В этой статье разберём основные исполняемые системные файлы, необходимые для работы системы Windows. В этих файлах заложен код ядра и других компонентов.
Системные файлы
Весь код операционной системы располагается в нескольких бинарных файлов, которые мы рассмотрим в этой статье. Все системные файлы находятся в каталоге %systemroot%\System32. Это очень важные файлы, а это значит, что без них система не сможет выполнять свои функции.
Следует помнить что удаление или порча любого из указанных файлов может повредить вашу систему!
Список файлов
В самом главном файле «Ntoskrnl.exe» находится код ядра и всех компонентов исполнительной системы. Да, ядро и исполнительная система находятся в одном файле, но логически их разделяют.
Ядро в своей работе использует библиотеку «Kernel32.dll«. Это библиотека ядра. Она предоставляет приложениям многие базовые API Win32, такие как управление памятью, операции ввода-вывода, создание процессов и потоков и функции синхронизации.
Существует библиотека которая расширяет API Windows. Она необходима некоторым приложениям, например MS Office. Эта библиотека называется «Advapi32.dll«.
А вот система HAL, необходимая для связи ядра и драйверов с материнской платой и картами расширения находится в другом файле — «Hal.dll«.
Графическая подсистема, которая называется Win32 и также работает в режиме ядра. Эта подсистема отвечает за окошки (оконный менеджер). В общем, все графические приложения обращаются к этой подсистеме для от-рисовки своего графического интерфейса. А код этой графической подсистемы находится в файле «Win32k.sys«.
Вместе с тем, описанная выше графическая подсистема Win32 использует следующие библиотеки для расширения своих функций: «User32.dll» и «Gdi32.dll «.
Код гипервизора Hyper-V может находиться в разных файлах. Это зависит от того, какой процессор используется, на Intel — это файл «Hvix64.exe«, а на AMD — это файл «Hvax64.exe«.
Драйверы лежат в подкаталоге «drivers» и имеют расширение .sys. Про драйверы я писал в предыдущей статье.
В системе существует вспомогательная библиотека «Ntdll.dll«. В ней содержатся так называемые функции-заглушки. Они предоставляет интерфейс к службам исполняющей системы Windows, которые могут быть вызваны из пользовательского режима. А также этот файл содержит множество вспомогательных функций.