martes, 19 de noviembre de 2019

¿Para qué sirven los archivos ntoskrnl.exe, ntkrnlpa.exe y win32k.sys?

El sistema operativo Windows 10 tiene cientos de archivos del sistema que forman parte del sistema operativo central. 



Muchas veces los usuarios finales pueden verlos corriendo en el Administrador de tareas o cuando se enfrentan a la pantalla azul de la muerte


Hoy, te hablaré acerca de tres de estos archivos del sistema: Ntoskrnl.exeNtkrnlpa.exe y Win32k.sys.



ntoskrnl.exe, ntkrnlpa.exe, win32k.sys son archivos del sistema que ayudan en el funcionamiento del sistema operativo Windows.
ntoskrnl.exe

¿Qué es ntoskrnl.exe?

NT-OS-Kernel = Ntoskrnl.exe
Es el núcleo del sistema operativo el que hace y controla casi todo.
Windows no funcionará sin él o si entra en modo de pánico donde cree que el sistema tiene un problema. 

Es interesante observar que este archivo se carga en último lugar en el proceso de arranque de Windows 10. 

Cargará la configuración del Registro, controladores adicionales y luego pasará el control al proceso del administrador del sistema.

Es responsable de la virtualización del hardware, el proceso y la gestión de la memoria. 

Si has visto una pantalla azul donde se menciona Ntoskrnl.exe, está relacionado con la memoria. Además de este archivo, hay otros tres archivos del núcleo que funcionan junto con ntoskrnl.exe. Son ntkrnlmp.exentkrnlpa.exe y Ntkrpamp.exe.

¿Qué es ntkrnlpa.exe?

New Technology Kernel Process Allocator = NTKrnlPA
Similar a Ntoskrnl.exe, Ntkrnlpa.exe es parte de la lista de archivos del Kernel. Cuando se inicia Windows, estos programas se cargan en la RAM para iniciar la ejecución del arranque.

Está relacionado con la asignación de procesos. Tiene acceso a recursos del sistema, hardware de la computadora y área de memoria, que está restringida a otros programas.

¿Qué es win32k.sys?

Win32 subsystem = win32k.sys
Una vez que se completa el proceso de arranque y se cargan los controladores, Windows inicia el Administrador de sesión para pasar al modo de usuario. 

Hay un subsistema Session Manager que carga el lado del modo kernel del subsistema Win32, también conocido como win32k.sys. Se compone de las DLL de Win32 API (kernel32.dlluser32.dllgdi32.dll) y el proceso del subsistema Win32 (csrss.exe).

  • kernel32.dll: biblioteca de enlaces dinámicos para Windows
  • user32.dll: contiene funciones API de Windows relacionadas con la interfaz de usuario de Windows
  • gdi32.dll: alberga funciones para Windows GDI (interfaz gráfica de dispositivo)
  • csrss.exe: proceso de tiempo de ejecución del servidor del cliente
Todos estos archivos, Ntoskrnl.exe, Ntkrnlpa.exe, Win32k.sys se encuentran en la carpeta System32

Si tienes un sistema operativo de 64 bits, pueden estar disponibles en el directorio SysWOW64. Si también los encuentra en otra ubicación, lo mejor es ejecutar un análisis con tu antivirus.

¿Te ha sido útil el articulo? Por favor compártelo en las rede sociales.

No hay comentarios.:

Publicar un comentario

Tu opinión es importante para mí, porque me ayuda a mejorar. Si te gustó el articulo o tienes alguna sugerencia, déjame tu comentario con tu nombre para poder responderte tan pronto como pueda.