Client/Server Runtime Subsystem

Client/Server Runtime Subsystem (w skrócie CSRSS) – komponent rodziny systemów operacyjnych Windows NT. Obsługuje stronę przestrzeni użytkownika(inne języki) dla podsystemu Win32 i jest elementem Windows NT 3.1 oraz nowszych wersji systemu Windows^[1]. Ponieważ większość operacji podsystemu Win32 została przeniesiona do sterowników trybu jądra, w Windows NT 4.0 i późniejszych CSRSS obsługuje głównie konsolę Win32 oraz wyłączanie graficznego interfejsu użytkownika (GUI). Jest krytycznym elementem systemu; dlatego też jego zabicie skutkuje błędem systemu i pokazaniem niebieskiego ekranu^[1]. W normalnych warunkach nie da się zabić tego procesu poleceniem taskkill czy za pomocą Menedżera zadań, chociaż jest to możliwe w systemie Windows Vista przy użyciu Menedżera zadań uruchomionego w trybie administratora. Natomiast w systemach Windows 7 i nowszych przy próbie zakończenia tego procesu Menedżer zadań ostrzega użytkownika, że zakończenie tego procesu spowoduje awarię systemu i utratę niezapisanych danych i monituje, czy na pewno chce zakończyć ten proces. W Windows NT 4.0 oraz Windows 2000 wyłączanie CSRSS przy niedziałającym Session Manager Subsystem (SMSS) nie spowoduje crashu systemu. Jednakże w systemie Windows XP zabicie CSRSS przy braku nadzoru ze strony SMSS spowoduje awarię systemu ze względu na krytyczny bit znajdujący się w pamięci RAM.

Historia

W serii systemów Windows NT 3.x komponent Graphics Device Interface znajdował się wewnątrz CSRSS, który został przesunięty do trybu jądra w Windows NT 4.0 celem zwiększenia wydajności graficznej^[1]. Proces rozruchu systemu Windows uległ znaczącej zmianie począwszy od wersji Vista. W Windows Vista oraz nowszych wersjach systemu Windows uruchamiane są dwie instancje csrss.exe^[2].

Szczegóły techniczne

CSRSS działa jako usługa systemowa w trybie użytkownika. W chwili gdy proces w trybie użytkownika wywołuje funkcję związaną z oknami konsoli wiersza poleceń, tworzeniem procesów/wątków lub wsparcia side-by-side(inne języki) biblioteki Win32 (kernel32.dll, user32.dll i gdi32.dll) zamiast wywołania systemowego wysyłają wywołanie między-procesowe do procesu CSRSS, który wykonuje większość pracy bez naruszania jądra.^{[potrzebny przypis]} Menedżer okien i usługi GDI obsługiwane są przez sterownik trybu jądra (win32k.sys)^[3].

CSRSS wywoływany jest razem z winlogon.exe(inne języki) przez smss.exe(inne języki) przy rozruchu systemu Windows. Jeżeli któryś z tych plików jest uszkodzony lub niedostępny, SMSS każe jądru zakończyć proces uruchamiania się systemu i wyświetlić niebieski ekran śmierci^[4]. Związany z tym kod błędu ma oznaczenie 0xc000021a (STATUS_SYSTEM_PROCESS_TERMINATED).

W Windows 7 i późniejszych, zamiast rysować okna konsoli, CSRSS uruchamia podproces conhost.exe celem tworzenia okien konsoli dla programów interfejsu tekstowego z uprawnieniami użytkownika.

Fałszywe alarmy wirusowe

Istnieją liczne fałszywe alarmy wirusowe, twierdzące iż csrss.exe jest złośliwym oprogramowaniem i powinno zostać usunięte celem ochrony systemu przed uszkodzeniem; jest to nieprawdą, jako że usunięcie lub zabicie procesu csrss.exe spowoduje wystąpienie niebieskiego ekranu śmierci.

Ponadto fałszywa pomoc techniczna podszywająca się pod pracowników firmy Microsoft wykorzystuje csrss.exe jako „dowód” na infekcję wirusową, przekonując oszukiwanego użytkownika do zakupu ich fałszywych programów ochronnych do jego usunięcia^[5].