Oscuri i file di sistema di Windows e perché dovresti conoscerli

Il sistema operativo Windows è costituito da un vasto assortimento di file e programmi. Alcuni di questi vengono eseguiti tutto il tempo, mentre altri vengono chiamati dal sistema operativo solo occasionalmente.

Quasi tutti i file principali del sistema operativo Windows sono archiviati nelle cartelle C:\Windows\System e C:\Windows\System32 (sul computer, la lettera dell'unità potrebbe essere diversa). La stessa cartella Windows contiene anche una serie di file essenziali.

Tutti i programmi installati sul computer in genere hanno file eseguibili e correlati archiviati in C:\Program Files o C:\Program Files (x86) .

In generale, non si desidera mai modificare, eliminare o spostare i file di sistema di Windows che si trovano in una di queste directory. Tuttavia, ci sono alcuni file che sono fondamentali per il funzionamento del sistema operativo. Se questi file vengono eliminati o danneggiati in altro modo, dovrai ripristinare il tuo sistema operativo Windows .

Ntoskrnl.exe

Questo eseguibile è l'immagine del kernel. Ciò significa che è essenzialmente il codice principale (l'esecutivo) che fa funzionare correttamente il sistema operativo. 

Questo codice gestisce la gestione dell'hardware, dei processi di sistema e della memoria. È anche il codice che pianifica quali applicazioni hanno accesso al processore di sistema e quanta memoria (e indirizzi di memoria) sono allocate da utilizzare.

Questo eseguibile viene visualizzato in Task Manager con il nome Sistema(System) e Registro(Registry) di sistema . È un file fortemente protetto, quindi è difficile per qualsiasi applicazione come il malware corrompere o eliminare il file.

Nelle versioni precedenti di Windows , se aprivi un gran numero di applicazioni, Ntoskrnl.exe iniziava a consumare una grande quantità di memoria. A partire da Windows 10 , Ntoskrnl.exe ora comprime le pagine inutilizzate anziché archiviarle in memoria. Ciò riduce il consumo di memoria, ma può aumentare l'utilizzo della CPU se esegui molte applicazioni contemporaneamente.

Ntkrnlpa.exe

Questo processo è un componente software di base del kernel di Microsoft Windows e del codice di sistema. Il nome sta per New Technology Kernel Process Allocator . Insieme a Ntoskrnl.exe(Alongside Ntoskrnl.exe) , controlla la pianificazione e la gestione della memoria.

Impedisce inoltre ad applicazioni e servizi non core di accedere alle aree principali del sistema operativo, mantenendo il sistema operativo in esecuzione in modo sicuro in un'area protetta della memoria di sistema.

Poiché Ntkrnlpa.exe è responsabile del blocco dell'accesso delle applicazioni alla memoria di sistema protetta, molti utenti spesso pensano che sia Ntkrnlpa.exe a causare un errore di sistema di Windows . Questo perché Ntkrnlpa.exe è il processo che restituisce l'errore.

Di solito la causa di ciò è in realtà una qualche forma di malware che tenta di causare la memoria di sistema protetta, dando il via agli errori Ntkrnlpa.exe .

Hal.dll

Un altro file principale relativo al kernel di sistema e al sistema principale è Hal.dll . Il nome di questo file DLL sta per Hardware Abstraction Layer.

Questo file contiene codice di base che consente alle applicazioni di interagire con l'hardware del computer utilizzando semplici funzioni di programma anziché complicati codici macchina. 

Giustamente chiamato, rimuove l'astrazione dalla comunicazione e dal controllo dell'hardware del computer.

Questo eseguibile viene eseguito all'interno della memoria RAM e si trova nella directory System32 .

Hal.dll in genere non causa alcun problema con il computer, tuttavia alcune applicazioni malware tentano di nascondere i propri eseguibili assegnando loro lo stesso nome. Tuttavia, puoi identificarla come un'applicazione contraffatta quando si trova in una cartella diversa da System32 .

Non interrompere mai l' attività Hal.dll poiché ciò renderebbe il tuo sistema non funzionante e potrebbe costringerti a ripristinare il sistema operativo Windows .

Win32k.sys

Questo file è noto come il file del driver Win32 multiutente(Multi-User Win32) , originariamente rilasciato come parte del sistema operativo Windows XP . È stato aggiornato a ogni nuova versione di Windows , incluso Windows 10.

È un'interfaccia del driver grafico che gestisce l'invio di grafica a monitor e altri dispositivi di output. Il codice viene eseguito da gdi32.dll su Windows 10. 

Sfortunatamente, poiché Win32k.sys è stato un pezzo fondamentale da molto tempo del sistema operativo Windows e poiché risiede in una cartella ( (Windows)Programmi(Program Files) ) che di solito non è ben protetta come la cartella System32 , il malware spesso prende di mira questo file per corruzione.

Inoltre, è anche un nome comune scelto dal malware per i propri file, in modo che gli utenti non sospettino che il file faccia parte di un'infezione del computer.

Ntdll.dll

Questo file si trova nelle directory di sistema System e System32 . La descrizione del file è NT Layer DLL . È essenzialmente un file DLL che contiene le funzioni principali del kernel NT.

Ciò significa che contiene il codice macchina che consente al sistema operativo principale di funzionare correttamente. Il programma principale del kernel accede alle funzioni contenute in Ntdll.dll e questo file elabora quelle funzioni a livello di macchina.

