Ntoskrnl.exe - что это? Подробное описание компонента

Операционные системы семейства Windows в какой-то мере являются стандартом во всем мире. Впрочем, применительно к наше стране это обстоятельство выражено еще более отчетливо. Как бы там ни было, но у большей части отечественных пользователей выражение «операционная система» не вызывает никаких других ассоциаций, кроме как возникновение перед внутренним взором стандартных «окошек».

Этим же обуславливается факт, что большая часть проблем, с которыми приходится сталкиваться нашим юзерам, так или иначе связана как раз таки с теми или иными характеристиками «окон». К сожалению, лишь немногие пользователи имеют хоть какое-то представление о той операционной системе, с которой им приходится работать ежедневно. А ведь это и приводит к появлению большей части весьма обидных проблем. Знаете ли вы, к примеру, что такое ntoskrnl.exe? А ведь это одна из фундаментальных составляющих ОС Windows, без знания особенностей которой вы можете столкнуться с достаточно серьезными трудностями.

Определение

Проще говоря, под этим непритязательным названием скрывается не что-нибудь, а ядро систем NT. Конечно же, это далеко не все ядро, но довольно значимая его часть. Данный файл предназначен для старта в защищенном режиме. Разумеется, именно из-за этого он является довольно стандартной мишенью вредоносных программ при атаках на систему.

Где располагается?

Знание о месторасположении процесса в большинстве случаев чрезвычайно полезно, так как позволяет определить, не является ли висящий в диспетчере задач элемент вирусом. Но в этом случае данный файл располагается сразу в нескольких местах, что является вполне оправданным шагом с точки зрения повышения безопасности столь важного структурного элемента системы.

Так, при опасном повреждении ОС вследствие системного или аппаратного сбоя, вирусных атак или прочих неприятностей процедура восстановления становится намного проще. Впрочем, давайте проведем стандартный поиск по всем каталогам Windows. Начиная с ХР, отыскать файл можно в подпапках по адресу: c:\windows\ system32\ntoskrnl.exe.

Различные версии файла

Специалисты отмечают, что на сегодняшний день в системах ОС Windows одновременно можно встретить сразу четыре версии данного файла. Вот они:

• ntoskrnl.exe может быть компонентом ядра на однопроцессорных конфигурациях системы;
• соответственно, он же может входить в состав многопроцессорной версии ОС;
• однопроцессорный режим при условии наличия более трех гигабайтов оперативной памяти также требует для устойчивой работы собственную версию данного файла;
• наконец, отдельный ntoskrnl.exe имеют многоядерные системы более чем с тремя гигабайтами RAM.

Участие в управлении загрузкой системы

На начальном этапе загрузки загрузчик (бутлоадер) системы передает управление процессом системному файлу Ntoskrnl. Последний инициирует определение различных устройств, а также значительно ускоряет подготовку системной среды для начала работы с различными прикладными программами и утилитами.

Какое же значение имеет для новых систем ntoskrnl.exe? Windows 7 (равно, как и Windows 8 и Vista) еще сильнее зависит от него (в сравнении со старыми версиями ОС), так как в наше время особое значение приобретает защита системы от вредоносных программ. Сегодня они стали куда «изобретательнее», проникая в ОС еще на этапе ее старта.

О системе защиты

Чрезвычайно важной составляющей данного процесса является уровень аппаратных абстракций ядра - Hardware Abstraction Layer. Это важно, так как процесс ntoskrnl.exe исполняется в привилегированном режиме работы центрального процессора. Эту опцию специалисты называют еще «нулевым кольцом защиты» (Ring 0). Проще говоря, режим особого доступа позволяет процессу напрямую обращаться к системным компонентам, минуя даже технологию прерываний. Сделано это для максимальной скорости работы ядра, его сбалансированности и независимости от внешней системной оболочки. Увы, но на практике все может получиться несколько иначе.

Еще раз о вредоносных программах

Неудивительно, что этот процесс является «лакомым кусочком» для создателей вредоносных приложений. Ведь если его заразить, то можно получить доступ к системе на низкоуровневом режиме! Если таковое вмешательство удается, то любой антивирус, работающий непосредственно в Windows, становится абсолютно бесполезным.

Впрочем, в последнее время эту проблему удалось решить. Сам факт вмешательства в систему удачно вскрывается простым сравнением хэш-сумм файла ntoskrnl.exe (что это, вы уже знаете), который висит в системных процессах, с аналогичным «эталонным» значением, предоставленным Microsoft.

Прочие способы защиты

Если вы попробуете удалить данный файл с его законного места в папке Windows, то уже через десять-двенадцать секунд он снова окажется на том же самом месте! Откуда он там возьмется? Да просто система скопирует его прямо из оперативной памяти.

Наличие данного процесса в памяти гарантирует, что его копия на диске не будет подменена каким-то вредоносным аналогом. Чтобы обеспечить полную защиту, современные системы семейства Windows многократно сравнивают эти файлы на всем протяжении своей работы.

Как убедиться в наличии процесса?

Давайте проверим, на самом ли деле в списке системных процессов имеется ntoskrnl.exe. Что это значит? Сперва нужно запустить "Диспетчер задач" (нажатием трех кнопок, о чем мы уже говорили выше), а затем отметить там пункт "Отображать процессы всех пользователей". После этого процесс можно будет увидеть. Разумеется, запущен он должен быть из следующего месторасположения: windows\system32\ ntoskrnl.exe.

Возможные проблемы

Увы, но на практике не так уж и редко приходится встречать случаи, когда загрузка системы становится невозможной из-за отсутствующего файла ntoskrnl.exe. «Синий экран смерти» также нередко возникает из-за него же.

Специалисты уверенно говорят, что в большинстве случаев данная проблема случается из-за каких-то неисправностей жесткого диска компьютера. Нередко пользователи сталкиваются с этой неприятностью после замены основного системного диска или подключения нового винчестера. Проще говоря, после любых физических манипуляций с жесткими дисками.

Наиболее распространенные причины неполадок

Несмотря на некоторую расплывчатость терминологии, некоторые основные причины остаются практически неизменными. Вот они:

• Случаи ошибок файловой системы, что особенно часто бывает на ХР и более старых операционных системах (проверить и исправить можно командой chkdsk).
• Из-за аппаратных сбоев винчестера, вызванных внезапным отключением электроэнергии.
• При возникновении бэд-блоков на поверхности жесткого диска (проверяется и исправляется программой под названием «Виктория»).

Можно ли восстановить поврежденный файл?

Да, это вполне реально. Для выполнения такой задачи вам понадобится тот диск, с которого вы или ваши друзья устанавливали систему. После загрузки необходимо выбрать в окне появившегося «Мастера» пункт «Восстановление системы», а уже оттуда запустить режим командной строки. В нее нужно вставить следующую команду: expand d:\i386\ntoskrnl.ex_ c:\windows\system32. Обратите внимание: вместо D ставьте букву своего оптического привода!

Нажимаем на Enter. Если все было сделано верно, вас попросят согласиться на перезапись системного файла. Нажимаем на кнопку Y, снова жмем на кнопку Enter. Файл будет заново скопирован с оптического диска и записан вместо поврежденного элемента в вашу систему.

Важно! Для восстановления используйте только официальные установочные диски. Ни в коем случае не применяйте с этой целью всяческие «сборки», так как в результате вы можете получить еще большие проблемы!