Что делает процесс csrss.exe?

Question

Какова цель csrss.exe (подсистема клиент / серверная среда выполнения) в Windows?

Может быть, кто-то может дать хорошее объяснение или указатели на документацию? К сожалению, результаты поиска Google довольно шумные при поиске основного процесса Windows.

Причина, по которой я спрашиваю, заключается в том, что я получил BSOD из приложения-службы, которое, по-видимому, связано с процессом csrss.exe, по крайней мере, так показывает анализ дампа памяти:

PROCESS_OBJECT: 85eeeb70

IMAGE_NAME:  csrss.exe

DEBUG_FLR_IMAGE_TIMESTAMP:  0
MODULE_NAME: csrss
FAULTING_MODULE: 00000000 
PROCESS_NAME:  PreviewService.
BUGCHECK_STR:  0xF4_PreviewService.
DEFAULT_BUCKET_ID:  DRIVER_FAULT
CURRENT_IRQL:  0
LAST_CONTROL_TRANSFER:  from 80998221 to 80876b40

STACK_TEXT:  
f5175d00 80998221 000000f4 00000003 85eeeb70 nt!KeBugCheckEx+0x1b
f5175d24 8095b1be 8095b1fa 85eeeb70 85eeecd4 nt!PspCatchCriticalBreak+0x75
f5175d54 8082350b 00000494 ffffffff 051bf114 nt!NtTerminateProcess+0x7a
f5175d54 7c8285ec 00000494 ffffffff 051bf114 nt!KiFastCallEntry+0xf8
051bf114 00000000 00000000 00000000 00000000 ntdll!KiFastSystemCallRet

STACK_COMMAND:  kb
FOLLOWUP_NAME:  MachineOwner
FAILURE_BUCKET_ID:  0xF4_PreviewService._IMAGE_csrss.exe
BUCKET_ID:  0xF4_PreviewService._IMAGE_csrss.exe

Followup: MachineOwner

РЕДАКТИРОВАТЬ: Спасибо уже за хорошие ответы, но я на самом деле не нуждаюсь в помощи, касающейся моего обслуживания, я просто хотел бы получить некоторое общее представление о том, какова цель этого обслуживания.

Answer 1

CSRSS размещает серверную часть подсистемы Win32. Этот процесс считается критически важным для системы, и если он когда-либо завершится, вы получите синий экран. Необходимо больше данных, но вам нужно выяснить, завершает ли какой-либо процесс csrss или происходит сбой из-за ошибки.

Windows Internals - отличная книга для подобных вещей. Википедия также имеет статью о CSRSS.

Answer 2

csrss - часть пользовательского режима подсистемы Win32 - аналог пользовательского режима win32.sys в режиме ядра. Что касается того, что происходит с вашим конкретным сервисом, трудно сказать без каких-либо намеков на то, что делает ваш сервис.

Answer 3

Это связано с графической системой. Тем не менее, сейчас за этим именем стоит активный троян, и он вызывает много проблем у людей. Я слышал. Это майнинг крипто, и поскольку сам процесс exe является обычным явлением, людям трудно обнаружить главную проблему

Answer 4

Одна вещь, которую он делает, это предоставляет окно консоли по умолчанию для консольных приложений, таких как cmd.exe. По крайней мере, в соответствии с jdeBP:

В Windows, как работает владение окном консоли?

Может показаться, что, когда процесс консольного приложения создается без передачи дескрипторов в stdin, stdout и stderr, некоторые межпроцессные коммуникации просят csrss создать консольное окно в новом потоке и передать дескрипторы ввода-вывода консольному процессу.