Se vengono visualizzati messaggi di errore provenienti dal processo Ntdll.dll , ciò è in genere causato da un file Ntdll.dll danneggiato o da problemi hardware del computer che causano l'arresto anomalo del processo.

Di solito, la reinstallazione del driver hardware che causa l'errore in genere risolve l'errore. Se il problema è un file Ntdll.dll danneggiato , il software antivirus è in grado di riparare il problema. In caso contrario, potrebbe essere necessario un ripristino di Windows .

Kernel32.dll

Questo file DLL è un altro file trovato come parte del kernel del sistema operativo Windows . Gestisce la memoria, inclusi gli interrupt di memoria. Gestisce inoltre tutte le operazioni di input e output.

Kernel32.dll è un altro file che viene caricato in uno spazio di memoria protetto in cui le normali applicazioni utente non possono funzionare.

Se vedi un errore relativo a Kernel32.dll , di solito è dovuto a malware o driver hardware corrotti (o hardware difettoso) che tentano di scrivere nella memoria protetta in cui risiede Kernel32.dll . Solitamente la reinstallazione dei driver hardware o del nuovo hardware risolve questi errori.

Advapi32.dll

Questo file DLL è un altro componente fondamentale del sistema operativo Windows . Il suo nome sta per Advanced Application Programming Interface , o Advanced API . Gestisce le chiamate di sicurezza del sistema e le chiamate al registro di sistema.

Questa DLL gestisce l'avvio e l'arresto di Windows , gestisce il registro di Windows , gestendo gli account utente e la sicurezza degli account e la gestione dei servizi di Windows .

Sebbene questo file non sia necessario per il corretto avvio di Windows , è necessario per il corretto funzionamento della maggior parte delle applicazioni e dell'hardware. (Windows)Se questo file di sistema di Windows viene eliminato o danneggiato, qualsiasi chiamata API dell'applicazione per accedere al registro di sistema o alla sicurezza avrà esito negativo e verranno visualizzati numerosi messaggi di errore.

Utente32.dll(User32.dll)

Un'altra DLL di base , questo file di sistema di Windows contiene la maggior parte dell'API di Windows(Windows API) di base per consentire alle applicazioni utente di comunicare con il sistema operativo. Gestisce la maggior parte delle finestre e dei controlli nativi visualizzati dalle applicazioni Windows .

Qualsiasi applicazione che disponga di un'interfaccia utente grafica utilizza in genere i componenti offerti dal file User32.dll

Tuttavia, nella maggior parte dei casi, le applicazioni Windows utilizzano librerie integrate nel framework Windows .NET(Windows .NET) , che a sua volta gestisce la comunicazione con User32.dll

In entrambi i casi, User32.dll traduce il codice dell'applicazione comune e di facile comprensione nei comandi a livello di macchina richiesti dal sistema operativo Windows .

Gdi32.dll

Proprio come User32.dll , Gdi32.dll contiene funzioni che consentono alle applicazioni di creare interfacce utente grafiche sul monitor.

Gdi32.dll contiene funzioni che consentono alle applicazioni di creare oggetti bidimensionali sullo schermo. Accetta codice da un'applicazione o servizio Windows ed esegue il codice macchina richiesto per visualizzare gli oggetti visivi sul monitor.

Sebbene un sistema operativo Windows possa avviarsi anche quando questa DLL è danneggiata o eliminata, il display del sistema operativo non funzionerà correttamente.

Altri importanti file di sistema di Windows(Other Important Windows System Files)

Sebbene questi siano i file di sistema e gli eseguibili di base di Windows necessari per il corretto funzionamento del sistema operativo Windows , sono necessari alcuni file aggiuntivi per il corretto funzionamento delle funzioni non critiche del sistema informatico.

  • Pagefile.sys : aiuta il sistema operativo a gestire lo spazio di memoria RAM e migliorare le prestazioni del sistema.
  • Swapfile.sys : questo è un file di sistema più recente che aiuta a spostare le moderne app di Windows sul disco rigido quando sono in stato di ibernazione.
  • Crss.exe : questo è un processo di runtime del server client che gestisce le finestre della console e il processo di arresto di Windows .
  • Shell32.dll : contiene le funzioni dell'API(API) della shell di Windows che consentono ai browser Web e ad altre applicazioni di visualizzare correttamente elementi del sistema operativo come la barra delle applicazioni, il desktop e il menu Start .
  • Smss.exe : il sottosistema del gestore sessioni gestisce le sessioni utente, incluso l'accesso a Windows e le impostazioni del sistema utente.
  • Sxs.dll : questo è un componente importante del sistema operativo Windows che gestisce i file manifest. Questi sono file che indicano a Windows come gestire un'applicazione software quando viene avviata.

Sebbene ci siano molti altri file di sistema meno critici come parte del sistema operativo Windows , quelli sopra elencati sono alcuni dei più comuni. Per questo motivo vengono spesso presi di mira da malware per indurre gli utenti a pensare che i file malware siano legittimi.

La maggior parte delle applicazioni antivirus è in grado di identificare un file di sistema Windows contraffatto e in genere li pulirà dal tuo sistema prima che tu sappia che esistono.



About the author

Sono un ingegnere del software con oltre due anni di esperienza lavorando su applicazioni mobili e desktop. Ho esperienza in aggiornamenti di Windows, servizi e Gmail. Le mie capacità mi rendono il candidato perfetto per attività come lo sviluppo di applicazioni Windows o la manutenzione dei client di posta elettronica.



Related posts