ปิดบังไฟล์ระบบ Windows และทำไมคุณควรรู้เกี่ยวกับพวกเขา

ระบบปฏิบัติการ Windows ประกอบด้วยไฟล์และโปรแกรมจำนวนมาก บางส่วนของสิ่งเหล่านี้ทำงานตลอดเวลาในขณะที่คนอื่น ๆ ถูกเรียกโดยระบบปฏิบัติการบางครั้งเท่านั้น

เกือบทุกไฟล์ระบบปฏิบัติการ Windows หลักจะถูกเก็บไว้ในโฟลเดอร์ C: \ Windows \ System และ C: \ Windows \ System32(บนคอมพิวเตอร์ของคุณอักษรชื่อไดรฟ์อาจแตกต่างกัน) โฟลเดอร์ Windows ยังมีไฟล์สำคัญอีกจำนวนหนึ่ง

โปรแกรมทั้งหมดที่ติดตั้งในคอมพิวเตอร์ของคุณมักจะมีไฟล์ปฏิบัติการและไฟล์ที่เกี่ยวข้องซึ่งเก็บอยู่ในไฟล์ C: \ Programหรือ C: \ Program Files (x86)

โดยทั่วไปคุณไม่ต้องการแก้ไขลบหรือย้ายไฟล์ระบบ Windows ใด ๆ ที่อยู่ในไดเรกทอรีเหล่านี้ . อย่างไรก็ตามมีไฟล์บางไฟล์ที่เป็นคอร์สำหรับการทำงานของระบบปฏิบัติการ หากไฟล์เหล่านี้ถูกลบหรือเสียหายเป็นอย่างอื่นคุณจะต้องกู้คืนระบบปฏิบัติการ Windows ของคุณ

Ntoskrnl.exe

ไฟล์ปฏิบัติการนี้เป็นภาพเคอร์เนล . ซึ่งหมายความว่าเป็นรหัสหลัก (ผู้บริหาร) ที่ทำให้ระบบปฏิบัติการทำงานได้อย่างถูกต้อง

รหัสนี้จัดการการจัดการฮาร์ดแวร์กระบวนการของระบบและการจัดการหน่วยความจำ นอกจากนี้ยังเป็นรหัสที่กำหนดเวลาว่าแอปพลิเคชันมีสิทธิ์เข้าถึงโปรเซสเซอร์ระบบและจำนวนหน่วยความจำ (และที่อยู่หน่วยความจำ) ที่จัดสรรให้ใช้

In_content_1 ทั้งหมด: [300x250] / dfp: [640x360]->

ปฏิบัติการนี้จะปรากฏขึ้นใน ตัวจัดการงานที่มีชื่อระบบและรีจิสทรี มันเป็นไฟล์ที่ได้รับการป้องกันอย่างหนักดังนั้นจึงเป็นเรื่องยากสำหรับแอปพลิเคชันเช่นมัลแวร์ที่จะทำให้เสียหายหรือลบไฟล์

ใน Windows รุ่นเก่าถ้าคุณเปิดแอปพลิเคชั่นจำนวนมาก Ntoskrnl.exe จะเริ่มทำงาน ใช้หน่วยความจำจำนวนมาก เริ่มต้นด้วย Windows 10 ขณะนี้ Ntoskrnl.exe บีบอัดหน้าที่ไม่ได้ใช้แทนที่จะเก็บไว้ในหน่วยความจำ สิ่งนี้จะลดการใช้หน่วยความจำ แต่สามารถเพิ่มการใช้งาน CPU ได้หากคุณเรียกใช้แอปพลิเคชันจำนวนมากพร้อมกัน

Ntkrnlpa.exe

กระบวนการนี้เป็นซอฟต์แวร์หลัก ส่วนประกอบของเคอร์เนล Microsoft Windows และรหัสระบบ ชื่อนี้ใช้แทน เครื่องมือจัดสรรกระบวนการเคอร์เนลเทคโนโลยีใหม่นอกจาก Ntoskrnl.exe จะควบคุมการตั้งเวลาและการจัดการหน่วยความจำ

นอกจากนี้ยังป้องกันแอปพลิเคชันและบริการที่ไม่ใช่ธุรกิจหลักในการเข้าถึงพื้นที่หลักของระบบปฏิบัติการซึ่งทำให้ระบบปฏิบัติการทำงานอย่างปลอดภัยในพื้นที่ที่ได้รับการป้องกัน หน่วยความจำ

