Ntoskrnl exe что это такое windows 10

Многим пользователям интересно, почему процесс System (Ntoskrnl.exe) использует так много системных ресурсов в Windows 10. Прежде всего, давайте посмотрим, что делает этот файл в вашей системе.

System (имя процесса Ntoskrnl.exe) — это исполняемый файл, предназначенный для ядра ОС Windows NT, который вы можете найти на вкладке «Сведения» диспетчера задач. Исполняемый файл является базовой частью операционной системы и заботится о некоторых важных сервисах, таких как управление процессом, управление памятью и аппаратная виртуализация.

Почему System (Ntoskrnl.exe) использует много системных ресурсов в Windows 10?

Если ваш вопрос заключается в том, почему System (Ntoskrnl.exe) использует столько системных ресурсов в Windows 10, то ответ простой — это не из-за своего собственного недостатка, так как данный процесс работает с другими компонентами, которые могут вызывать нагрузку на компоненты ПК. Исполняемый файл включает диспетчер памяти, диспетчер кэшей, контрольный монитор безопасности, ядро, планировщик заданий. Это довольно неверное представление о том, что System (Ntoskrnl.exe) увеличивает нагрузку на процессор и задействует больше памяти. Давайте посмотрим, почему?

System (Ntoskrnl.exe) несет ответственность за связь между упомянутыми выше процессами. Когда вы открываете приложение, то System (Ntoskrnl.exe) отправляет информацию о всех процессах для запуска, а Windows 10 начинает сжимать данные в памяти, в отличие от предыдущих версий, где он непосредственно записывал их на жесткий диск.

Таким образом, System (Ntoskrnl.exe) не имеет никакого вклада в увеличение вашей памяти или нагрузки на ЦП. Иногда поврежденный файл драйвера или вредоносная программа, начинают записывать данные в доступный исполняемый файл, каждый раз за разом. Поэтому, System (Ntoskrnl.exe) испытывает затруднения между процессами. Прерывание, делает ваше использование ЦП больше и больше, память также начинает пожирать больше Мб.

Как исправить высокую нагрузку на компоненты ПК, процессом System (Ntoskrnl.exe)

В первую очередь, попробуйте закрыть или обновить программы, которые вызывают проблему. Также, воспользуйтесь антивирусным сканером как Zemana или DrWeb, чтобы выявить вирусы, если они имеются.

1. Запустить проверку системных файлов

Для такой проблемы, как высокий расход ресурсов из-за ntoskrnl.exe в Windows 10, повреждение или отсутствие системных файлов могут быть главной причиной. Запуск инструмента SFC поможет в этой ситуации.

• Откройте командную строку от имени администратора и введите команду sfc /scannow.
• Сканирование и восстановление системных файлов может занять длительное время, можете выпить чашечку кофе, после окончания процесса, перезагрузите компьютер.

2. Проверьте неисправный драйвер и обновите его

Неисправный драйвер является основной причиной этой проблемы, поэтому внимательно проверьте и обновите, если это необходимо. Нажмите сочетание кнопок Win+R и введите devmgmt.msc, чтобы открыть диспетчер устройств.

Нажмите вкладку Вид и выберите из меню Показать скрытые устройства. Удалите все полупрозрачные драйверы устройств.

Далее разверните устройства и проверьте их на наличие желтого восклицательного знака. Если такой имеется, то нажмите на нем правой кнопкой мыши и нажмите Обновить. Также, обновите драйверы видеокарты до последней версии с официального сайта производителя.

3. Очистите автоматически виртуальную память при каждом запуске

Нажмите Win+R и введите regedit, чтобы открыть редактор реестра.

В реестре перейдите по пути, (можно скопировать и вставить в строку) указанному ниже. Справа найдите ClearPageFileAtShutDown, нажмите два раза мышкой по нему и задайте значение 1. Перезагрузите компьютер или ноутбук.

