Duistere Windows-systeembestanden en waarom u er iets over zou moeten weten

Het Windows -besturingssysteem bestaat uit een groot assortiment aan bestanden en programma's. Sommige hiervan draaien de hele tijd, terwijl andere slechts af en toe door het besturingssysteem worden aangeroepen.

Bijna alle kernbestanden van het Windows -besturingssysteem worden opgeslagen in de mappen C:\Windows\System en C:\Windows\System32 (op uw computer kan de stationsletter anders zijn). De Windows -map zelf bevat ook een aantal essentiële bestanden.

Alle programma's die op uw computer zijn geïnstalleerd, hebben meestal uitvoerbare en gerelateerde bestanden die zijn opgeslagen in C:\Program Files of C:\Program Files (x86) .

Over het algemeen wilt u nooit de Windows -systeembestanden die zich in een van deze mappen bevinden, wijzigen, verwijderen of verplaatsen. Er zijn echter een paar bestanden die essentieel zijn voor de functie van het besturingssysteem. Als deze bestanden worden verwijderd of anderszins beschadigd raken, moet u uw Windows -besturingssysteem herstellen.

Ntoskrnl.exe

Dit uitvoerbare bestand is de kernelafbeelding. Dit betekent dat het in wezen de kerncode (de uitvoerende macht) is die ervoor zorgt dat het besturingssysteem correct werkt. 

Deze code zorgt voor het beheer van hardware, systeemprocessen en geheugenbeheer. Het is ook de code die plant welke applicaties toegang hebben tot de systeemprocessor en hoeveel geheugen (en geheugenadressen) ze mogen gebruiken.

Dit uitvoerbare bestand verschijnt in Taakbeheer(Task Manager) met de naam Systeem(System) en Register(Registry) . Het is een zwaar beveiligd bestand, dus het is moeilijk voor toepassingen zoals malware om het bestand te beschadigen of te verwijderen.

Als u in oudere versies van Windows een groot aantal toepassingen opende, zou Ntoskrnl.exe een grote hoeveelheid geheugen gaan verbruiken. Vanaf Windows 10 comprimeert Ntoskrnl.exe nu ongebruikte pagina's in plaats van ze op te slaan in het geheugen. Dit vermindert het geheugenverbruik, maar kan het CPU- gebruik verhogen als u veel toepassingen tegelijk uitvoert.

Ntkrnlpa.exe

Dit proces is een kernsoftwarecomponent van de Microsoft Windows -kernel en systeemcode. De naam staat voor New Technology Kernel Process Allocator . Naast Ntoskrnl.exe(Alongside Ntoskrnl.exe) regelt het de planning en het geheugenbeheer.

Het voorkomt ook dat niet-kerntoepassingen en -services toegang krijgen tot de kerngebieden van het besturingssysteem, waardoor het besturingssysteem veilig blijft werken in een beschermd gebied van systeemgeheugen.

Omdat Ntkrnlpa.exe verantwoordelijk is voor het blokkeren van toepassingen voor toegang tot beschermd systeemgeheugen, denken veel gebruikers vaak dat het Ntkrnlpa.exe is dat een Windows -systeemstoring veroorzaakt. Dit komt omdat Ntkrnlpa.exe het proces is dat de fout retourneert.

Meestal is de oorzaak hiervan eigenlijk een vorm van malware die probeert beveiligd systeemgeheugen te veroorzaken, waardoor de Ntkrnlpa.exe- fouten worden gestart.

Hal.dll

Een ander kernbestand met betrekking tot de systeemkernel en het kernsysteem is Hal.dll . De naam van dit DLL -bestand staat voor Hardware Abstraction Layer.

Dit bestand bevat kerncode waarmee toepassingen kunnen communiceren met computerhardware met behulp van eenvoudige programmafuncties in plaats van ingewikkelde machinecode. 

Met de toepasselijke naam verwijdert het de abstractie van het communiceren met en het besturen van computerhardware.

Dit uitvoerbare bestand wordt uitgevoerd in het RAM -geheugen en bevindt zich in de System32 - directory.

Hal.dll veroorzaakt meestal geen problemen met de computer, maar sommige malwaretoepassingen proberen hun uitvoerbare bestanden te verhullen door ze dezelfde naam te geven. U kunt het echter identificeren als een vervalste toepassing wanneer deze zich in een andere map dan System32 bevindt .

Stop nooit de Hal.dll -taak, omdat uw systeem hierdoor niet meer functioneert en u mogelijk het Windows -besturingssysteem moet herstellen.

Win32k.sys

Dit bestand is het zogenaamde Multi-User Win32- stuurprogrammabestand, dat oorspronkelijk werd uitgebracht als onderdeel van het besturingssysteem Windows XP(Windows XP) . Het is geüpgraded via elke nieuwe Windows - release, inclusief Windows 10.

Het is een grafische stuurprogramma-interface die het verzenden van afbeeldingen naar monitoren en andere uitvoerapparaten beheert. De code wordt uitgevoerd door gdi32.dll op Windows 10. 

Helaas, omdat Win32k.sys zo'n lange tijd een kernonderdeel van het Windows -besturingssysteem is geweest en omdat het zich in een map ( Program Files ) bevindt die meestal niet zo goed beschermd is als de System32 -map, richt malware zich vaak op dit bestand voor corruptie.

Bovendien is het ook een veelvoorkomende naam die door malware wordt gekozen voor zijn eigen bestanden, zodat gebruikers het bestand niet vermoeden als onderdeel van een computerinfectie.

Ntdll.dll

Dit bestand bevindt zich in de systeemmappen System(System) en System32 . De beschrijving van het bestand is NT Layer DLL . Het is in wezen een DLL -bestand dat kernfuncties van de NT-kernel bevat.

Dit betekent dat het de machinecode bevat waarmee het kernbesturingssysteem correct kan functioneren. Het kernprogramma van de kernel heeft toegang tot functies die zijn opgenomen in Ntdll.dll en dit bestand verwerkt deze functies op machineniveau.

Als u foutmeldingen ziet die afkomstig zijn van het Ntdll.dll- proces, wordt dit meestal veroorzaakt door een beschadigd Ntdll.dll -bestand of door hardwareproblemen op uw computer waardoor het proces vastloopt.

Meestal lost het opnieuw installeren van het hardwarestuurprogramma dat de fout veroorzaakt de fout op. Als het probleem een ​​beschadigd Ntdll.dll -bestand is, kan antivirussoftware het probleem oplossen. Als dit niet het geval is, is mogelijk een Windows -herstel vereist.

Kernel32.dll

Dit DLL -bestand is een ander bestand dat wordt gevonden als onderdeel van de kernel van het Windows -besturingssysteem. Het beheert het geheugen, inclusief geheugenonderbrekingen. Het beheert ook alle invoer- en uitvoerbewerkingen.

Kernel32.dll is een ander bestand dat wordt geladen in beveiligde geheugenruimte waar reguliere gebruikerstoepassingen niet kunnen werken.

Als u ooit een fout ziet met betrekking tot Kernel32.dll , is dit meestal te wijten aan malware of corrupte hardwarestuurprogramma's (of defecte hardware) die proberen te schrijven naar het beveiligde geheugen waar Kernel32.dll zich bevindt. Gewoonlijk lost het opnieuw installeren van hardwarestuurprogramma's of nieuwe hardware deze fouten op.

Advapi32.dll

Dit DLL -bestand is een ander kernonderdeel van het Windows -besturingssysteem. De naam staat voor Advanced Application Programming Interface of Advanced API . Het behandelt systeembeveiligingsoproepen en oproepen tegen het systeemregister.

Deze DLL beheert het starten en afsluiten van Windows , beheert het Windows -register, beheert gebruikersaccounts en accountbeveiliging en beheert Windows - services.

Hoewel dit bestand niet nodig is om Windows correct op te starten, is het wel vereist voor de juiste werking van de meeste toepassingen en hardware. Als dit Windows -systeembestand wordt verwijderd of beschadigd, mislukken alle applicatie- API - aanroepen om toegang te krijgen tot het systeemregister of de beveiliging en ziet u een aantal foutmeldingen.

Gebruiker32.dll(User32.dll)

Nog een kern- DLL , dit Windows -systeembestand bevat het grootste deel van de Windows-kern-API(Windows API) voor gebruikerstoepassingen om te communiceren met het besturingssysteem. Het behandelt de meeste native vensters en bedieningselementen die worden weergegeven door Windows -toepassingen.

Elke toepassing met een grafische gebruikersinterface gebruikt meestal componenten die worden aangeboden door het bestand User32.dll

In de meeste gevallen maken Windows -toepassingen echter gebruik van bibliotheken die zijn ingebouwd in het Windows .NET - framework, dat op zijn beurt de communicatie met de User32.dll beheert(User32.dll)

In beide gevallen vertaalt User32.dll de algemene, gemakkelijk te begrijpen applicatiecode in de opdrachten op machineniveau die vereist zijn door het Windows -besturingssysteem.

Gdi32.dll

Net als User32.dll , bevat Gdi32.dll functies waarmee toepassingen grafische gebruikersinterfaces op de monitor kunnen maken.

Gdi32.dll bevat functies waarmee toepassingen 2-dimensionale objecten op het scherm kunnen maken. Het accepteert code van een Windows -toepassing of -service en voert de vereiste machinecode uit om de visuele objecten op de monitor weer te geven.

Hoewel een Windows -besturingssysteem kan opstarten, zelfs als deze DLL beschadigd of verwijderd is, zal de weergave van het besturingssysteem niet goed werken.

Andere belangrijke Windows-systeembestanden(Other Important Windows System Files)

Hoewel dit de belangrijkste Windows -systeembestanden en uitvoerbare bestanden zijn die nodig zijn voor de goede werking van het Windows -besturingssysteem, zijn er een paar extra bestanden vereist om niet-kritieke functies van het computersysteem correct te laten werken.

  • Pagefile.sys : helpt het besturingssysteem RAM -geheugenruimte te beheren en de systeemprestaties te verbeteren.
  • Swapfile.sys : dit is een nieuwer systeembestand dat helpt bij het verplaatsen van moderne Windows -apps naar de harde schijf wanneer ze in de slaapstand staan.
  • Crss.exe : dit is een runtime-proces van de clientserver dat consolevensters en het Windows - afsluitproces afhandelt.
  • Shell32.dll : Bevat Windows shell - API -functies waarmee webbrowsers en andere toepassingen elementen van het besturingssysteem, zoals de taakbalk, het bureaublad en het Start - menu, correct kunnen weergeven.
  • Smss.exe : Het sessiebeheersubsysteem handelt gebruikerssessies af, inclusief Windows -aanmeldings- en gebruikerssysteeminstellingen.
  • Sxs.dll : dit is een belangrijk onderdeel van het Windows -besturingssysteem dat manifestbestanden verwerkt. Dit zijn bestanden die Windows vertellen hoe een softwaretoepassing moet worden afgehandeld wanneer deze wordt gestart.

Hoewel er veel meer minder kritieke systeembestanden zijn als onderdeel van het Windows -besturingssysteem, zijn de hierboven genoemde enkele van de meest voorkomende. Hierdoor zijn ze vaak het doelwit van malware om gebruikers te laten denken dat malwarebestanden legitiem zijn.

De meeste antivirusprogramma's zijn in staat om een ​​vervalst Windows -systeembestand te identificeren en zullen deze doorgaans van uw systeem verwijderen voordat u weet dat ze bestaan.



Jay Timmermans

About the author

Ik ben een softwareontwikkelaar met meer dan 10 jaar ervaring. Ik ben gespecialiseerd in Mac-programmering en heb duizenden regels code geschreven voor verschillende Mac-programma's, waaronder maar niet beperkt tot: TextEdit, GarageBand, iMovie en Inkscape. Ook heb ik ervaring met Linux en Windows ontwikkeling. Dankzij mijn vaardigheden als ontwikkelaar kan ik hoogwaardige, uitgebreide tutorials schrijven voor verschillende softwareontwikkelingsplatforms - van macOS tot Linux - waardoor mijn tutorials de perfecte keuze zijn voor diegenen die meer willen weten over de tools die ze gebruiken.


Related posts