και σχετικά αρχεία αποθηκευμένα στο C:\Program Files ή στο C:\Program Files (x86) .

Γενικά, δεν θέλετε ποτέ να τροποποιήσετε, να διαγράψετε ή να μετακινήσετε οποιοδήποτε από τα αρχεία συστήματος των Windows που βρίσκονται σε οποιονδήποτε από αυτούς τους καταλόγους. Ωστόσο, υπάρχουν μερικά αρχεία που αποτελούν τον πυρήνα της λειτουργίας του λειτουργικού συστήματος. Εάν αυτά τα αρχεία διαγραφούν ή καταστραφούν με άλλο τρόπο, θα χρειαστεί να επαναφέρετε το λειτουργικό σας σύστημα Windows .

Ntoskrnl.exe

Αυτό το εκτελέσιμο αρχείο είναι η εικόνα του πυρήνα. Αυτό σημαίνει ότι είναι ουσιαστικά ο βασικός κώδικας (το εκτελεστικό) που κάνει το λειτουργικό σύστημα να λειτουργεί σωστά. 

Αυτός ο κώδικας χειρίζεται τη διαχείριση υλικού, διεργασιών συστήματος και διαχείρισης μνήμης. Είναι επίσης ο κώδικας που προγραμματίζει ποιες εφαρμογές έχουν πρόσβαση στον επεξεργαστή συστήματος και πόση μνήμη (και διευθύνσεις μνήμης) έχουν εκχωρηθεί για χρήση.

Αυτό το εκτελέσιμο εμφανίζεται στη Διαχείριση εργασιών(Task Manager) με το όνομα Σύστημα(System) και Μητρώο(Registry) . Είναι ένα εξαιρετικά προστατευμένο αρχείο, επομένως είναι δύσκολο για οποιαδήποτε εφαρμογή, όπως κακόβουλο λογισμικό, να καταστρέψει ή να διαγράψει το αρχείο.

Σε παλαιότερες εκδόσεις των Windows , εάν ανοίξατε μεγάλο αριθμό εφαρμογών, το Ntoskrnl.exe θα άρχιζε να καταναλώνει μεγάλη ποσότητα μνήμης. Ξεκινώντας με τα Windows 10(Windows 10) , το Ntoskrnl.exe συμπιέζει πλέον μη χρησιμοποιούμενες σελίδες αντί να τις αποθηκεύει στη μνήμη. Αυτό μειώνει την κατανάλωση μνήμης, αλλά μπορεί να αυξήσει τη χρήση της CPU εάν εκτελείτε πολλές εφαρμογές ταυτόχρονα.

Ntkrnlpa.exe

Αυτή η διαδικασία είναι ένα βασικό στοιχείο λογισμικού του πυρήνα και του κώδικα συστήματος των Microsoft Windows . Το όνομα σημαίνει New Technology Kernel Process Allocator . Παράλληλα με το Ntoskrnl.exe(Alongside Ntoskrnl.exe) , ελέγχει τον προγραμματισμό και τη διαχείριση της μνήμης.

Αποτρέπει επίσης την πρόσβαση μη βασικών εφαρμογών και υπηρεσιών στις βασικές περιοχές του λειτουργικού συστήματος, γεγονός που διατηρεί το λειτουργικό σύστημα με ασφάλεια σε μια προστατευμένη περιοχή της μνήμης του συστήματος.

Δεδομένου ότι το Ntkrnlpa.exe είναι υπεύθυνο για τον αποκλεισμό των εφαρμογών από την πρόσβαση στην προστατευμένη μνήμη συστήματος, πολλοί χρήστες συχνά πιστεύουν ότι το Ntkrnlpa.exe προκαλεί αποτυχία συστήματος των Windows . (Windows)Αυτό συμβαίνει επειδή το Ntkrnlpa.exe είναι η διαδικασία που επιστρέφει το σφάλμα.

Συνήθως η αιτία αυτού είναι στην πραγματικότητα κάποια μορφή κακόβουλου λογισμικού που προσπαθεί να προκαλέσει προστατευμένη μνήμη συστήματος, ξεκινώντας τα σφάλματα Ntkrnlpa.exe .

Hal.dll

Ένα άλλο βασικό αρχείο που σχετίζεται με τον πυρήνα του συστήματος και το βασικό σύστημα είναι το Hal.dll . Το όνομα αυτού του αρχείου DLL σημαίνει Hardware Abstraction Layer.

