ระบบปฏิบัติการ Windows ประกอบด้วยไฟล์และโปรแกรมมากมาย บางตัวทำงานตลอดเวลา ในขณะที่บางตัวเรียกใช้โดยระบบปฏิบัติการเป็นครั้งคราวเท่านั้น
ไฟล์ระบบปฏิบัติการหลักของ Windows เกือบทั้งหมดถูกจัดเก็บไว้ในโฟลเดอร์ C:\Windows\System และ C:\Windows\System32 (ในคอมพิวเตอร์ของคุณ อักษรระบุไดรฟ์อาจแตกต่างกัน) โฟลเดอร์ Windows เองยังมีไฟล์สำคัญจำนวนหนึ่งอีกด้วย
โปรแกรมทั้งหมดที่ติดตั้งบนคอมพิวเตอร์ของคุณมักจะมีไฟล์ปฏิบัติการและไฟล์ที่เกี่ยวข้องซึ่งจัดเก็บไว้ใน C:\Program Files หรือ C:\Program Files (x86) .
โดยทั่วไป คุณไม่ต้องการแก้ไข ลบ หรือย้ายไฟล์ระบบ Windows ใดๆ ที่อยู่ในไดเร็กทอรีเหล่านี้ อย่างไรก็ตาม มีไฟล์บางไฟล์ที่เป็นแกนหลักในการทำงานของระบบปฏิบัติการ หากไฟล์เหล่านี้ถูกลบหรือเสียหาย คุณจะต้องกู้คืนระบบปฏิบัติการ Windows ของคุณ
Ntoskrnl.exe
ไฟล์ปฏิบัติการนี้เป็นอิมเมจเคอร์เนล ซึ่งหมายความว่าเป็นรหัสหลัก (ผู้บริหาร) ที่ทำให้ระบบปฏิบัติการทำงานได้อย่างถูกต้อง
รหัสนี้จัดการการจัดการฮาร์ดแวร์ กระบวนการของระบบ และการจัดการหน่วยความจำ นอกจากนี้ยังเป็นโค้ดที่กำหนดตารางเวลาว่าแอปพลิเคชันใดบ้างที่มีสิทธิ์เข้าถึงตัวประมวลผลระบบ และจำนวนหน่วยความจำ (และที่อยู่หน่วยความจำ) ที่จัดสรรให้ใช้งาน
ไฟล์เรียกทำงานนี้แสดงใน Task Manager ด้วยชื่อ System and Registry เป็นไฟล์ที่มีการป้องกันอย่างแน่นหนา ดังนั้นจึงเป็นเรื่องยากสำหรับแอปพลิเคชันใดๆ เช่น มัลแวร์ ที่จะทำให้เสียหายหรือลบไฟล์
ใน Windows เวอร์ชันเก่า หากคุณเปิดแอปพลิเคชันจำนวนมาก Ntoskrnl.exe จะเริ่มใช้หน่วยความจำจำนวนมาก เริ่มต้นด้วย Windows 10 ตอนนี้ Ntoskrnl.exe จะบีบอัดหน้าที่ไม่ได้ใช้แทนที่จะเก็บไว้ในหน่วยความจำ ซึ่งช่วยลดการใช้หน่วยความจำ แต่สามารถเพิ่มการใช้งาน CPU ได้หากคุณเรียกใช้แอปพลิเคชันจำนวนมากพร้อมกัน
Ntkrnlpa.exe
กระบวนการนี้เป็นส่วนประกอบซอฟต์แวร์หลักของเคอร์เนล Microsoft Windows และรหัสระบบ ชื่อย่อมาจาก ตัวจัดสรรกระบวนการเคอร์เนลเทคโนโลยีใหม่ . นอกจาก Ntoskrnl.exe แล้ว ยังควบคุมการตั้งเวลาและการจัดการหน่วยความจำ
นอกจากนี้ยังป้องกันแอปพลิเคชันและบริการที่ไม่ใช่บริการหลักไม่ให้เข้าถึงพื้นที่หลักของระบบปฏิบัติการ ซึ่งช่วยให้ระบบปฏิบัติการทำงานอย่างปลอดภัยในพื้นที่ที่ได้รับการป้องกันของหน่วยความจำระบบ
