Процес виконання клієнт-сервер

Підсистема клієнт / сервер часу виконання ( англ. Client / Server Runtime Subsystem , CSRSS) або csrss.exe, входить до складу операційної системи Microsoft Windows NT, і надає собою частину користувальницького режиму підсистеми Win32. Включена до складу Windows 2000, Windows XP, Windows 2003, Windows Vista, Windows Server 2008 і Windows 7. Оскільки більшість операцій підсистеми Win32 були перенесені в режим ядра, а конкретніше в драйвери режиму ядра, в Windows NT 4 і вище CSRSS в основному відповідає за обробку консолі в Win32 і графічний інтерфейс виключення ОС. Підсистема має вирішальне значення для функціонування ОС; тому завершення цього процесу призведе до відмови системи. При нормальних умовах, CSRSS не може бути завершена застосуванням команди Taskkill або за допомогою диспетчера завдань Windows, хоча це можливо в Vista, якщо диспетчер задач запускається в режимі адміністратора. У Windows 7 і Windows 8 Developer Preview, диспетчер задач повідомить користувачеві, що завершення процесу призведе до відмови системи, і покаже запит чи хоче користувач продовжити.

Завершення csrss.exe веде до BSOD і (аварійної) перезавантаженні Windows. Виконуваний файл csrss.exe зберігається в папці %SYSTEMROOT% \system32 %SYSTEMROOT% \system32.

1. Огляд

Процес бере участь у роботі:

• Термінальних служб.
• Служб віддаленого доступу до робочого столу.
• Додатків з інтерфейсом командного рядка.
• Потоків в операційній системі (Створення потоків в підсистемі Win32).

2. Робота підсистеми

CSRSS виконується як системний сервіс користувацького режиму. Коли процес користувацького режиму викликає функцію за участю консольних вікон, створення процесу / потоку, або підтримки Side-by-Side, бібліотеки Win32 (kernel32.dll, user32.dll, gdi32.dll) замість запиту системного виклику звертаються до процесу CSRSS шляхом між- процесного виклику (IPC виду Local Procedure Call), і CSRSS робить велику частину реальної роботи, без того, щоб наражати на небезпеку (компрометувати) ядро ^[1]. Однак виклики до віконного менеджеру і сервісам GDI обробляються драйверами режиму ядра (win32k.sys) ^[2].

3. Історія

Cерия випусків Windows NT 3.x вміщала компонент GDI (інтерфейс графічних пристроїв) всередині CSRSS, але GDI був перенесений в режим ядра у версії Windows NT 4.0 для поліпшення продуктивності графічного відображення ^[3]. Процес запуску Windows був значно змінений починаючи з версії Vista. У версіях Windows Vista і 7 працює 2 примірники csrss.exe ^[4].

4. Загрози

Відомо, що віруси, шпигунські програми і трояни, заражають або маскуються під цей процес. Це роблять наступні злісні програми (включаючи, але не обмежуючись):

• Nimda.E [5]
• W32/Netsky.ab @ MM [6]
• W32/VBMania @ MM [7]

Безліч вірусів використовує для маскування ім'я додатка, щоб не викликати підозри у користувача, особливо враховуючи, що для кожного термінального доступу створюється окремий екземпляр процесу, тому на серверних машинах їх кількість може доходити до декількох десятків. Оригінальний файл зберігається лише в папці %SYSTEMROOT%\system32, а його підміна практично неможлива на комп'ютері з однією операційною системою.

5. Проблеми

Дана програма є критичним системним компонентом, що відповідає за виклики функцій підсистеми Win32. При її завершенні система завершить роботу з відображенням синього екрану смерті.