Αυτό το αρχείο περιέχει κώδικα πυρήνα που επιτρέπει στις εφαρμογές να αλληλεπιδρούν με το υλικό του υπολογιστή χρησιμοποιώντας απλές λειτουργίες προγράμματος αντί περίπλοκου κώδικα μηχανής. 

Με εύστοχη ονομασία, αφαιρεί την αφαίρεση από την επικοινωνία και τον έλεγχο του υλικού του υπολογιστή.

Αυτό το εκτελέσιμο εκτελείται μέσα στη μνήμη RAM(RAM) και βρίσκεται στον κατάλογο System32 .

Το Hal.dll(Hal.dll) συνήθως δεν προκαλεί προβλήματα με τον υπολογιστή, ωστόσο ορισμένες εφαρμογές κακόβουλου λογισμικού προσπαθούν να αποκρύψουν τα εκτελέσιμα αρχεία τους δίνοντάς τους το ίδιο όνομα. Ωστόσο, μπορείτε να την αναγνωρίσετε ως πλαστό εφαρμογή όταν βρίσκεται σε διαφορετικό φάκελο από το System32 .

Μην σταματήσετε ποτέ την εργασία Hal.dll , καθώς αυτό θα καταστήσει το σύστημά σας μη λειτουργικό και θα μπορούσε να σας αναγκάσει να επαναφέρετε το λειτουργικό σύστημα Windows .

Win32k.sys

Αυτό το αρχείο είναι αυτό που είναι γνωστό ως το αρχείο προγράμματος οδήγησης Win32(Multi-User Win32) για πολλούς χρήστες, το οποίο κυκλοφόρησε αρχικά ως μέρος του λειτουργικού συστήματος Windows XP . Έχει αναβαθμιστεί μέσω κάθε νέας έκδοσης των Windows, συμπεριλαμβανομένων των Windows 10(Windows) .

Είναι μια διεπαφή προγράμματος οδήγησης γραφικών που διαχειρίζεται την αποστολή γραφικών σε οθόνες και άλλες συσκευές εξόδου. Ο κώδικας εκτελείται από το gdi32.dll στα Windows 10. 

Δυστυχώς, επειδή το Win32k.sys είναι ένα τόσο μακροχρόνιο βασικό στοιχείο του λειτουργικού συστήματος Windows και επειδή βρίσκεται σε έναν φάκελο ( Program Files ) που συνήθως δεν προστατεύεται τόσο καλά όσο ο φάκελος System32 , το κακόβουλο λογισμικό στοχεύει συχνά αυτό το αρχείο για διαφθορά.

Επιπλέον, είναι επίσης ένα κοινό όνομα που επιλέγεται από κακόβουλο λογισμικό για τα δικά του αρχεία, έτσι ώστε οι χρήστες να μην υποψιάζονται το αρχείο ως μέρος μόλυνσης υπολογιστή.

Ntdll.dll

Αυτό το αρχείο βρίσκεται στους καταλόγους συστήματος System και System32 . Η περιγραφή του αρχείου είναι NT Layer DLL . Είναι ουσιαστικά ένα αρχείο DLL που περιέχει βασικές λειτουργίες πυρήνα NT.

Αυτό σημαίνει ότι περιέχει τον κωδικό μηχανής που επιτρέπει στο βασικό λειτουργικό σύστημα να λειτουργεί σωστά. Το πρόγραμμα πυρήνα του πυρήνα έχει πρόσβαση σε συναρτήσεις που περιέχονται στο Ntdll.dll και αυτό το αρχείο επεξεργάζεται αυτές τις συναρτήσεις σε επίπεδο μηχανής.

Εάν δείτε τυχόν μηνύματα σφάλματος που προέρχονται από τη διαδικασία Ntdll.dll , αυτό συνήθως προκαλείται είτε από ένα κατεστραμμένο αρχείο Ntdll.dll είτε από προβλήματα υλικού στον υπολογιστή σας που προκαλούν τη διακοπή λειτουργίας της διαδικασίας.