HKEY_LOCAL_MACHINESYSTEMCurrentControlSetControlSession ManagerMemory Management

4. Настройка Windows для лучшей производительности

Нажмите Win+R и введите sysdm.cpl

Во вкладке Визуальные эффекты выберите Обеспечить наилучшее быстродействие.

5. Сторонний антивирус

Если вы используете сторонний антивирус, то он может создавать нагрузку на систему процессом «System». Удалите на время сторонний антивирус и после перезагрузки компьютера, проверьте, сохраняется ли проблема. Из виновников нагрузки был замечен антивирус Eset32.

Почему не отключить сторонний антивирус на время? Антивирусы имеют встроенный брандмауэр, который работает даже после того, как вы отключите антивирусный продукт. По этому, полное удаление антивируса — это наилучший способ удостовериться в его невиновности.

6. Отключить индексирование

Если у вас установлен жесткий диск, то индексирование файлов и папок может вызывать высокую нагрузку процессом Ntoskrnl.exe (System). Отключим его.

Нажмите правой кнопкой мыши по локальному диску и выберите «Свойства«. Во вкладке «Общие» уберите галочку с пункта «Разрешить индексировать содержимое файлов на этом диске в дополнении к свойствам файлов«. Сделайте это для каждого локального диска, который у вас имеется в проводнике.

Примечание: Отключив индексирование, вы не сможете искать файлы и папки через поиск проводника или меню пуск. 

7. Отключить службы

В ранних версиях Windows, служба System с именем процесса Ntoskrnl.exe может грузить жесткий диск до 90%, так как процесс записывает данные на сам диск, а не сжимает данные в памяти. Также, если слабый процессор, то и на него может идти нагрузка. Т.е. Если будут устанавливаться какие-либо обновления в фоновом режиме, то вы не заметите это пока не отключите службу «Центр обновления Windows», которая и создает нагрузку на жесткий диск и процессор — службой System.

Нажмите Win+R и введите services.msc, чтобы открыть службы. Найдите службы из списка ниже, щелкните по службе дважды, чтобы открыть свойства и «Остановить«, тип запуска «Отключена«.

1. Центр обновления Windows
2. Клиент отслеживания изменившихся связей
3. Агент политики IPsec
4. KtmRm для координатора распределенных транзакций
5. Служба политики диагностики
6. SysMain

Примечание: Отключайте по одной службе и смотрите нагрузку на систему. Может не быть резкого спада и нужно подождать хотя бы 1 минуту.

[ Telegram | Поддержать ]

«Экран смерти» – главный страх каждого владельца компьютера. Он появляется из-за системного сбоя и может быть вызван некорректной работой отдельных файлов. В частности, ntoskrnl.exe вызывает синий экран на компьютере Windows 10 x64. Ошибка не дает продолжить взаимодействие с устройством, поэтому важно разобраться в причинах возникновения неполадок, а также ознакомиться с инструкцией по их устранению.

Причины появления ntoskrnl.exe синего экрана на Windows 10

Файл ntoskrnl.exe отвечает за активацию драйверов и отображение загрузочного экрана. Файл запускается при помощи NT Kernel System (NTLDR).

Это системный загрузчик, который выходит из строя по целому ряду причин:

• повреждение ntoskrnl.exe;
• ошибки реестра;
• неисправность драйверов оборудования;
• битые сектора HDD или SSD;
• отсутствие обновлений;
• ОС слишком сильно грузит процессор.

Наличие большого количества возможных причин ставит пользователя в трудное положение. Одним нажатием решить проблему не получится. Однако неполадки поддаются устранению без помощи специалиста при условии четкого соблюдения требований инструкции.

Устранение проблемы

Исправление ошибки, связанной с появлением «экрана смерти», возможно при выполнении ряда требований. Пользователю необходимо произвести операции для исправления реестра, жесткого диска и других параметров, которые влияют на работоспособность Windows 10.

Очистка реестра

Исправить ошибку без очистки реестра невозможно. Так что данный способ рекомендуется рассматривать в первую очередь. Лучшим средством для выполнения операции станет программа CCleaner. Она не только очистит реестр, но и удалит мусор, периодически заполняющий внутреннее хранилище.

