Windows上csrss.exe(客户端/服务器运行时服务器子系统)的用途是什么?
也许有人可以提供一个很好的解释或指向文档?不幸的是,在搜索Windows的核心进程时,谷歌搜索结果非常嘈杂。
我问的原因是我从我的服务应用程序获得了一个BSOD,它似乎与csrss.exe进程有关,至少这是对内存转储的分析所显示的:
PROCESS_OBJECT: 85eeeb70
IMAGE_NAME: csrss.exe
DEBUG_FLR_IMAGE_TIMESTAMP: 0
MODULE_NAME: csrss
FAULTING_MODULE: 00000000
PROCESS_NAME: PreviewService.
BUGCHECK_STR: 0xF4_PreviewService.
DEFAULT_BUCKET_ID: DRIVER_FAULT
CURRENT_IRQL: 0
LAST_CONTROL_TRANSFER: from 80998221 to 80876b40
STACK_TEXT:
f5175d00 80998221 000000f4 00000003 85eeeb70 nt!KeBugCheckEx+0x1b
f5175d24 8095b1be 8095b1fa 85eeeb70 85eeecd4 nt!PspCatchCriticalBreak+0x75
f5175d54 8082350b 00000494 ffffffff 051bf114 nt!NtTerminateProcess+0x7a
f5175d54 7c8285ec 00000494 ffffffff 051bf114 nt!KiFastCallEntry+0xf8
051bf114 00000000 00000000 00000000 00000000 ntdll!KiFastSystemCallRet
STACK_COMMAND: kb
FOLLOWUP_NAME: MachineOwner
FAILURE_BUCKET_ID: 0xF4_PreviewService._IMAGE_csrss.exe
BUCKET_ID: 0xF4_PreviewService._IMAGE_csrss.exe
Followup: MachineOwner
答案 0 :(得分:5)
CSRSS托管Win32子系统的服务器端。它被认为是一个系统关键的过程,如果它被终止,你会得到一个蓝屏。需要更多数据,但您需要查明某些进程是否正在终止csrs,或者是否由于错误导致崩溃。
对于像这样的东西,Windows Internals是一本好书。 Wikipedia还有一篇关于CSRSS的文章。
答案 1 :(得分:1)
csrss是Win32子系统的用户模式部分 - 用户模式类似于内核模式win32.sys。至于你的特定服务发生了什么,如果没有一些关于你的服务正在做什么的更好的提示,很难说。
答案 2 :(得分:0)
它做的一件事是为控制台应用程序(如cmd.exe)提供默认控制台窗口。至少根据jdeBP:
On Windows, how does console window ownership work?
当创建控制台应用程序进程而没有将句柄传递给stdin,stdout和stderr时,似乎某些进程间通信要求csrss在新线程中创建一个控制台窗口并将其IO句柄提供给控制台进程。
答案 3 :(得分:0)
它与图形系统有关。但是,此名称后面现在有一个活跃的特洛伊木马,它给人们带来了许多问题。我听说。它正在挖掘加密货币,并且由于exe程序本身是普通人,因此很难检测到主要问题