Συνήθως, η επανεγκατάσταση του προγράμματος οδήγησης υλικού που προκαλεί το σφάλμα συνήθως επιλύει το σφάλμα. Εάν το πρόβλημα είναι κατεστραμμένο αρχείο Ntdll.dll , το λογισμικό προστασίας από ιούς μπορεί να επιδιορθώσει το πρόβλημα. Εάν δεν μπορεί, ενδέχεται να απαιτείται επαναφορά των Windows .(Windows)

Kernel32.dll

Αυτό το αρχείο DLL είναι ένα άλλο που βρίσκεται ως μέρος του πυρήνα του λειτουργικού συστήματος των Windows . Διαχειρίζεται τη μνήμη, συμπεριλαμβανομένων των διακοπών μνήμης. Διαχειρίζεται επίσης όλες τις λειτουργίες εισόδου και εξόδου.

Το Kernel32.dll(Kernel32.dll) είναι ένα άλλο αρχείο που φορτώνεται σε προστατευμένο χώρο μνήμης όπου οι εφαρμογές των τακτικών χρηστών δεν μπορούν να λειτουργήσουν.

Εάν δείτε ποτέ κάποιο σφάλμα που σχετίζεται με το Kernel32.dll , αυτό συνήθως οφείλεται είτε σε κακόβουλο λογισμικό είτε σε κατεστραμμένα προγράμματα οδήγησης υλικού (ή σε ελαττωματικό υλικό) που προσπαθούν να εγγράψουν στην προστατευμένη μνήμη όπου βρίσκεται το Kernel32.dll . Συνήθως η επανεγκατάσταση προγραμμάτων οδήγησης υλικού ή νέου υλικού επιλύει αυτά τα σφάλματα.

Advapi32.dll

Αυτό το αρχείο DLL είναι ένα άλλο βασικό στοιχείο του λειτουργικού συστήματος Windows . Το όνομά του σημαίνει Advanced Application Programming Interface ή Advanced API . Διαχειρίζεται κλήσεις ασφαλείας συστήματος και κλήσεις έναντι του μητρώου συστήματος.

Αυτό το DLL διαχειρίζεται την εκκίνηση και τον τερματισμό των Windows , διαχειρίζεται το μητρώο των Windows , το χειρισμό λογαριασμών χρηστών και την ασφάλεια λογαριασμών και τη διαχείριση των υπηρεσιών των Windows .

Αν και αυτό το αρχείο δεν απαιτείται για τη σωστή εκκίνηση των Windows , απαιτείται για τη σωστή λειτουργία των περισσότερων εφαρμογών και υλικού. Εάν αυτό το αρχείο συστήματος των Windows(Windows) διαγραφεί ή καταστραφεί, οποιεσδήποτε κλήσεις API εφαρμογής για πρόσβαση στο μητρώο συστήματος ή την ασφάλεια θα αποτύχουν και θα δείτε μια σειρά από μηνύματα σφάλματος.

User32.dll

Ένα άλλο βασικό DLL , αυτό το αρχείο συστήματος των Windows περιέχει το μεγαλύτερο μέρος του βασικού API των Windows(Windows API) για τις εφαρμογές των χρηστών για επικοινωνία με το λειτουργικό σύστημα. Χειρίζεται τα περισσότερα από τα εγγενή παράθυρα και τα στοιχεία ελέγχου που εμφανίζονται από τις εφαρμογές των Windows .

Οποιαδήποτε εφαρμογή έχει γραφική διεπαφή χρήστη χρησιμοποιεί συνήθως στοιχεία που προσφέρονται από το αρχείο  User32.dll .

Ωστόσο, στις περισσότερες περιπτώσεις, οι εφαρμογές των Windows(Windows) χρησιμοποιούν βιβλιοθήκες ενσωματωμένες στο πλαίσιο .NET των Windows(Windows .NET) , το οποίο με τη σειρά του διαχειρίζεται την επικοινωνία με το User32.dll

Σε κάθε περίπτωση, το User32.dll μεταφράζει τον κοινό, κατανοητό κώδικα εφαρμογής στις εντολές σε επίπεδο μηχανής που απαιτούνται από το λειτουργικό σύστημα Windows .

Gdi32.dll

Όπως το User32.dll , το Gdi32.dll περιέχει λειτουργίες που επιτρέπουν στις εφαρμογές να δημιουργούν γραφικές διεπαφές χρήστη στην οθόνη.

