Các tệp hệ thống Windows tối nghĩa và tại sao bạn nên biết về chúng


Hệ điều hành Windows được tạo thành từ một tập hợp lớn các tệp và chương trình. Một số trong số này chạy mọi lúc, trong khi một số khác chỉ thỉnh thoảng được hệ điều hành gọi.

Gần như tất cả các tệp hệ điều hành Windows lõi được lưu trữ trong các thư mục C: \ Windows \ System C: \ Windows \ System32(trên máy tính của bạn, ký tự ổ đĩa có thể khác nhau). Bản thân thư mục Windows cũng chứa một số tệp cần thiết.

Tất cả các chương trình được cài đặt trên máy tính của bạn thường có các tệp thực thi và có liên quan được lưu trữ trong C: \ Tệp chương trìnhhoặc C: \ Chương trình tệp (x86).

Nói chung, bạn không bao giờ muốn sửa đổi, xóa hoặc di chuyển bất kỳ tệp hệ thống Windows nào nằm trong bất kỳ thư mục nào trong các thư mục này . Tuy nhiên, có một vài tệp là cốt lõi cho chức năng của hệ điều hành. Nếu các tệp này bị xóa hoặc bị hỏng, bạn sẽ cần khôi phục hệ điều hành Windows của mình.

Ntoskrnl.exe

Tệp thực thi này là hình ảnh hạt nhân . Điều này có nghĩa là nó về cơ bản là mã lõi (điều hành) làm cho hệ điều hành hoạt động đúng.

Mã này xử lý việc quản lý phần cứng, quy trình hệ thống và quản lý bộ nhớ. Đó cũng là mã lập lịch cho những ứng dụng nào có quyền truy cập vào bộ xử lý hệ thống và dung lượng bộ nhớ (và địa chỉ bộ nhớ) mà chúng được phân bổ để sử dụng.

In_content_1 all: [300x250] / dfp: [640x360]->

Phần thực thi này xuất hiện trong Trình quản lý tác vụ với tên Hệ thống và Sổ đăng ký. Đây là một tệp được bảo vệ nghiêm ngặt, do đó, khó có ứng dụng nào như phần mềm độc hại làm hỏng hoặc xóa tệp.

Trong các phiên bản Windows cũ hơn, nếu bạn mở một số lượng lớn ứng dụng, Ntoskrnl.exe sẽ khởi động tiêu thụ một lượng lớn bộ nhớ. Bắt đầu với Windows 10, Ntoskrnl.exe hiện nén các trang không sử dụng thay vì lưu trữ chúng vào bộ nhớ. Điều này giúp giảm mức tiêu thụ bộ nhớ, nhưng có thể tăng mức sử dụng CPU nếu bạn chạy nhiều ứng dụng cùng một lúc.

Ntkrnlpa.exe

Quá trình này là một phần mềm cốt lõi thành phần của nhân Microsoft Windows và mã hệ thống. Tên viết tắt của Công cụ phân bổ quy trình hạt nhân công nghệ mới. Bên cạnh Ntoskrnl.exe, nó kiểm soát lập lịch và quản lý bộ nhớ.

Nó cũng ngăn các ứng dụng và dịch vụ không cốt lõi truy cập vào các khu vực cốt lõi của hệ điều hành, giúp HĐH chạy an toàn trong khu vực được bảo vệ của hệ thống bộ nhớ.

Kể từ Ntkrnlpa. exe chịu trách nhiệm chặn các ứng dụng truy cập vào bộ nhớ hệ thống được bảo vệ, nhiều người dùng thường nghĩ rằng Ntkrnlpa.exe đó là nguyên nhân gây ra lỗi hệ thống Windows. Điều này là do Ntkrnlpa.exe là quá trình trả về lỗi.

Thông thường nguyên nhân của việc này thực sự là một dạng phần mềm độc hại cố gây ra bộ nhớ hệ thống được bảo vệ, khởi động các lỗi Ntkrnlpa.exe.

Hal.dll

Một tệp lõi khác liên quan đến nhân hệ thống và hệ thống lõi là Hal.dll. Tên của tệp DLL này là viết tắt của Lớp trừu tượng phần cứng.

Tệp này chứa mã lõi cho phép các ứng dụng tương tác với phần cứng máy tính bằng các chức năng chương trình đơn giản thay vì mã máy phức tạp.