Для выполнения операции нужно:

• Скачать и установить CCleaner на компьютер.

• Открыть программу.

• Перейти в раздел «Реестр».

• Нажать кнопку «Поиск проблем».

• Дождаться окончания тестирования.
• Подтвердить исправление реестра.

Если каждый шаг инструкции был выполнен верно, синий экран больше не будет появляться при повседневном взаимодействии с ПК. Если проблему решить не удалось – переходите к следующему способу.

Исправление диска

Ошибка файла ntoskrnl.exe бывает связана с неисправностью жесткого диска. Могут быть повреждены как отдельные сектора, так и весь HDD. В любом случае, проблема решается путем сканирования накопителя на предмет наличия неполадок:

• Откройте Проводник.

• Кликните ПКМ по иконке системного диска.
• Выберете «Свойства».

• Перейдите в раздел «Сервис».

• Нажмите кнопку «Выполнить проверку».

• Подтвердите выполнение операции.
• Дождитесь окончания.

На заметку. Также запустить проверку можно через Командную строку, воспользовавшись запросом команда «chkdsk с /f /r».

Сканирование внутреннего накопителя завершится предоставлением информации относительно найденных неисправностей. Система самостоятельно удалит ошибки, после чего владельцу компьютера останется перезагрузить устройство.

Проверка ПК на вирусы

Любая ошибка компьютера бывает вызвана вмешательством вредоносного ПО. Как избежать появления вирусов на ПК – отдельная тема для разговора. В случае возникновения проблемы с синим экраном важно разобраться в том, какие существуют способы избавления от «вредителей».

Самый простой вариант – запустить проверку через антивирус. В его роли выступают следующие программы:

• Kaspersky;
• Avast;
• Web.

Приложения работают по одинаковому принципу. После установки пользователю нужно запустить проверку, которая занимает 10-60 минут, в зависимости от особенностей жесткого диска. Как только тест будет завершен, антивирус предложит удалить вредоносное ПО. Останется только подтвердить выполнение операции.

Важно. Многие антивирусные программы работают на платной основе, однако для новых пользователей предусмотрен промо-период.

Обновление операционной системы

Разработчики Windows 10 не случайно выпускают обновления на регулярной основе. Они исправляют ошибки, найденные в предыдущих версиях. Если владелец не успел своевременно установить апдейт, работа устройства в некоторых сценариях неминуемо вызовет проблемы.

Чтобы обновить Виндовс, нужно:

• Открыть «Настройки» (иконка в виде шестеренки) через меню «Пуск».

• Перейти в раздел «Обновление и безопасность».

• Нажать кнопку «Проверить наличие обновлений».
• Если апдейты будут найдены – подтвердить их загрузку и установку.

Если при обновлении системы произойдет сбой, необходимо ликвидировать неисправность через пункт «Устранение неполадок» параметров ПК. После этого следует перезагрузить устройство, а затем вновь попробовать установить апдейт.

Обновление драйверов

Актуальная версия должна быть не только у операционной системы, но и у драйверов оборудования. Их обновление производится через Диспетчер устройств. Чтобы открыть утилиту, понадобится открыть меню «Пуск» и выбрать соответствующий пункт. Далее рекомендуется действовать по инструкции:

• Открыв ДУ, посмотрите, нет ли напротив имени какого-либо устройства значка в виде восклицательного знака.

• Кликните ПКМ по названию оборудования.

• Выберите пункт «Обновить драйверы».

Если обновления не будут найдены, потребуется загрузить их через официальный сайт разработчиков и установить в ручном режиме. Также не лишним будет сначала удалить апдейты, а позже поставить их заново.

Восстановление системы

Это крайняя мера, к помощи которой следует обращаться в том случае, когда ни один из основных способов не помогает. Восстановление системы приведет к тому, что с компьютера удалятся все данные. Поэтому перед выполнением операции рекомендуется позаботиться о создании резервной копии.

Если все готово, действуйте по инструкции:

• Откройте «Параметры» через меню «Пуск».