เนื่องจาก Ntkrnlpa.exe มีหน้าที่บล็อกแอปพลิเคชันไม่ให้เข้าถึงหน่วยความจำของระบบที่ได้รับการป้องกัน ผู้ใช้จำนวนมากจึงมักคิดว่าเป็น Ntkrnlpa.exe ที่ทำให้ระบบ Windows ล้มเหลว ทั้งนี้เป็นเพราะ Ntkrnlpa.exe เป็นกระบวนการที่ส่งคืนข้อผิดพลาด
โดยปกติแล้ว สาเหตุของสิ่งนี้คือมัลแวร์บางรูปแบบที่พยายามทำให้เกิดหน่วยความจำของระบบที่มีการป้องกัน ซึ่งทำให้เกิดข้อผิดพลาด Ntkrnlpa.exe
Hal.dll
ไฟล์หลักอื่นที่เกี่ยวข้องกับเคอร์เนลของระบบและระบบหลักคือ Hal.dll ชื่อของไฟล์ DLL นี้ย่อมาจาก Hardware Abstraction Layer
ไฟล์นี้มีรหัสหลักที่ช่วยให้แอปพลิเคชันสามารถโต้ตอบกับฮาร์ดแวร์คอมพิวเตอร์โดยใช้ฟังก์ชันโปรแกรมอย่างง่าย แทนที่จะเป็นรหัสเครื่องที่ซับซ้อน
ชื่อที่เหมาะเจาะช่วยขจัดสิ่งที่เป็นนามธรรมออกจากการสื่อสารและควบคุมฮาร์ดแวร์คอมพิวเตอร์
โปรแกรมสั่งการนี้ทำงานภายในหน่วยความจำ RAM และอยู่ในไดเรกทอรี System32
โดยทั่วไปแล้ว Hal.dll จะไม่ทำให้เกิดปัญหาใดๆ กับคอมพิวเตอร์ อย่างไรก็ตาม แอปพลิเคชั่นมัลแวร์บางตัวพยายามปิดบังไฟล์สั่งการโดยตั้งชื่อให้เหมือนกัน อย่างไรก็ตาม คุณสามารถระบุได้ว่าเป็นแอปพลิเคชันปลอมเมื่ออยู่ในโฟลเดอร์อื่นที่ไม่ใช่ System32
อย่าหยุดงาน Hal.dll เพราะจะทำให้ระบบของคุณไม่ทำงานและอาจบังคับให้คุณต้องกู้คืนระบบปฏิบัติการ Windows
Win32k.sys
ไฟล์นี้เรียกว่าไฟล์ไดรเวอร์ Multi-User Win32 ซึ่งเดิมเผยแพร่โดยเป็นส่วนหนึ่งของระบบปฏิบัติการ Windows XP มีการอัปเกรดผ่าน Windows ใหม่แต่ละรุ่น รวมถึง Windows 10 ด้วย
เป็นอินเทอร์เฟซไดรเวอร์กราฟิกที่จัดการการส่งกราฟิกไปยังจอภาพและอุปกรณ์ส่งออกอื่น ๆ รหัสนี้ดำเนินการโดย gdi32.dll บน Windows 10
น่าเสียดาย เนื่องจาก Win32k.sys เป็นส่วนประกอบหลักของระบบปฏิบัติการ Windows มาอย่างยาวนาน และเนื่องจากมันอยู่ในโฟลเดอร์ (Program Files) ที่มักจะไม่ได้รับการปกป้องอย่างดีเท่ากับโฟลเดอร์ System32 มัลแวร์จึงมักกำหนดเป้าหมายไปที่ไฟล์นี้ เพื่อการทุจริต
นอกจากนี้ยังเป็นชื่อสามัญที่เลือกโดยมัลแวร์สำหรับไฟล์ของตัวเอง เพื่อให้ผู้ใช้ไม่สงสัยว่าไฟล์นั้นเป็นส่วนหนึ่งของการติดไวรัสคอมพิวเตอร์
Ntdll.dll
ไฟล์นี้อยู่ในไดเร็กทอรีระบบ System และ System32 คำอธิบายของไฟล์คือ NT Layer DLL . โดยพื้นฐานแล้วมันคือไฟล์ DLL ที่มีฟังก์ชันเคอร์เนล NT หลัก
ซึ่งหมายความว่ามีรหัสเครื่องที่ช่วยให้ระบบปฏิบัติการหลักทำงานได้อย่างถูกต้อง โปรแกรมเคอร์เนลหลักเข้าถึงฟังก์ชันที่มีอยู่โดย Ntdll.dll และไฟล์นี้จะประมวลผลฟังก์ชันระดับเครื่องเหล่านั้น