Aptly có tên, nó loại bỏ sự trừu tượng khỏi giao tiếp và kiểm soát phần cứng máy tính.

Phần thực thi này chạy bên trong bộ nhớ RAM và nằm trong thư mục System32.

Hal.dll thường không gây ra bất kỳ vấn đề nào với máy tính, tuy nhiên, một số ứng dụng phần mềm độc hại cố gắng che giấu các tệp thực thi của chúng bằng cách đặt cho chúng cùng tên. Tuy nhiên, bạn có thể xác định đó là một ứng dụng giả khi nó nằm trong một thư mục khác với System32.

Không bao giờ dừng tác vụ Hal.dll vì điều này sẽ khiến hệ thống của bạn không hoạt động và có thể buộc bạn phải khôi phục hệ điều hành Windows.

Win32k.sys

Tệp này là tệp được gọi là tệp trình điều khiển Win32 nhiều người dùng, ban đầu được phát hành như một phần của Hệ điều hành Windows XP. Nó đã được nâng cấp thông qua mỗi bản phát hành Windows mới, bao gồm cả Windows 10.

Nó có giao diện trình điều khiển đồ họa quản lý việc gửi đồ họa tới màn hình và các thiết bị đầu ra khác. Mã được thực thi bởi gdi32.dlltrên Windows 10.

Thật không may, vì Win32k.sys đã là một phần cốt lõi lâu đời của hệ điều hành Windows và vì nó nằm trong một thư mục (Tệp chương trình) không phải là thường được bảo vệ tốt như thư mục System32, phần mềm độc hại thường nhắm mục tiêu tệp này để tham nhũng.

Ngoài ra, đây cũng là tên phổ biến được chọn bởi phần mềm độc hại cho các tệp của chính nó, để người dùng không nghi ngờ tệp là một phần của nhiễm trùng máy tính.

Ntdll.dll

Tệp này nằm trong thư mục hệ thống và System32. Mô tả của tệp là DLL lớp NT. Nó về cơ bản là một tệp DLL chứa các hàm kernel NT.

Điều này có nghĩa là nó chứa mã máy cho phép hệ điều hành lõi hoạt động đúng. Chương trình nhân lõi truy cập các chức năng có trong Ntdll.dll và tệp này xử lý các chức năng ở cấp độ máy đó.

Nếu bạn thấy bất kỳ thông báo lỗi nào đến từ quy trình Ntdll.dll, điều này thường xảy ra do tệp Ntdll.dll bị hỏng hoặc sự cố phần cứng trên máy tính của bạn. đang khiến quá trình gặp sự cố.

Thông thường, cài đặt lại trình điều khiển phần cứng gây ra lỗi thường khắc phục lỗi. Nếu sự cố là tệp Ntdll.dll bị hỏng, phần mềm chống vi-rút có khả năng sửa chữa sự cố. Nếu có thể, thì có thể cần phải khôi phục Windows.

Kernel32.dll

Tệp DLL này là một tệp khác được tìm thấy như một phần của nhân hệ điều hành Windows. Nó quản lý bộ nhớ, bao gồm cả bộ nhớ bị gián đoạn. Nó cũng quản lý tất cả các hoạt động đầu vào và đầu ra.

Kernel32.dll là một tệp khác được tải vào không gian bộ nhớ được bảo vệ nơi các ứng dụng người dùng thông thường không thể hoạt động.

Nếu bạn từng thấy lỗi liên quan đến Kernel32.dll, thường là do phần mềm độc hại hoặc trình điều khiển phần cứng bị hỏng (hoặc phần cứng bị lỗi) khi cố ghi vào bộ nhớ được bảo vệ nơi Kernel32.dll cư trú. Thông thường cài đặt lại trình điều khiển phần cứng hoặc phần cứng mới sẽ khắc phục các lỗi này.

Advapi32.dll

Tệp DLL này là một thành phần cốt lõi khác của hệ điều hành Windows. Tên của nó là viết tắt của Giao diện lập trình ứng dụng nâng cao hoặc API nâng cao. Nó xử lý các cuộc gọi và cuộc gọi bảo mật hệ thống đối với sổ đăng ký hệ thống.

