Windows 운영 체제 는 다양한 파일과 프로그램으로 구성됩니다. 이들 중 일부는 항상 실행되는 반면 다른 일부는 운영 체제에서 가끔씩만 호출됩니다.
거의 모든 핵심 Windows 운영 체제 파일은 (Windows)C:\Windows\System 및 C:\Windows\System32 WindowsSystem32 폴더에 저장됩니다 (컴퓨터에서 드라이브 문자는 다를 수 있음). Windows 폴더 자체에도 많은 필수 파일이 있습니다 .
컴퓨터에 설치된 모든 프로그램에는 일반적으로 C:\Program Files 또는 C:\Program Files (x86) 에 저장된 실행 파일 및 관련 파일이 있습니다 .
일반적으로 이러한 디렉토리에 있는 Windows 시스템 파일 을 수정, 삭제 또는 이동하고 싶지 않습니다 . 그러나 운영 체제 기능의 핵심인 몇 가지 파일이 있습니다. 이러한 파일이 삭제되거나 손상되면 Windows 운영 체제를 복원해야 합니다.
Ntoskrnl.exe
이 실행 파일은 커널 이미지입니다. 이는 운영 체제가 제대로 작동하도록 만드는 것이 본질적으로 핵심 코드(임원)라는 것을 의미합니다.
이 코드는 하드웨어, 시스템 프로세스 및 메모리 관리 관리를 처리합니다. 또한 시스템 프로세서에 액세스할 수 있는 응용 프로그램과 사용하도록 할당된 메모리(및 메모리 주소)의 일정을 지정하는 코드입니다.
이 실행 파일은 작업 관리자 에 (Task Manager)System and Registry 라는 이름으로 표시됩니다 . 철저하게 보호되는 파일이므로 맬웨어와 같은 응용 프로그램이 파일을 손상시키거나 삭제하기 어렵습니다.
이전 버전의 Windows 에서 많은 수의 응용 프로그램을 열면 Ntoskrnl.exe 가 많은 양의 메모리를 사용하기 시작합니다. Windows 10 부터 Ntoskrnl.exe 는 이제 사용하지 않는 페이지를 메모리에 저장하지 않고 압축합니다. 이렇게 하면 메모리 사용량이 줄어들지만 한 번에 많은 응용 프로그램을 실행하면 CPU 사용량이 늘어날 수 있습니다.(CPU)
Ntkrnlpa.exe
이 프로세스는 Microsoft Windows 커널 및 시스템 코드의 핵심 소프트웨어 구성 요소입니다. 이름은 New Technology Kernel Process Allocator(New Technology Kernel Process Allocator) 의 약자입니다 . Ntoskrnl.exe와 함께(Alongside Ntoskrnl.exe) 스케줄링 및 메모리 관리를 제어합니다.
또한 비핵심 응용 프로그램 및 서비스가 운영 체제의 핵심 영역에 액세스하는 것을 방지하여 OS가 시스템 메모리의 보호된 영역에서 안전하게 실행되도록 합니다.
Ntkrnlpa.exe 는 응용 프로그램이 보호된 시스템 메모리에 액세스하는 것을 차단하는 역할을 하기 때문에 많은 사용자는 종종 Windows 시스템 오류 를 일으키는 원인이 Ntkrnlpa.exe 라고 생각합니다. (Ntkrnlpa.exe)Ntkrnlpa.exe 가 오류를 반환하는 프로세스 이기 때문 입니다.
일반적으로 이것의 원인은 실제로 Ntkrnlpa.exe(Ntkrnlpa.exe) 오류 를 시작하여 보호된 시스템 메모리를 일으키려고 시도하는 일부 형태의 맬웨어 입니다.
할.dll(Hal.dll)
시스템 커널 및 코어 시스템과 관련된 또 다른 코어 파일은 Hal.dll 입니다. 이 DLL 파일 의 이름은 Hardware Abstraction Layer를 나타냅니다.(Hardware Abstraction Layer.)
