csrss.exe: Что скрывается за процессом выполнения клиент-сервера

Современные операционные системы представляют собой сложные образования. В 1982 году, когда компания Microsoft выпустила MS-DOS, предшественницу сегодняшней Windows, она состояла из семи файлов общим размером около 400 килобайт. При запуске все, что вы видели, — это командную строку с мигающим курсором, ожидающим команд.

Сегодня, когда вы загружаете операционную систему Windows, в память загружается бесчисленное множество исполняемых файлов. Несколько десятков процессов и служб уже запущены еще до того, как вы вошли в систему. Одна из этих критически важных системных программ называется csrss.exe. В этой статье мы подробно рассмотрим функции этой программы.

«csrss» — это аббревиатура для программы Client Server Runtime Subsystem. В старых версиях Windows эта программа была доступна в качестве сервера для работы с графическими пользовательскими интерфейсами. Со временем эта чувствительная область была перенесена в ядро операционной системы (kernel). Однако csrss.exe продолжает функционировать в качестве сервера и выполняет важные задачи в системе. Например, этот процесс отвечает за запуск и завершение многих других системных процессов. Кроме того, он управляет командной строкой, которая теперь является лишь одной из многих программ в операционной системе. Из-за этих важных задач csrss.exe классифицируется как критический процесс.

Client Server Runtime Subsystem запускается один раз за сеанс, хотя после загрузки Windows всегда работают два сеанса: один «0» сеанс для всех служб и один сеанс для пользовательских процессов. Это означает, что как минимум два экземпляра csrss.exe всегда запущены.

Каждый процесс csrss.exe загружает несколько DLL (динамических библиотек), таких как basesrv.dll, winsrv.dll или csrsv.dll. Они обеспечивают, в частности, следующие функции:

• Запуск и остановка процессов
• Запуск и остановка потоков
• Предоставление окна консоли (командной строки)
• Завершение работы системы

Эти функции могут быть вызваны и использованы другими программами и процессами с помощью csrss.exe, что еще раз подтверждает важность этого процесса. Если csrss.exe не будет работать должным образом или не завершится, важные функции операционной системы внезапно станут недоступными. Даже уже активные процессы перестанут работать, когда система больше не сможет запускать потоки.

Существует несколько способов более детального изучения процесса csrss.exe. Наиболее удобным является использование встроенного диспетчера задач. Его можно открыть с помощью комбинации клавиш Ctrl + Shift + Esc или набрав «Диспетчер задач» в поисковой строке Windows. Диспетчер задач содержит несколько вкладок с информацией о загрузке процессора, активных процессах и службах.

В Windows 10 файл csrss.exe можно найти на вкладке «Процессы» диспетчера задач в разделе Client Server Runtime Process. В предыдущих версиях он отображался в диспетчере задач под именем приложения («csrss.exe»). Вы можете щелкнуть процесс правой кнопкой мыши и выбрать одну из нескольких опций. Следующие полезны для проверки процесса:

• Открыть местоположение файла: Открывает окно File Explorer с местоположением файла csrss.exe. Это расположение файла всегда должно быть «WindowsSystem32». Если это не так, то это неправильный процесс.
• Перейдите к деталям: Вы можете просмотреть идентификатор процесса, узнать, запущен ли процесс, и выяснить, какой пользователь его запускает. Для csrss.exe пользователь всегда должен быть SYSTEM, потому что это системный процесс.
• Свойства: Вы можете отобразить подробную информацию о приложении на вкладке «Подробности». Вы можете открыть сертификат на вкладке «Цифровые подписи». Эмитентом сертификата csrss.exe всегда должна быть компания Microsoft.

Одной из хорошо зарекомендовавших себя альтернатив для сканирования системных процессов, таких как csrss.exe, является использование программ от инсайдера Windows Марка Руссиновича. Его Sysinternals Suite содержит множество полезных программ, включая программу Process Explorer, которая позволяет отображать активные процессы в иерархическом порядке. Кроме того, программа содержит прямую ссылку на платформу Virustotal.com, где вы можете отправить процессы для быстрой проверки.

Многие люди на интернет-форумах спрашивают, можно ли завершить процессы, подобные csrss.exe, или удалить программу. Хотя это и возможно, завершение работы csrss.exe приведет к немедленному выключению системы. Только по этой причине вам не следует этого делать. Процесс нельзя завершить в диспетчере задач без прав администратора.

Если процесс вызывает проблемы, например, высокую загрузку процессора, лучше выяснить, какие компоненты могут быть ответственны за это. Также следует проверить, имеете ли вы дело с «настоящим» процессом csrss.

Полное удаление приложения csrss.exe из системной папки приведет к остановке работы системы.

Поскольку процесс csrss.exe всегда активен, он выделяется при мониторинге запущенных процессов. Кроме того, загадочное название процесса привлекает разработчиков вредоносных программ к созданию похожих по звучанию приложений, таких как «crss.exe» или «cssrs.exe», и внедрению их в слабо защищенные системы. В отличие от вредоносных программ с иностранными названиями, эти приложения можно легко пропустить или спутать с легитимным файлом, если не изучить их достаточно внимательно.

Всегда проверяйте правильность написания программы и местоположение файла. Приложение csrss.exe в системной папке.WindowsSystem32 с большой вероятностью не является вредоносным. Тем не менее, если вы все еще подозреваете, что файл является вирусом, мы рекомендуем переустановить систему, поскольку вредоносное ПО сделает всю вашу систему небезопасной.