DLL này quản lý khởi động và tắt Windows, quản lý sổ đăng ký Windows, xử lý tài khoản người dùng và bảo mật tài khoản và quản lý các dịch vụ Windows.

Mặc dù tệp này không bắt buộc Windows để khởi động đúng cách, cần thiết cho hoạt động đúng của hầu hết các ứng dụng và phần cứng. Nếu tệp hệ thống Windows này bị xóa hoặc bị hỏng, mọi lệnh gọi API ứng dụng để truy cập vào sổ đăng ký hoặc bảo mật hệ thống sẽ không thành công và bạn sẽ thấy một số thông báo lỗi.

User32.dll

Một DLL lõi khác, tệp hệ thống Windows này chứa hầu hết các API Windows lõi cho các ứng dụng người dùng giao tiếp với hệ điều hành. Nó xử lý hầu hết các cửa sổ gốc và các điều khiển được hiển thị bởi các ứng dụng Windows.

Bất kỳ ứng dụng nào có giao diện người dùng đồ họa thường sử dụng các thành phần được cung cấp bởi tệp User32.dll.

Tuy nhiên, trong hầu hết các trường hợp , Các ứng dụng Windows sử dụng các thư viện được tích hợp trong khung Windows .NET, từ đó quản lý giao tiếp với User32.dll.

Trong cả hai trường hợp, User32.dll dịch mã ứng dụng phổ biến, dễ hiểu thành các lệnh cấp độ máy được hệ điều hành Windows yêu cầu.

Gdi32 dll

Giống như User32.dll, Gdi32.dll chứa các chức năng cho phép các ứng dụng tạo giao diện người dùng đồ họa trên màn hình.

Gdi32.dll chứa các chức năng cho phép các ứng dụng tạo các đối tượng 2 chiều trên màn hình. Nó chấp nhận mã từ ứng dụng hoặc dịch vụ Windows và thực thi mã máy cần thiết để hiển thị các đối tượng trực quan trên màn hình.

Trong khi hệ điều hành Windows có thể khởi động ngay cả khi DLL này bị hỏng hoặc bị xóa, thì hoạt động Hiển thị hệ thống sẽ không hoạt động đúng.

Các tệp hệ thống Windows quan trọng khác

Trong khi đó là các tệp hệ thống Windows cốt lõi và các tệp thực thi cần thiết cho hoạt động đúng của hệ điều hành Windows, có một vài tệp bổ sung cần thiết cho các chức năng không quan trọng của hệ thống máy tính để hoạt động chính xác.

  • Pagefile.sys: Giúp hệ điều hành quản lý không gian bộ nhớ RAM và cải thiện hiệu năng hệ thống.
  • Swapfile.sys: Đây là tệp hệ thống mới hơn giúp di chuyển hiện đại Ứng dụng Windows vào ổ cứng khi chúng ở trạng thái ngủ đông.
  • Crss.exe: Đây là quy trình chạy máy chủ của máy khách xử lý các cửa sổ điều khiển và Windows quá trình tắt máy.
  • Shell32.dll: Chứa các hàm API shell của Windows cho phép trình duyệt web và các ứng dụng khác hiển thị các thành phần của hệ điều hành như thanh tác vụ, máy tính để bàn và Menu bắt đầu đúng cách.
  • Smss.exe: Hệ thống con trình quản lý phiên xử lý các phiên của người dùng, bao gồm đăng nhập Windows và cài đặt hệ thống người dùng.
  • Sxs.dll: Đây là thành phần quan trọng của hệ điều hành Windows xử lý s tệp kê khai. Đây là những tệp cho Windows biết cách xử lý một ứng dụng phần mềm khi nó được khởi chạy.
  • Trong khi có nhiều tệp hệ thống ít quan trọng hơn như một phần của hệ điều hành Windows, những tệp được liệt kê ở trên là một số phổ biến nhất. Do đó, chúng thường bị phần mềm độc hại nhắm mục tiêu để lừa người dùng nghĩ rằng các tệp phần mềm độc hại là hợp pháp.

    Hầu hết các ứng dụng chống vi-rút có khả năng xác định tệp hệ thống Windows giả và thường sẽ xóa sạch chúng khỏi hệ thống của bạn trước khi bạn biết chúng tồn tại.

    Cách kiểm tra cấu hình máy tính Laptop 2018

    bài viết liên quan:


    3.11.2019