หากคุณเห็นข้อความแสดงข้อผิดพลาดที่มาจากกระบวนการ Ntdll.dll สาเหตุนี้มักเกิดจากไฟล์ Ntdll.dll ที่เสียหาย หรือปัญหาฮาร์ดแวร์ในคอมพิวเตอร์ของคุณที่ทำให้กระบวนการหยุดทำงาน
โดยปกติ การติดตั้งไดรเวอร์ฮาร์ดแวร์ใหม่ที่ทำให้เกิดข้อผิดพลาดมักจะสามารถแก้ไขข้อผิดพลาดได้ หากปัญหาคือไฟล์ Ntdll.dll ที่เสียหาย ซอฟต์แวร์ป้องกันไวรัสสามารถแก้ไขปัญหาได้ หากไม่สามารถทำได้ อาจจำเป็นต้องคืนค่า Windows
Kernel32.dll
ไฟล์ DLL นี้เป็นไฟล์อื่นที่พบเป็นส่วนหนึ่งของเคอร์เนลระบบปฏิบัติการ Windows มันจัดการหน่วยความจำ รวมถึงการขัดจังหวะของหน่วยความจำ นอกจากนี้ยังจัดการการดำเนินการอินพุตและเอาต์พุตทั้งหมดด้วย
Kernel32.dll เป็นอีกไฟล์หนึ่งที่โหลดลงในพื้นที่หน่วยความจำที่มีการป้องกันซึ่งแอปพลิเคชันผู้ใช้ทั่วไปไม่สามารถทำงานได้
หากคุณเคยพบข้อผิดพลาดเกี่ยวกับ Kernel32.dll มักเกิดจากมัลแวร์หรือไดรเวอร์ฮาร์ดแวร์ที่เสียหาย (หรือฮาร์ดแวร์ที่ผิดพลาด) ที่พยายามเขียนไปยังหน่วยความจำที่ได้รับการป้องกันซึ่งมี Kernel32.dll อยู่ โดยปกติการติดตั้งไดรเวอร์ฮาร์ดแวร์ใหม่หรือฮาร์ดแวร์ใหม่จะช่วยแก้ไขข้อผิดพลาดเหล่านี้ได้
Advapi32.dll
ไฟล์ DLL นี้เป็นส่วนประกอบหลักอีกอย่างหนึ่งของระบบปฏิบัติการ Windows ชื่อย่อมาจาก Advanced Application Programming Interface หรือ Advanced API มันจัดการการเรียกความปลอดภัยของระบบและการเรียกกับรีจิสทรีของระบบ
DLL นี้จัดการการเริ่มต้นและการปิดระบบ Windows จัดการรีจิสทรีของ Windows การจัดการบัญชีผู้ใช้และความปลอดภัยของบัญชี และการจัดการบริการของ Windows
แม้ว่าไฟล์นี้จะไม่จำเป็นสำหรับ Windows ในการบู๊ตอย่างถูกต้อง แต่ก็จำเป็นสำหรับการทำงานที่เหมาะสมของแอพพลิเคชั่นและฮาร์ดแวร์ส่วนใหญ่ หากไฟล์ระบบ Windows นี้ถูกลบหรือเสียหาย การเรียก API ของแอปพลิเคชันใดๆ เพื่อเข้าถึงรีจิสทรีของระบบหรือการรักษาความปลอดภัยจะล้มเหลว และคุณจะเห็นข้อความแสดงข้อผิดพลาดจำนวนหนึ่ง
User32.dll
DLL หลักอื่น ไฟล์ระบบ Windows นี้มี Windows API หลักส่วนใหญ่สำหรับแอปพลิเคชันของผู้ใช้เพื่อสื่อสารกับระบบปฏิบัติการ มันจัดการหน้าต่างดั้งเดิมและส่วนควบคุมส่วนใหญ่ที่แสดงโดยแอปพลิเคชัน Windows
แอปพลิเคชันใดๆ ที่มีอินเทอร์เฟซผู้ใช้แบบกราฟิกมักใช้ส่วนประกอบที่นำเสนอโดยไฟล์ User32.dll