ตั้งแต่ Ntkrnlpa exe มีหน้าที่ในการปิดกั้นแอปพลิเคชันจากการเข้าถึงหน่วยความจำระบบที่ได้รับการป้องกันผู้ใช้หลายคนมักคิดว่า Ntkrnlpa.exe เป็นสาเหตุของความล้มเหลวของระบบ Windows นี่เป็นเพราะ Ntkrnlpa.exe เป็นกระบวนการที่ส่งกลับข้อผิดพลาด

โดยปกติแล้วสาเหตุของสิ่งนี้คือรูปแบบของมัลแวร์ที่พยายามทำให้หน่วยความจำระบบได้รับการป้องกันโดยเริ่มจากข้อผิดพลาดของ Ntkrnlpa.exe

Hal.dll

อีกไฟล์หลักที่เกี่ยวข้องกับเคอร์เนลระบบและระบบหลักคือ Hal.dll ชื่อของไฟล์ DLL นี้หมายถึง Hardware Abstraction Layer

ไฟล์นี้มีรหัสหลักที่อนุญาตให้แอปพลิเคชันโต้ตอบกับฮาร์ดแวร์คอมพิวเตอร์โดยใช้ฟังก์ชั่นโปรแกรมง่าย ๆ แทนที่จะเป็นรหัสเครื่องที่ซับซ้อน

ตั้งชื่ออย่างชาญฉลาดลบสิ่งที่เป็นนามธรรมออกจากการสื่อสารและการควบคุมฮาร์ดแวร์คอมพิวเตอร์

ปฏิบัติการนี้ทำงานภายในหน่วยความจำ RAM และตั้งอยู่ในไดเรกทอรี System32

Hal.dll โดยทั่วไปจะไม่ทำให้เกิดปัญหาใด ๆ กับ คอมพิวเตอร์อย่างไรก็ตามแอพพลิเคชั่นมัลแวร์บางตัวพยายามปิดบังไฟล์ปฏิบัติการของพวกเขาด้วยการตั้งชื่อเดียวกัน อย่างไรก็ตามคุณสามารถระบุว่าเป็นแอปพลิเคชันปลอมเมื่ออยู่ในโฟลเดอร์อื่นที่ไม่ใช่ System32

อย่าหยุดงาน Hal.dll เพราะจะทำให้ระบบของคุณไม่ทำงานและอาจบังคับให้คุณต้อง กู้คืนระบบปฏิบัติการ Windows

Win32k.sys

ไฟล์นี้เป็นไฟล์ที่รู้จักกันในชื่อไฟล์ไดรเวอร์ Multi-User Win32 ซึ่งเปิดตัวครั้งแรกในฐานะส่วนหนึ่งของ ระบบปฏิบัติการ Windows XP ได้รับการอัปเกรดผ่าน Windows รุ่นใหม่แต่ละรุ่นรวมถึง Windows 10

เป็นอินเทอร์เฟซไดรเวอร์กราฟิกที่จัดการการส่งกราฟิกไปยังจอภาพและอุปกรณ์ส่งออกอื่น ๆ รหัสถูกเรียกใช้งานโดย gdi32.dllบน Windows 10

น่าเสียดายเนื่องจาก Win32k.sys เป็นแกนหลักของระบบปฏิบัติการ Windows มาเป็นเวลานานและเนื่องจากมันอยู่ในโฟลเดอร์ (Program Files) ที่ไม่ใช่ มักจะได้รับการป้องกันอย่างดีเท่ากับโฟลเดอร์ System32 มัลแวร์มักจะกำหนดเป้าหมายไฟล์นี้เพื่อการทุจริต

นอกจากนี้ยังเป็นชื่อสามัญที่มัลแวร์เลือกสำหรับไฟล์ของตนเองเพื่อให้ผู้ใช้ไม่ต้องสงสัยว่าไฟล์เป็นส่วนหนึ่ง ของการติดไวรัสคอมพิวเตอร์

Ntdll.dll

ไฟล์นี้อยู่ในไดเรกทอรีระบบและ System32 คำอธิบายของไฟล์คือ NT Layer DLLเป็นไฟล์ DLL ที่มีฟังก์ชั่นเคอร์เนล NT หลัก