이 파일에는 응용 프로그램이 복잡한 기계 코드가 아닌 간단한 프로그램 기능을 사용하여 컴퓨터 하드웨어와 상호 작용할 수 있도록 하는 핵심 코드가 포함되어 있습니다.
적절한 이름으로 컴퓨터 하드웨어와의 통신 및 제어에서 추상화를 제거합니다.
이 실행 파일은 RAM 메모리 내부에서 실행되며 System32 디렉토리에 있습니다.
Hal.dll 은 일반적으로 컴퓨터에 문제를 일으키지 않지만 일부 맬웨어 응용 프로그램은 동일한 이름을 지정하여 실행 파일을 숨기려고 합니다. 그러나 System32(System32) 와 다른 폴더에 있는 경우 위조 응용 프로그램으로 식별할 수 있습니다 .
Hal.dll 작업을 중지하지 마십시오 . 시스템이 작동하지 않고 Windows 운영 체제를 복원해야 할 수 있습니다.
Win32k.sys
이 파일은 원래 Windows XP 운영 체제 의 일부로 출시된 다중 사용자 Win32 드라이버 파일로 알려져 있습니다. (Multi-User Win32)Windows 10 을 포함하여 각각의 새로운 Windows 릴리스 를 통해 업그레이드되었습니다 .
그래픽을 모니터 및 기타 출력 장치로 보내는 것을 관리하는 그래픽 드라이버 인터페이스입니다. 코드는 Windows 10에서 gdi32.dll 에 의해 실행됩니다.(gdi32.dll)
불행히도 Win32k.sys 는 오랫동안 Windows 운영 체제의 핵심 부분이었으며 일반적으로 (Windows)System32 폴더 만큼 잘 보호되지 않는 폴더( Program Files )에 있기 때문에 맬웨어는 종종 이 파일을 대상으로 합니다. 부패를 위해.
또한 사용자가 파일을 컴퓨터 감염의 일부로 의심하지 않도록 맬웨어가 자체 파일에 대해 선택한 일반적인 이름이기도 합니다.
Ntdll.dll
이 파일은 System 및 System32 시스템 디렉토리에 있습니다. 파일에 대한 설명은 NT Layer DLL 입니다. 본질적으로 핵심 NT 커널 기능을 포함 하는 DLL 파일입니다.(DLL)
이는 핵심 운영 체제가 제대로 작동하도록 하는 기계어 코드가 포함되어 있음을 의미합니다. 핵심 커널 프로그램은 Ntdll.dll 에 포함된 기능에 액세스하고 이 파일은 해당 시스템 수준 기능을 처리합니다.
Ntdll.dll 프로세스 에서 발생하는 오류 메시지가 표시되는 경우 이는 일반적으로 손상된 Ntdll.dll 파일 또는 프로세스 충돌을 일으키는 컴퓨터의 하드웨어 문제로 인해 발생합니다.
일반적으로 오류를 일으키는 하드웨어 드라이버를 다시 설치하면 일반적으로 오류가 해결됩니다. 문제가 손상된 Ntdll.dll 파일인 경우 바이러스 백신 소프트웨어가 문제를 복구할 수 있습니다. 그렇지 않으면 Windows 복원이 필요할 수 있습니다.
Kernel32.dll
이 DLL 파일은 (DLL)Windows 운영 체제 커널 의 일부로 발견된 또 다른 파일입니다 . 메모리 인터럽트를 포함하여 메모리를 관리합니다. 또한 모든 입력 및 출력 작업을 관리합니다.
Kernel32.dll 은 일반 사용자 응용 프로그램이 작동할 수 없는 보호된 메모리 공간에 로드되는 또 다른 파일입니다.
Kernel32.dll 와 관련된 오류가 표시되는 경우 일반적으로 Kernel32.dll 이 있는 보호된 메모리에 쓰려고 시도하는 맬웨어 또는 손상된 하드웨어 드라이버(또는 결함 있는 하드웨어)가 원인 입니다. 일반적으로 하드웨어 드라이버나 새 하드웨어를 다시 설치하면 이러한 오류가 해결됩니다.
Advapi32.dll
이 DLL 파일은 Windows 운영 체제의 또 다른 핵심 구성 요소입니다. 그 이름은 고급 응용 프로그래밍 인터페이스(Advanced Application Programming Interface) 또는 고급 API를(Advanced API) 나타 냅니다. 시스템 보안 호출 및 시스템 레지스트리에 대한 호출을 처리합니다.
이 DLL 은 (DLL)Windows 시작 및 종료 , Windows 레지스트리 관리, 사용자 계정 및 계정 보안 처리, Windows 서비스 관리를 관리합니다.
이 파일은 Windows 가 제대로 부팅하는 데 필요하지 않지만 대부분의 응용 프로그램과 하드웨어가 제대로 작동하는 데 필요합니다. 이 Windows 시스템 파일이 삭제되거나 손상되면 시스템 레지스트리 또는 보안에 액세스하기 위한 애플리케이션 API 호출이 실패하고 여러 오류 메시지가 표시됩니다.
사용자32.dll(User32.dll)
또 다른 핵심 DLL 인 이 Windows 시스템 파일에는 사용자 응용 프로그램이 운영 체제와 통신하기 위한 대부분의 핵심 Windows API 가 포함되어 있습니다. (Windows API)Windows 응용 프로그램 에서 표시되는 대부분의 기본 창과 컨트롤을 처리 합니다.
그래픽 사용자 인터페이스가 있는 모든 응용 프로그램은 일반적으로 User32.dll 파일에서 제공하는 구성 요소를 사용합니다.
그러나 대부분의 경우 Windows 응용 프로그램은 (Windows)Windows .NET 프레임워크에 내장된 라이브러리를 활용 하여 User32.dll 과의 통신을 관리합니다 .
두 경우 모두 User32.dll 은 일반적이고 이해하기 쉬운 응용 프로그램 코드를 Windows 운영 체제에 필요한 시스템 수준 명령으로 변환합니다.
Gdi32.dll
User32.dll 과 마찬가지로 Gdi32.dll 에는 응용 프로그램이 모니터에서 그래픽 사용자 인터페이스를 만들 수 있도록 하는 기능이 포함되어 있습니다.
Gdi32.dll 에는 응용 프로그램이 화면에 2차원 개체를 만들 수 있도록 하는 기능이 포함되어 있습니다. Windows 응용 프로그램 또는 서비스 에서 코드를 수락 하고 필요한 기계 코드를 실행하여 모니터에 시각적 개체를 표시합니다.
이 DLL 이 손상되거나 삭제된 경우에도 (DLL)Windows 운영 체제가 부팅될 수 있지만 운영 체제 디스플레이는 제대로 작동하지 않습니다.
기타 중요한 Windows 시스템 파일(Other Important Windows System Files)
이것들은 Windows(Windows) 운영 체제 의 적절한 기능에 필요한 핵심 Windows 시스템 파일 및 실행 파일 이지만 컴퓨터 시스템의 중요하지 않은 기능이 제대로 작동하는 데 필요한 몇 가지 추가 파일이 있습니다.
- Pagefile.sys : 운영 체제가 RAM 메모리 공간을 관리하고 시스템 성능을 향상시키는 데 도움이 됩니다.
- Swapfile.sys : 최신 (Swapfile.sys)Windows 앱이 최대 절전 모드일 때 하드 드라이브 로 이동하는 데 도움이 되는 최신 시스템 파일입니다 .
- Crss.exe : 콘솔 창 및 (Crss.exe)Windows 종료 프로세스 를 처리하는 클라이언트 서버 런타임 프로세스입니다 .
- Shell32.dll : 웹 브라우저 및 기타 응용 프로그램이 작업 표시줄, 바탕 화면 및 시작(Start) 메뉴와 같은 운영 체제 요소를 올바르게 표시할 수 있도록 하는 Windows 셸 API 기능이 포함되어 있습니다.(API)
- Smss.exe : 세션 관리자 하위 시스템은 Windows 로그온 및 사용자 시스템 설정을 포함한 사용자 세션을 처리합니다.
- Sxs.dll : 매니페스트 파일을 처리 하는 Windows 운영 체제 의 중요한 구성 요소입니다 . 이는 소프트웨어 응용 프로그램이 시작될 때 Windows 에 소프트웨어 응용 프로그램을 처리하는 방법을 알려주는 파일입니다 .
Windows 운영 체제 의 일부로 덜 중요한 시스템 파일이 훨씬 더 많지만 위에 나열된 파일이 가장 일반적인 파일입니다. 이 때문에 사용자가 멀웨어 파일이 합법적이라고 생각하도록 속이기 위해 멀웨어의 표적이 되는 경우가 많습니다.
대부분의 바이러스 백신 응용 프로그램은 위조 Windows(Windows) 시스템 파일 을 식별할 수 있으며 일반적으로 해당 파일이 존재한다는 사실을 알기 전에 시스템에서 파일을 지웁니다.
Obscure Windows System Files and Why You Should Know About Them
The Windows oрerating system is made up of a large assortment of files and programs. Some of theѕe run all the time, while others are called by the operаting system only occasionаlly.
Nearly all of the core Windows operating system files are stored in the folders C:\Windows\System and C:\Windows\System32 (on your computer, the drive letter could be different). The Windows folder itself also holds a number of essential files.
All of the programs that are installed on your computer typically have executable and related files stored in C:\Program Files or C:\Program Files (x86).
In general, you never want to modify, delete, or move any of the Windows system files that are located in any of these directories. However, there are a few files that are core to the function of the operating system. If these files get deleted or otherwise corrupted, you’ll need to restore your Windows operating system.
Ntoskrnl.exe
This executable is the kernel image. This means it’s essentially the core code (the executive) that makes the operating system work properly.
This code handles management of hardware, system processes, and memory management. It’s also the code that schedules what applications have access to the system processor and how much memory (and memory addresses) they’re allocated to use.
This executable shows up in Task Manager with the name System and Registry. It is a heavily protected file, so it’s difficult for any application like malware to corrupt or delete the file.
In older versions of Windows, if you opened up a large number of applications, Ntoskrnl.exe would start consuming a large amount of memory. Starting with Windows 10, the Ntoskrnl.exe now compresses unused pages rather than storing them to memory. This reduces memory consumption, but can increase CPU usage if you run a lot of applications at once.
Ntkrnlpa.exe
This process is a core software component of the Microsoft Windows kernel and system code. The name stands for New Technology Kernel Process Allocator. Alongside Ntoskrnl.exe, it controls scheduling and memory management.
It also prevents non-core applications and services from accessing the core areas of the operating system, which keeps the OS safely running in a protected area of system memory.
Since Ntkrnlpa.exe is responsible for blocking applications from accessing protected system memory, many users often think it’s Ntkrnlpa.exe that’s causing a Windows system failure. This is because Ntkrnlpa.exe is the process that returns the error.
Usually the cause of this is actually some form of malware attempting to cause protected system memory, kicking off the Ntkrnlpa.exe errors.
Hal.dll
Another core file related to the system kernel and core system is Hal.dll. The name of this DLL file stands for Hardware Abstraction Layer.
This file contains core code that allows applications to interact with computer hardware using simple program functions rather than complicated machine code.
Aptly named, it removes the abstraction from communicating with and controlling computer hardware.
This executable runs inside RAM memory and is located in the System32 directory.
Hal.dll typically doesn’t cause any issues with the computer, however some malware applications attempt to cloak their executables by giving them the same name. However, you can identify it as a counterfeit application when it’s located in a different folder than System32.
Never stop the Hal.dll task as this will make your system non-functional and could force you to have to restore the Windows operating system.
Win32k.sys
This file is what’s known as the Multi-User Win32 driver file, originally released as part of the Windows XP operating system. It’s been upgraded through each new Windows release, including Windows 10.
It’s a graphics driver interface that manages sending graphics to monitors and other output devices. The code is executed by gdi32.dll on Windows 10.
Unfortunately, because Win32k.sys has been such a long-time core piece of the Windows operating system, and because it resides in a folder (Program Files) that isn’t usually as well protected as the System32 folder, malware often targets this file for corruption.
Additionally, it’s also a common name chosen by malware for its own files, so that users don’t suspect the file as part of a computer infection.
Ntdll.dll
This file is located in the System and System32 system directories. The description of the file is NT Layer DLL. It’s essentially a DLL file that contains core NT kernel functions.
This means it contains the machine code that allows the core operating system to function properly. The core kernel program accesses functions contained by Ntdll.dll, and this file processes those machine level functions.
If you see any error messages coming from the Ntdll.dll process, this is usually caused by either a corrupt Ntdll.dll file, or hardware problems on your computer that are causing the process to crash.
Usually, reinstalling the hardware driver causing the error usually resolves the error. If the issue is a corrupt Ntdll.dll file, antivirus software is capable of repairing the issue. If it can’t, a Windows restore may be required.
Kernel32.dll
This DLL file is another found as part of the Windows operating system kernel. It manages memory, including memory interrupts. It also manages all input and output operations.
Kernel32.dll is another file that gets loaded into protected memory space where regular user applications can’t operate.
If you ever see an error related to Kernel32.dll, it’s usually due to either malware or corrupt hardware drivers (or faulty hardware) attempting to write to the protected memory where Kernel32.dll resides. Usually reinstalling hardware drivers or new hardware resolves these errors.
Advapi32.dll
This DLL file is another core component of the Windows operating system. Its name stands for Advanced Application Programming Interface, or Advanced API. It handles system security calls and calls against the system registry.
This DLL manages starting and shutting down Windows, manages the Windows registry, handling user accounts and account security, and the management of Windows services.
While this file isn’t required for Windows to boot properly, it is required for the proper operation of most applications and hardware. If this Windows system file is deleted or corrupted, any application API calls to access the system registry or security will fail and you’ll see a number of error messages.
User32.dll
Another core DLL, this Windows system file contains most of the core Windows API for user applications to communicate with the operating system. It handles most of the native windows and controls that are displayed by Windows applications.
Any application that has a graphical user interface typically uses components offered by the User32.dll file.
However, in most cases, Windows applications utilize libraries built into the Windows .NET framework, which in turn manages communication with the User32.dll.
In either case, the User32.dll translates common, easy-to-understand application code into the machine level commands that are required by the Windows operating system.
Gdi32.dll
Much like User32.dll, Gdi32.dll contains functions that allow applications to create graphical user interfaces on the monitor.
Gdi32.dll contains functions that let applications create 2-dimensional objects on the screen. It accepts code either from a Windows application or service and executes the required machine code to display the visual objects on the monitor.
While a Windows operating system may boot even when this DLL is corrupt or deleted, the operating system display won’t work properly.
Other Important Windows System Files
While those are the core Windows system files and executables required for the proper functioning of the Windows operating system, there are a few additional files required for non-critical functions of the computer system to work properly.
- Pagefile.sys: Helps the operating system manage RAM memory space and improve system performance.
- Swapfile.sys: This is a newer system file that helps with moving modern Windows apps to the hard drive when they’re in a hibernation state.
- Crss.exe: This is a client server runtime process that handles console windows and the Windows shutdown process.
- Shell32.dll: Contains Windows shell API functions that allow web browsers and other applications to display elements of the operating system like the taskbar, desktop, and Start menu properly.
- Smss.exe: The session manager subsystem handles user sessions, including Windows logon and user system settings.
- Sxs.dll: This is an important component of the Windows operating system that handles manifest files. These are files that tell Windows how to handle a software application when it’s launched.
While there are many more less critical system files as part of the Windows operating system, those listed above are some of the most common. Because of this they often are targeted by malware to trick users into thinking malware files are legitimate.
Most antivirus applications are capable of identifying a counterfeit Windows system file and will typically clean those from your system before you ever know they exist.