อย่างไรก็ตาม ในกรณีส่วนใหญ่ แอปพลิเคชัน Windows จะใช้ไลบรารีที่สร้างไว้ในเฟรมเวิร์ก Windows .NET ซึ่งจะจัดการการสื่อสารกับ User32.dll
ไม่ว่าในกรณีใด User32.dll จะแปลรหัสแอปพลิเคชันทั่วไปที่เข้าใจง่ายเป็นคำสั่งระดับเครื่องที่จำเป็นสำหรับระบบปฏิบัติการ Windows
Gdi32.dll
เช่นเดียวกับ User32.dll Gdi32.dll มีฟังก์ชันที่อนุญาตให้แอปพลิเคชันสร้างอินเทอร์เฟซผู้ใช้แบบกราฟิกบนจอภาพ
Gdi32.dll มีฟังก์ชันที่ช่วยให้แอปพลิเคชันสร้างวัตถุ 2 มิติบนหน้าจอได้ รับรหัสจากแอปพลิเคชันหรือบริการของ Windows และรันรหัสเครื่องที่จำเป็นเพื่อแสดงวัตถุที่มองเห็นได้บนจอภาพ
แม้ว่าระบบปฏิบัติการ Windows อาจบู๊ตได้แม้ว่า DLL นี้จะเสียหายหรือถูกลบไป แต่การแสดงผลของระบบปฏิบัติการก็ทำงานไม่ถูกต้อง
ไฟล์ระบบ Windows ที่สำคัญอื่นๆ
แม้ว่าไฟล์เหล่านี้จะเป็นไฟล์ระบบหลักและไฟล์เรียกทำงานของ Windows ที่จำเป็นสำหรับการทำงานที่เหมาะสมของระบบปฏิบัติการ Windows แต่ก็มีไฟล์เพิ่มเติมอีกสองสามไฟล์ที่จำเป็นสำหรับการทำงานที่ไม่สำคัญของระบบคอมพิวเตอร์เพื่อให้ทำงานได้อย่างถูกต้อง
- Pagefile.sys :ช่วยให้ระบบปฏิบัติการจัดการพื้นที่หน่วยความจำ RAM และปรับปรุงประสิทธิภาพของระบบ
- Swapfile.sys :นี่เป็นไฟล์ระบบที่ใหม่กว่าซึ่งช่วยในการย้ายแอป Windows ที่ทันสมัยไปยังฮาร์ดไดรฟ์เมื่ออยู่ในสถานะไฮเบอร์เนต
- Crss.exe :นี่คือกระบวนการรันไทม์เซิร์ฟเวอร์ไคลเอ็นต์ที่จัดการคอนโซล windows และกระบวนการปิด Windows
- Shell32.dll :ประกอบด้วยฟังก์ชัน Windows shell API ที่อนุญาตให้เว็บเบราว์เซอร์และแอปพลิเคชันอื่นๆ แสดงองค์ประกอบของระบบปฏิบัติการ เช่น แถบงาน เดสก์ท็อป และเมนู Start ได้อย่างถูกต้อง
- Smss.exe :ระบบย่อยตัวจัดการเซสชันจัดการเซสชันของผู้ใช้ รวมถึงการเข้าสู่ระบบ Windows และการตั้งค่าระบบของผู้ใช้
- Sxs.dll :นี่เป็นองค์ประกอบสำคัญของระบบปฏิบัติการ Windows ที่จัดการไฟล์รายการ ไฟล์เหล่านี้เป็นไฟล์ที่บอกให้ Windows ทราบถึงวิธีจัดการกับแอปพลิเคชันซอฟต์แวร์เมื่อเปิดตัว
แม้ว่าจะมีไฟล์ระบบที่มีความสำคัญน้อยกว่าจำนวนมากซึ่งเป็นส่วนหนึ่งของระบบปฏิบัติการ Windows แต่ไฟล์ที่แสดงรายการข้างต้นเป็นไฟล์ที่พบได้บ่อยที่สุด ด้วยเหตุนี้จึงมักตกเป็นเป้าหมายของมัลแวร์เพื่อหลอกให้ผู้ใช้คิดว่าไฟล์มัลแวร์ถูกต้องตามกฎหมาย
แอปพลิเคชั่นป้องกันไวรัสส่วนใหญ่สามารถระบุไฟล์ระบบ Windows ปลอมได้ และโดยทั่วไปจะล้างไฟล์เหล่านั้นออกจากระบบของคุณ ก่อนที่คุณจะรู้ว่ามีไฟล์นั้นอยู่