ซึ่งหมายความว่ามีรหัสเครื่องที่ช่วยให้ระบบปฏิบัติการหลักทำงานได้อย่างถูกต้อง โปรแกรมแกนเคอร์เนลเข้าถึงฟังก์ชั่นที่มีอยู่โดย Ntdll.dll และไฟล์นี้ประมวลผลฟังก์ชั่นระดับเครื่องเหล่านั้น

หากคุณเห็นข้อความแสดงข้อผิดพลาดที่มาจากกระบวนการ Ntdll.dll ซึ่งมักเกิดจากไฟล์ Ntdll.dll ที่เสียหายหรือปัญหาฮาร์ดแวร์ในคอมพิวเตอร์ของคุณที่ ทำให้กระบวนการขัดข้อง

โดยปกติแล้วการติดตั้งไดรเวอร์ฮาร์ดแวร์อีกครั้งทำให้เกิดข้อผิดพลาดโดยปกติจะแก้ไขข้อผิดพลาดได้ หากปัญหาคือไฟล์ Ntdll.dll ที่เสียหายซอฟต์แวร์ป้องกันไวรัสจะสามารถซ่อมแซมปัญหาได้ หากไม่สามารถทำได้คุณอาจต้องมีการคืนค่า Windows

Kernel32.dll

ไฟล์ DLL นี้เป็นไฟล์อื่นซึ่งเป็นส่วนหนึ่งของเคอร์เนลระบบปฏิบัติการ Windows มันจัดการหน่วยความจำรวมถึงหน่วยความจำขัดจังหวะ นอกจากนี้ยังจัดการการดำเนินงานอินพุทและเอาท์พุททั้งหมด

Kernel32.dll เป็นไฟล์อื่นที่ถูกโหลดลงในพื้นที่หน่วยความจำที่มีการป้องกันซึ่งผู้ใช้ทั่วไปไม่สามารถใช้งานได้

หากคุณเคยเห็น ข้อผิดพลาดที่เกี่ยวข้องกับ Kernel32.dll มันมักจะเกิดจากมัลแวร์หรือไดรเวอร์ฮาร์ดแวร์เสียหาย (หรือฮาร์ดแวร์ผิดพลาด) พยายามที่จะเขียนไปยังหน่วยความจำที่ได้รับการป้องกันที่ Kernel32.dll อาศัยอยู่ โดยปกติแล้วการติดตั้งไดรเวอร์ฮาร์ดแวร์หรือฮาร์ดแวร์ใหม่จะช่วยแก้ไขข้อผิดพลาดเหล่านี้

Advapi32.dll

ไฟล์ DLL นี้เป็นองค์ประกอบหลักของระบบปฏิบัติการ Windows ชื่อของมันย่อมาจาก Advanced Application Programming Interface หรือ Advanced API มันจัดการกับความปลอดภัยของระบบโทรและโทรกับรีจิสทรีของระบบ

DLL นี้จัดการการเริ่มต้นและปิด Windows จัดการรีจิสทรีของ Windows จัดการบัญชีผู้ใช้และความปลอดภัยของบัญชีและการจัดการบริการ Windows

ในขณะที่ไฟล์นี้ไม่จำเป็น Windows สามารถบู๊ตได้อย่างถูกต้องจำเป็นสำหรับการทำงานที่เหมาะสมของแอพพลิเคชั่นและฮาร์ดแวร์ส่วนใหญ่ หากไฟล์ระบบ Windows นี้ถูกลบหรือเสียหายการเรียก API แอปพลิเคชันใด ๆ เพื่อเข้าถึงรีจิสตรีระบบหรือความปลอดภัยจะล้มเหลวและคุณจะเห็นข้อความแสดงข้อผิดพลาดจำนวนมาก

User32.dll

DLL หลักอีกตัวไฟล์ระบบ Windows นี้มีแกน Windows API ส่วนใหญ่เพื่อให้แอปพลิเคชันผู้ใช้สามารถสื่อสารกับระบบปฏิบัติการได้ มันจัดการกับหน้าต่างเนทีฟส่วนใหญ่และตัวควบคุมที่แสดงโดยแอปพลิเคชัน Windows

แอปพลิเคชันใด ๆ ที่มีส่วนต่อประสานผู้ใช้แบบกราฟิกจะใช้ส่วนประกอบที่นำเสนอโดยไฟล์ User32.dll

