Ntoskrnl.exe - што гэта? Падрабязнае апісанне кампанента

Аперацыйныя сістэмы сямейства Windows у нейкай меры з'яўляюцца стандартам ва ўсім свеце. Зрэшты, у дачыненні да нашае краіне гэтая акалічнасць выказана яшчэ больш выразна. Як бы там ні было, але ў большай часткі айчынных карыстальнікаў выраз «аперацыйная сістэма» не выклікае ніякіх іншых асацыяцый, акрамя як ўзнікненне перад унутраным поглядам стандартных «акенцаў».

Гэтым жа абумоўліваецца факт, што большая частка праблем, з якімі даводзіцца сутыкацца нашым юзэрам, так ці інакш звязана як раз такі з тымі ці іншымі характарыстыкамі «вокнаў». На жаль, толькі нешматлікія карыстальнікі маюць хоць нейкае ўяўленне пра тую аперацыйнай сістэме, з якой ім даводзіцца працаваць штодня. А бо гэта і прыводзіць да з'яўлення большай частцы вельмі крыўдных праблем. Ці ведаеце вы, да прыкладу, што такое ntoskrnl.exe? А бо гэта адна з фундаментальных складнікаў АС Windows, без ведання асаблівасцяў якой вы можаце сутыкнуцца з досыць сур'ёзнымі цяжкасцямі.

вызначэнне

Прасцей кажучы, пад гэтым непатрабавальным назвай хаваецца ня што-небудзь, а ядро сістэм NT. Вядома ж, гэта далёка не ўсе ядро, але даволі значная яго частка. Дадзены фал прызначаны для старту ў абароненым рэжыме. Зразумела, менавіта з-за гэтага ён з'яўляецца даволі стандартнай мішэнню шкоднасных праграм пры нападах на сістэму.

Дзе размяшчаецца?

Веданне пра месцазнаходжанне працэсу ў большасці выпадкаў надзвычай карысна, бо дазваляе вызначыць, ці не з'яўляецца віслы ў дыспетчару задач элемент вірусам. Але ў гэтым выпадку гэты файл размяшчаецца адразу ў некалькіх месцах, што з'яўляецца цалкам апраўданым крокам з пункту гледжання павышэння бяспекі гэтак важнага структурнага элемента сістэмы.

Так, пры небяспечным пашкоджанні АС з прычыны сістэмнага або апаратнага збою, вірусных нападаў або іншых непрыемнасцяў працэдура аднаўлення становіцца нашмат прасцей. Зрэшты, давайце правядзем стандартны пошук па ўсіх каталогах Windows. Пачынаючы з ХР, адшукаць файл можна ў падтэчку па адрасе: c: \ windows \ system32 \ ntoskrnl.exe.

Розныя версіі файла

Спецыялісты адзначаюць, што на сённяшні дзень у сістэмах АС Windows адначасова можна сустрэць адразу чатыры версіі дадзенага файла. Вось яны:

• ntoskrnl.exe можа быць кампанентам ядра на аднапрацэсарных канфігурацыях сістэмы ;
• адпаведна, ён жа можа ўваходзіць у склад шматпрацэсарнай версіі АС;
• аднапрацэсарныя рэжым пры ўмове наяўнасці больш за тры гігабайтаў аператыўнай памяці таксама патрабуе для ўстойлівай работы ўласную версію дадзенага файла;
• нарэшце, асобны ntoskrnl.exe маюць шмат'ядравыя сістэмы больш чым з трыма гігабайтамі RAM.

Удзел у кіраванні загрузкай сістэмы

На пачатковым этапе загрузкі загрузнік (бутлоадер) сістэмы перадае кіраванне працэсам сістэмнаму файлу Ntoskrnl. Апошні ініцыюе вызначэнне розных прылад, а таксама значна паскарае падрыхтоўку сістэмнай асяроддзя для пачатку працы з рознымі прыкладнымі праграмамі і ўтылітамі.

Якое ж значэнне мае для новых сістэм ntoskrnl.exe? Windows 7 (роўна, як і Windows 8 і Vista) яшчэ мацней залежыць ад яго (у параўнанні са старымі версіямі АС), бо ў наш час асаблівае значэнне набывае абарона сістэмы ад шкоднасных праграм. Сёння яны сталі куды «вынаходлівей», пранікаючы ў АС яшчэ на этапе яе старту.

Аб сістэме абароны

Надзвычай важнай складнікам дадзенага працэсу з'яўляецца ўзровень апаратных абстракцый ядра - Hardware Abstraction Layer. Гэта важна, так як працэс ntoskrnl.exe спаўняецца ў прывілеяваным рэжыме працы цэнтральнага працэсара. Гэтую опцыю спецыялісты называюць яшчэ «нулявым кольцам абароны» (Ring 0). Прасцей кажучы, рэжым асаблівага доступу дазваляе працэсу наўпрост звяртацца да сістэмных кампанентаў, абмінаючы нават тэхналогію перапыненняў. Зроблена гэта для максімальнай хуткасці працы ядра, яго збалансаванасці і незалежнасці ад знешняга сістэмнай абалонкі. На жаль, але на практыцы ўсё можа атрымацца некалькі інакш.

Яшчэ раз аб шкоднасных праграмах

Нядзіўна, што гэты працэс з'яўляецца «прынадным кавалачкам» для стваральнікаў шкоднасных прыкладанняў. Бо калі яго заразіць, то можна атрымаць доступ да сістэмы на нізкаўзроўневым рэжыме! Калі такое ўмяшанне атрымоўваецца, то любы антывірус, які працуе непасрэдна ў Windows, становіцца абсалютна бескарысным.

Зрэшты, у апошні час гэтую праблему ўдалося вырашыць. Сам факт ўмяшання ў сістэму ўдала выкрываецца простым параўнаннем хэш-сум файла ntoskrnl.exe (што гэта, вы ўжо ведаеце), які вісіць у сістэмных працэсах, з аналагічным «эталонным» значэннем, прадастаўленым Microsoft.

Іншыя спосабы абароны

Калі вы паспрабуеце выдаліць гэты файл з яго законнага месца ў тэчцы Windows, то ўжо праз дзесяць-дванаццаць секунд ён зноў апынецца на тым жа самым месцы! Адкуль ён там возьмецца? Ды проста сістэма скапіюе яго прама з аператыўнай памяці.

Наяўнасць дадзенага працэсу ў памяці гарантуе, што яго копія на дыску не будзе падменены нейкім шкоднасным аналагам. Каб забяспечыць поўную абарону, сучасныя сістэмы сямейства Windows шматкроць параўноўваюць гэтыя файлы на ўсім працягу сваёй працы.

Як пераканацца ў наяўнасці працэсу?

Давайце праверым, ці на самай справе ў спісе сістэмных працэсаў маецца ntoskrnl.exe. Што гэта значыць? Перш трэба запусціць "Дыспетчар задач" (націскам трох кнопак, пра што мы ўжо казалі вышэй), а затым адзначыць там пункт "Адлюстроўваць працэсы ўсіх карыстальнікаў". Пасля гэтага працэс можна будзе ўбачыць. Зразумела, запушчаны ён павінен быць з наступнага месцазнаходжання: windows \ system32 \ ntoskrnl.exe.

магчымыя праблемы

На жаль, але на практыцы не так ужо і рэдка даводзіцца сустракаць выпадкі, калі загрузка сістэмы становіцца немагчымай з-за адсутнага файла ntoskrnl.exe. «Сіні экран смерці» таксама нярэдка ўзнікае з-за яго ж.

Спецыялісты ўпэўнена кажуць, што ў большасці выпадкаў дадзеная праблема здараецца з-за нейкіх няспраўнасцяў жорсткага дыска кампутара. Нярэдка карыстальнікі сутыкаюцца з гэтай непрыемнасцю пасля замены асноўнага сістэмнага дыска ці падключэння новага вінчэстара. Прасцей кажучы, пасля любых фізічных маніпуляцый з жорсткімі дыскамі.

Найбольш распаўсюджаныя прычыны непаладак

Нягледзячы на некаторую расплывістасць тэрміналогіі, некаторыя асноўныя прычыны застаюцца практычна нязменнымі. Вось яны:

• Выпадкі памылак файлавай сістэмы, што асабліва часта бывае на ХР і больш старых аперацыйных сістэмах (праверыць і выправіць можна камандай chkdsk).
• З-за апаратных збояў вінчэстара, выкліканых раптоўным адключэннем электраэнергіі.
• Пры ўзнікненні бэд-блокаў на паверхні жорсткага дыска (правяраецца і выпраўляецца праграмай пад назвай «Вікторыя»).

Ці можна аднавіць пашкоджаны файл?

Так, гэта цалкам рэальна. Для выканання такой задачы вам спатрэбіцца той дыск, з якога вы ці вашыя сябры ўсталёўвалі сістэму. Пасля загрузкі неабходна абраць у акне з'явіўся «Майстры» пункт «Аднаўленне сістэмы», а ўжо адтуль запусціць рэжым каманднага радка. У яе трэба ўставіць наступную каманду: expand d: \ i386 \ ntoskrnl.ex_ c: \ windows \ system32. Звярніце ўвагу: замест D стаўце літару свайго аптычнага прывада!

Націскаем на Enter. Калі ўсё было зроблена правільна, вас папросяць пагадзіцца на перазапіс сістэмнага файла. Націскаем на кнопку Y, зноў ціснем на кнопку Enter. Файл будзе зноўку скапіяваны з аптычнага дыска і запісаны замест пашкоджанага элемента ў вашу сістэму.

Важна! Для аднаўлення выкарыстоўвайце толькі афіцыйныя ўсталявальныя дыскі. Ні ў якім разе не ўжывайце з гэтай мэтай усялякія "зборкі", так як у выніку вы можаце атрымаць яшчэ большыя праблемы!