Csrss.exe
csrss.exe (קיצור ל - Client/Server Runtime Subsystem) הוא רכיב מערכת חיוני במשפחת מערכות ההפעלה Windows NT של מיקרוסופט, שנכלל לראשונה בגרסת חלונות NT 3.11 ונכלל גם במערכות הפעלה מאוחרות יותר, והוא אחד מהתהליכים שאחראיים על מרחב המשתמש.
תפקוד
התפקיד של רכיב זה במקור היה לספק מרחב משתמש לתת-המערכת Win32, שהיה אחראי, בין היתר, לספק ממשק עבודה גרפי (GDI) עבור הפעלת פקודות מערכת. החל מגרסה 4, רוב התפקודים האלו עברו לרמת הליבה כדי לשפר את ביצועיה הגרפיים של המערכת, וכיום הרכיב בעיקרו מספק ממשק עבודה עבור יישומי Win32 שפועלים בממשק שורת פקודה (Console applications), וכן מטפל באפשרויות כיבוי המחשב דרך ממשק המשתמש הגרפי. csrss.exe לרוב נקרא ביחד עם winlogon.exe על ידי smss.exe, תהליך שמופעל עם עליית מערכת ההפעלה ומחכה לפקודת כיבוי שנשלחת מהתהליכים האלו כדי לבצע כיבוי נאות.
בחלונות ויסטה ומעלה נוצרים שני מופעים של התהליך, כאשר אחד מהם מטפל בעזרת התהליך conhost.exe במרחב שורת הפקודה של אותו המשתמש שמחובר למערכת כרגע, עם ההרשאות שלו.
כיוון שזהו תהליך חיוני לפעולת המערכת, לא ניתן לסיים את פעולתו דרך מנהל המשימות. בגרסאות יותר חדשות של Windows (מויסטה והלאה), מנהל המשימות יתריע כי מדובר בתהליך מערכת קריטי ויבקש מהמשתמש אישור האם הוא מעוניין לסיים את פעולתו. סיום בלתי צפוי של התהליך, כמו במקרי תקלה או כאשר "הורגים" את התהליך דרך כלי חיצוני (Sysinternals Process Explorer למשל), או מקרה בו הקובץ נפגם, יגרום לתהליך האב smss להכריז לקרנל על תקלה בהליך האתחול, דבר שיסתיים במסך כחול עם הכתובת c000021a (STATUS_SYSTEM_PROCESS_TERMINATED) או עם הכתובת 0x000000F4.
אבטחה
בשל חיוניותו, נוזקות לא מעטות עשויות להתחזות לתהליך זה, כדי להסוות על פעולתן, ולהקשות על המשתמש להסירן. עם זאת, תרמיות אינטרנט רבות מבקשות להציג את התהליך הזה כוירוס ומבקשות מהמשתמש למחוק אותו. ידועים לא מעט מקרים על נוכלי אינטרנט, שהתחזו לבכירי מיקרוסופט ודרשו בפורומי התמיכה מהמשתמשים למחוק את התהליך מהמחשב שלהם בתואנת שווא כי מדובר בוירוס[1].
קישורים חיצוניים
הערות שוליים
- ^ Catalin Cimpanu, Symantec Disavows Business Partner Caught Running a Tech Support Scam, softpedia (באנגלית)
29379073Csrss.exe