อย่างไรก็ตามในกรณีส่วนใหญ่ แอพพลิเคชั่น Windows ใช้ไลบรารีที่สร้างไว้ในกรอบงาน Windows .NET ซึ่งจะจัดการการสื่อสารกับ User32.dll

ไม่ว่าในกรณีใด User32.dll จะแปลรหัสแอปพลิเคชันทั่วไปที่เข้าใจได้ง่ายเป็นคำสั่งระดับเครื่องที่ระบบปฏิบัติการ Windows ต้องการ

Gdi32 .dll

เหมือนกับ User32.dll มาก Gdi32.dll มีฟังก์ชั่นที่อนุญาตให้แอปพลิเคชั่นสร้างส่วนต่อประสานผู้ใช้แบบกราฟิกบนจอภาพ

Gdi32.dll มีฟังก์ชั่นที่ให้ แอปพลิเคชั่นสร้างวัตถุสองมิติบนหน้าจอ รับรหัสจากแอปพลิเคชันหรือบริการของ Windows และดำเนินการรหัสเครื่องที่ต้องการเพื่อแสดงออบเจกต์ภาพบนจอภาพ

ในขณะที่ระบบปฏิบัติการ Windows อาจบู๊ตแม้ว่า DLL นี้จะเสียหายหรือถูกลบ การแสดงผลของระบบทำงานไม่ถูกต้อง

ไฟล์ระบบ Windows ที่สำคัญอื่น ๆ

ในขณะที่ไฟล์เหล่านั้นเป็นไฟล์ระบบหลักของ Windows และไฟล์ปฏิบัติการที่จำเป็นสำหรับการทำงานที่เหมาะสม ระบบปฏิบัติการ Windows มีไฟล์เพิ่มเติมอีกสองสามไฟล์ที่จำเป็นสำหรับฟังก์ชั่นที่ไม่สำคัญของระบบคอมพิวเตอร์เพื่อให้ทำงานได้อย่างถูกต้อง

Pagefile.sys: ช่วยให้ระบบปฏิบัติการจัดการพื้นที่หน่วยความจำ RAM และปรับปรุงประสิทธิภาพของระบบ

Swapfile.sys: นี่คือไฟล์ระบบที่ใหม่กว่าซึ่งช่วยในการเคลื่อนย้ายรูปแบบที่ทันสมัย แอป Windows ไปยังฮาร์ดไดรฟ์เมื่ออยู่ในสถานะไฮเบอร์เนต

Crss.exe: นี่เป็นกระบวนการไคลเอนต์เซิร์ฟเวอร์รันไทม์ที่จัดการหน้าต่างคอนโซลและ Windows กระบวนการปิดระบบ

Shell32.dll: มีฟังก์ชั่น Windows shell API ที่อนุญาตให้เว็บเบราว์เซอร์และแอปพลิเคชันอื่น ๆ แสดงองค์ประกอบของระบบปฏิบัติการเช่นทาสก์บาร์เดสก์ท็อปและ เมนูเริ่มอย่างถูกต้อง

Smss.exe: ระบบย่อยตัวจัดการเซสชันจัดการเซสชันผู้ใช้รวมถึงการเข้าสู่ระบบ Windows และการตั้งค่าระบบผู้ใช้

Sxs.dll: นี่เป็นองค์ประกอบสำคัญของระบบปฏิบัติการ Windows ที่ใช้งาน ไฟล์รายการ ไฟล์เหล่านี้เป็นไฟล์ที่บอก Windows ถึงวิธีจัดการกับแอปพลิเคชั่นซอฟต์แวร์เมื่อเปิดตัว

ในขณะที่มีไฟล์ระบบที่สำคัญน้อยกว่าจำนวนมากซึ่งเป็นส่วนหนึ่งของระบบปฏิบัติการ Windows ที่พบมากที่สุด. ด้วยเหตุนี้พวกเขาจึงมักถูกกำหนดเป้าหมายโดยมัลแวร์เพื่อหลอกให้ผู้ใช้คิดว่าไฟล์มัลแวร์นั้นถูกกฎหมาย

แอปพลิเคชันป้องกันไวรัสส่วนใหญ่สามารถระบุไฟล์ระบบ Windows ของปลอมได้ มีอยู่

Windows 7 ไอคอนหน้าจอเหมือนกัน แก้ได้ง่ายนิดเดียว

กระทู้ที่เกี่ยวข้อง: