Tệp hệ thống Windows ít người biết đến và tại sao bạn nên biết về chúng

0

Hệ điều hành Windows được tạo thành từ một lượng lớn các tệp và chương trình. Một số trong số này chạy mọi lúc, trong khi những người khác chỉ thỉnh thoảng được gọi bởi hệ điều hành.

Gần như tất cả các tệp hệ điều hành Windows cốt lõi được lưu trữ trong các thư mục C: Windows Hệ thốngC: Windows System32 (trên máy tính của bạn, ký tự ổ đĩa có thể khác). Bản thân thư mục Windows cũng chứa một số tệp cần thiết.

Tất cả các chương trình được cài đặt trên máy tính của bạn thường có các tệp thực thi và có liên quan được lưu trữ trong C: Program Files hoặc là C: Program Files (x86).

Nói chung, bạn không bao giờ muốn sửa đổi, xóa hoặc di chuyển bất kỳ tệp hệ thống Windows nào nằm trong bất kỳ thư mục nào trong số này. Tuy nhiên, có một số tệp là cốt lõi của chức năng của hệ điều hành. Nếu các tệp này bị xóa hoặc bị hỏng, bạn sẽ cần khôi phục hệ điều hành Windows của mình.

Ntoskrnl.exe

Tập tin thực thi này là hình ảnh hạt nhân. Điều này có nghĩa là nó về cơ bản là mã cốt lõi (điều hành) giúp hệ điều hành hoạt động bình thường.

Mã này xử lý việc quản lý phần cứng, quy trình hệ thống và quản lý bộ nhớ. Nó cũng là mã lên lịch cho những ứng dụng nào có quyền truy cập vào bộ xử lý hệ thống và dung lượng bộ nhớ (và địa chỉ bộ nhớ) mà chúng được phân bổ để sử dụng.

Tệp thực thi này hiển thị trong Trình quản lý tác vụ với tên Hệ thống và Sổ đăng ký. Đây là một tệp được bảo vệ nghiêm ngặt, vì vậy rất khó để bất kỳ ứng dụng nào như phần mềm độc hại có thể làm hỏng hoặc xóa tệp.

Trong các phiên bản Windows cũ hơn, nếu bạn mở một số lượng lớn các ứng dụng, Ntoskrnl.exe sẽ bắt đầu tiêu tốn một lượng lớn bộ nhớ. Bắt đầu với Windows 10, Ntoskrnl.exe hiện nén các trang không sử dụng thay vì lưu chúng vào bộ nhớ. Điều này làm giảm mức tiêu thụ bộ nhớ, nhưng có thể tăng mức sử dụng CPU nếu bạn chạy nhiều ứng dụng cùng một lúc.

Ntkrnlpa.exe

Quá trình này là một thành phần phần mềm cốt lõi của mã hệ thống và hạt nhân Microsoft Windows. Tên viết tắt của Bộ phân bổ quy trình hạt nhân công nghệ mới. Cùng với Ntoskrnl.exe, nó kiểm soát việc lập lịch và quản lý bộ nhớ.

Nó cũng ngăn các ứng dụng và dịch vụ không phải cốt lõi truy cập vào các khu vực cốt lõi của hệ điều hành, giúp hệ điều hành hoạt động an toàn trong vùng được bảo vệ của bộ nhớ hệ thống.

Vì Ntkrnlpa.exe chịu trách nhiệm chặn các ứng dụng truy cập vào bộ nhớ hệ thống được bảo vệ, nhiều người dùng thường nghĩ rằng chính Ntkrnlpa.exe gây ra lỗi hệ thống Windows. Điều này là do Ntkrnlpa.exe là quá trình trả về lỗi.

Thông thường, nguyên nhân của điều này thực sự là một số dạng phần mềm độc hại cố gắng gây ra bộ nhớ hệ thống được bảo vệ, gây ra lỗi Ntkrnlpa.exe.

Hal.dll

Một tệp cốt lõi khác liên quan đến nhân hệ thống và hệ thống lõi là Hal.dll. Tên của tệp DLL này là viết tắt của Lớp trừu tượng phần cứng.

Tệp này chứa mã lõi cho phép các ứng dụng tương tác với phần cứng máy tính bằng các chức năng chương trình đơn giản hơn là mã máy phức tạp.

Được đặt tên phù hợp, nó loại bỏ sự trừu tượng khỏi giao tiếp và điều khiển phần cứng máy tính.

Tệp thực thi này chạy bên trong bộ nhớ RAM và nằm trong thư mục System32.

Hal.dll thường không gây ra bất kỳ sự cố nào với máy tính, tuy nhiên một số ứng dụng phần mềm độc hại cố gắng che giấu các tệp thực thi của chúng bằng cách đặt chúng cùng tên. Tuy nhiên, bạn có thể xác định nó là một ứng dụng giả mạo khi nó nằm trong một thư mục khác với System32.

Không bao giờ dừng tác vụ Hal.dll vì điều này sẽ làm cho hệ thống của bạn không hoạt động và có thể buộc bạn phải khôi phục hệ điều hành Windows.

Win32k.sys

Tệp này được gọi là tệp trình điều khiển Multi-User Win32, ban đầu được phát hành như một phần của hệ điều hành Windows XP. Nó đã được nâng cấp qua mỗi phiên bản Windows mới, bao gồm cả Windows 10.

Đó là giao diện trình điều khiển đồ họa quản lý việc gửi đồ họa đến màn hình và các thiết bị đầu ra khác. Mã được thực thi bởi gdi32.dll trên Windows 10.

Thật không may, vì Win32k.sys đã là một phần cốt lõi lâu đời của hệ điều hành Windows và vì nó nằm trong một thư mục (Tệp Chương trình) thường không được bảo vệ tốt như thư mục System32, phần mềm độc hại thường nhắm mục tiêu tệp này để tham nhũng.

Ngoài ra, nó cũng là một tên phổ biến được phần mềm độc hại chọn cho các tệp của chính nó, để người dùng không nghi ngờ tệp là một phần của máy tính bị lây nhiễm.

Ntdll.dll

Tệp này nằm trong thư mục hệ thống System và System32. Mô tả của tệp là DLL lớp NT. Về cơ bản, nó là một tệp DLL chứa các chức năng nhân NT cốt lõi.

Điều này có nghĩa là nó chứa mã máy cho phép hệ điều hành cốt lõi hoạt động bình thường. Chương trình nhân lõi truy cập các chức năng được chứa bởi Ntdll.dll và tệp này xử lý các chức năng cấp máy đó.

Nếu bạn thấy bất kỳ thông báo lỗi nào đến từ quá trình Ntdll.dll, điều này thường do tệp Ntdll.dll bị hỏng hoặc các sự cố phần cứng trên máy tính của bạn đang khiến quá trình bị lỗi.

Thông thường, cài đặt lại trình điều khiển phần cứng gây ra lỗi thường giải quyết được lỗi. Nếu sự cố là tệp Ntdll.dll bị hỏng, phần mềm chống vi-rút có thể khắc phục sự cố. Nếu không thể, có thể yêu cầu khôi phục Windows.

Kernel32.dll

Tệp DLL này là một tệp khác được tìm thấy như một phần của nhân hệ điều hành Windows. Nó quản lý bộ nhớ, bao gồm cả các ngắt bộ nhớ. Nó cũng quản lý tất cả các hoạt động đầu vào và đầu ra.

Kernel32.dll là một tệp khác được tải vào không gian bộ nhớ được bảo vệ, nơi các ứng dụng người dùng thông thường không thể hoạt động.

Nếu bạn từng gặp lỗi liên quan đến Kernel32.dll, thường là do phần mềm độc hại hoặc trình điều khiển phần cứng bị hỏng (hoặc phần cứng bị lỗi) cố gắng ghi vào bộ nhớ được bảo vệ nơi Kernel32.dll cư trú. Thông thường cài đặt lại trình điều khiển phần cứng hoặc phần cứng mới giải quyết các lỗi này.

Advapi32.dll

Tệp DLL này là một thành phần cốt lõi khác của hệ điều hành Windows. Tên của nó là viết tắt của Giao diện lập trình ứng dụng nâng cao, hoặc API nâng cao. Nó xử lý các cuộc gọi bảo mật hệ thống và các cuộc gọi chống lại sổ đăng ký hệ thống.

DLL này quản lý việc khởi động và tắt Windows, quản lý sổ đăng ký Windows, xử lý tài khoản người dùng và bảo mật tài khoản cũng như quản lý các dịch vụ Windows.