Το Gdi32.dll(Gdi32.dll) περιέχει λειτουργίες που επιτρέπουν στις εφαρμογές να δημιουργούν δισδιάστατα αντικείμενα στην οθόνη. Δέχεται κώδικα είτε από μια εφαρμογή ή υπηρεσία των Windows και εκτελεί τον απαιτούμενο κώδικα μηχανής για την εμφάνιση των οπτικών αντικειμένων στην οθόνη.

Ενώ ένα λειτουργικό σύστημα Windows μπορεί να εκκινήσει ακόμη και όταν αυτό το DLL είναι κατεστραμμένο ή διαγραμμένο, η οθόνη του λειτουργικού συστήματος δεν θα λειτουργεί σωστά.

Άλλα σημαντικά αρχεία συστήματος των Windows(Other Important Windows System Files)

Ενώ αυτά είναι τα βασικά αρχεία συστήματος των Windows και τα εκτελέσιμα που απαιτούνται για τη σωστή λειτουργία του λειτουργικού συστήματος Windows , υπάρχουν μερικά πρόσθετα αρχεία που απαιτούνται για να λειτουργούν σωστά οι μη κρίσιμες λειτουργίες του συστήματος υπολογιστή.

  • Pagefile.sys : Βοηθά το λειτουργικό σύστημα να διαχειρίζεται το χώρο της μνήμης RAM και να βελτιώνει την απόδοση του συστήματος.
  • Swapfile.sys : Αυτό είναι ένα νεότερο αρχείο συστήματος που βοηθά στη μεταφορά σύγχρονων εφαρμογών των Windows στον σκληρό δίσκο όταν βρίσκονται σε κατάσταση αδρανοποίησης.
  • Crss.exe : Αυτή είναι μια διαδικασία χρόνου εκτέλεσης διακομιστή πελάτη που χειρίζεται τα παράθυρα της κονσόλας και τη διαδικασία τερματισμού λειτουργίας των Windows .
  • Shell32.dll : Περιέχει λειτουργίες API κελύφους των Windows(Windows) που επιτρέπουν στα προγράμματα περιήγησης ιστού και σε άλλες εφαρμογές να εμφανίζουν σωστά στοιχεία του λειτουργικού συστήματος, όπως τη γραμμή εργασιών, την επιφάνεια εργασίας και το μενού Έναρξη .(Start)
  • Smss.exe : Το υποσύστημα διαχείρισης συνεδριών χειρίζεται περιόδους σύνδεσης χρήστη, συμπεριλαμβανομένων των ρυθμίσεων σύνδεσης στα Windows(Windows) και συστήματος χρήστη.
  • Sxs.dll : Αυτό είναι ένα σημαντικό στοιχείο του λειτουργικού συστήματος των Windows που χειρίζεται αρχεία δήλωσης. Αυτά είναι αρχεία που λένε στα Windows(Windows) πώς να χειρίζονται μια εφαρμογή λογισμικού όταν εκκινείται.

Ενώ υπάρχουν πολλά περισσότερα λιγότερο κρίσιμα αρχεία συστήματος ως μέρος του λειτουργικού συστήματος των Windows , αυτά που αναφέρονται παραπάνω είναι μερικά από τα πιο κοινά. Εξαιτίας αυτού, συχνά στοχοποιούνται από κακόβουλο λογισμικό για να ξεγελάσουν τους χρήστες ώστε να πιστεύουν ότι τα αρχεία κακόβουλου λογισμικού είναι νόμιμα.

Οι περισσότερες εφαρμογές προστασίας από ιούς είναι σε θέση να αναγνωρίσουν ένα πλαστό αρχείο συστήματος των Windows(Windows) και συνήθως τα καθαρίζουν από το σύστημά σας προτού καταλάβετε ότι υπάρχουν.



About the author

Είμαι έμπειρος ειδικός στα windows 10 και 11/10, με εμπειρία τόσο σε προγράμματα περιήγησης όσο και σε εφαρμογές smartphone. Είμαι μηχανικός λογισμικού για περισσότερα από 15 χρόνια και έχω συνεργαστεί με μια σειρά από μεγάλες εταιρείες, όπως η Microsoft, η Google, η Apple, η Ubisoft και άλλες. Έχω διδάξει επίσης ανάπτυξη windows 10/11 σε επίπεδο κολεγίου.



Related posts