Mặc dù tệp này không cần thiết để Windows khởi động đúng cách, nhưng nó cần thiết cho hoạt động bình thường của hầu hết các ứng dụng và phần cứng. Nếu tệp hệ thống Windows này bị xóa hoặc bị hỏng, bất kỳ lệnh gọi API ứng dụng nào để truy cập vào sổ đăng ký hoặc bảo mật hệ thống sẽ không thành công và bạn sẽ thấy một số thông báo lỗi.

User32.dll

Một DLL cốt lõi khác, tệp hệ thống Windows này chứa hầu hết API Windows cốt lõi để các ứng dụng người dùng giao tiếp với hệ điều hành. Nó xử lý hầu hết các cửa sổ và điều khiển gốc được hiển thị bởi các ứng dụng Windows.

Bất kỳ ứng dụng nào có giao diện người dùng đồ họa thường sử dụng các thành phần được cung cấp bởi tệp User32.dll.

Tuy nhiên, trong hầu hết các trường hợp, các ứng dụng Windows sử dụng các thư viện được tích hợp sẵn trong khuôn khổ Windows .NET, từ đó quản lý giao tiếp với User32.dll.

Trong cả hai trường hợp, User32.dll dịch mã ứng dụng phổ biến, dễ hiểu thành các lệnh cấp máy được yêu cầu bởi hệ điều hành Windows.

Gdi32.dll

Giống như User32.dll, Gdi32.dll chứa các chức năng cho phép các ứng dụng tạo giao diện người dùng đồ họa trên màn hình.

Gdi32.dll chứa các hàm cho phép ứng dụng tạo các đối tượng 2 chiều trên màn hình. Nó chấp nhận mã từ một ứng dụng hoặc dịch vụ Windows và thực thi mã máy cần thiết để hiển thị các đối tượng trực quan trên màn hình.

Trong khi hệ điều hành Windows có thể khởi động ngay cả khi DLL này bị hỏng hoặc bị xóa, màn hình hệ điều hành sẽ không hoạt động bình thường.

Tệp hệ thống Windows quan trọng khác

Trong khi đó là các tệp hệ thống Windows cốt lõi và các tệp thực thi cần thiết để hoạt động bình thường của hệ điều hành Windows, có một số tệp bổ sung cần thiết để các chức năng không quan trọng của hệ thống máy tính hoạt động bình thường.

  • Pagefile.sys: Giúp hệ điều hành quản lý không gian bộ nhớ RAM và cải thiện hiệu suất hệ thống.
  • Swapfile.sys: Đây là một tệp hệ thống mới hơn giúp di chuyển các ứng dụng Windows hiện đại vào ổ cứng khi chúng ở trạng thái ngủ đông.
  • Crss.exe: Đây là một quá trình chạy máy chủ khách hàng xử lý các cửa sổ bảng điều khiển và quá trình tắt Windows.
  • Shell32.dll: Chứa các hàm API shell của Windows cho phép trình duyệt web và các ứng dụng khác hiển thị elements của hệ điều hành như thanh tác vụ, màn hình nền và menu Bắt đầu đúng cách.
  • Smss.exe: Hệ thống con của trình quản lý phiên xử lý các phiên người dùng, bao gồm đăng nhập Windows và cài đặt hệ thống người dùng.
  • Sxs.dll: Đây là một thành phần quan trọng của hệ điều hành Windows xử lý các tệp kê khai. Đây là các tệp cho Windows biết cách xử lý một ứng dụng phần mềm khi nó được khởi chạy.

Mặc dù có nhiều tệp hệ thống ít quan trọng hơn như một phần của hệ điều hành Windows, nhưng những tệp được liệt kê ở trên là một số tệp phổ biến nhất. Do đó, chúng thường là mục tiêu của phần mềm độc hại để lừa người dùng nghĩ rằng các tệp phần mềm độc hại là hợp pháp.

Hầu hết các ứng dụng chống vi-rút đều có khả năng xác định tệp hệ thống Windows giả mạo và thường sẽ xóa chúng khỏi hệ thống của bạn trước khi bạn biết chúng tồn tại.

Để lại bình luận

Địa chỉ email của bạn sẽ được chúng tôi bảo mật thông tin.