• Перейдите в раздел «Восстановление».

• Нажмите кнопку «Начать».
• Дождитесь окончания процесса.

Через 5-10 минут ПК перезагрузится, и Рабочий стол предстанет в исходном состоянии. Это позволит ликвидировать ошибку. В качестве альтернативного варианта можно вместо восстановления ОС выполнить ее переустановку. Для этого в режиме «Восстановление» нужно выбрать пункт «Перезагрузить сейчас», предварительно подключив к устройству внешний накопитель с образом Виндовс 10.



Во время работы или при включении компьютера внезапно может появиться так называемый «синий экран смерти». Если вчитаться в текст, написанный поверх, то там будет указана причина сбоя – некорректная работа файла Ntoskrnl.exe. Этот элемент очень важен для функционирования ОС, и когда с ним что-то происходит, пользоваться ПК становится невозможно.

Что такое Ntoskrnl.exe

Когда вы включаете компьютер, запускается целый ряд служб, в том числе, Ntoskrnl.exe, который подготавливает к работе драйверы и визуализирует изображение на экране. При этом может произойти ошибка, что влечет за собой остановку процесса. Данная служба обычно располагается на диске «С» вместе с другими компонентами системы и занимает несколько папок: System32, Driver Cache и т. п.

Причины неисправности

Ошибка ntoskrnl.ехе может возникать по целому ряду причин:

1. Некорректный оверклокинг и андервольтинг, приведший к перегреву.
2. Физическое удаление файла (вообще-то это достаточно трудно сделать, но возможно, если использовать ПО, влияющее на системные элементы).
3. Повреждение/замена файла вирусом.
4. Повреждение записей в реестре.
5. Наличие проблемных или старых драйверов.
6. Внутренний системный сбой.
7. Сбой в работе винчестера.
8. ОС не обновлена до актуальной версии.
9. Повреждение или сбой в работе ОЗУ.

Возможные решения

Ошибка ntoskrnl.exe – это серьёзно, но не всегда фатально, и сейчас мы расскажем, как её исправить.

1. Для начала нужно добраться до «Десктопа» и получить доступ к функциям ПК, так как, синий экран закрывает собой все пространство.
2. Для этого выполните перезагрузку, и нажимайте клавишу F2 или Del (иногда бывают и другие варианты, это зависит от внутренней структуры системы ввода-вывода).
3. Перед вами развернутся опции БСВВ.
4. Выберите пункт Load setup defaults («Загрузить настройки по умолчанию»).
   
5. Кликните по F10, чтобы подтвердить выбор.
6. Снова перезапустите ПК – синий экран исчезнет, и можно будет переходить к исправлению ошибки.

Очистка реестра

Пока не вернулась ошибка ntoskrnl.exe с синим экраном (кстати, чаще всего она возникает на windows 7), нужно начать действовать. Первым делом попробуйте почистить реестр от неправильно выполненных и устаревших записей. Удобнее и безопаснее всего делать это с помощью специальных утилит, например, небезызвестной CCleaner.

1. Скачайте программу и установите её.
2. Откройте окно и слева в списке найдите главу «Очистка реестра».
3. Нажмите «Анализ» и дождитесь обнаружения всех проблемных записей.
   
4. Вверху укажите «Выделить все» и «Исправить выделенное».
   
5. Программа предложит сделать копию реестра – соглашайтесь, только сохраняйте ее не в «Документы» на диске «С», как указано по умолчанию, а в отдельную папку на диске «D».
   
6. После очистки запустите «Анализ» ещё раз – и так до тех пор, пока список повреждённых элементов не останется пустым.

Исправление диска

Далее нужно проверить системный диск и исправить кое-какие ошибки, если они будут обнаружены. Для этого:

1. Найдите значок «Компьютер» и разверните содержимое.
2. Дважды щелкните ПКМ по диску «С» (у вас он может называться как-нибудь еще – главное, помните, что нам нужен раздел, где хранится ОС);
   
3. Выберите последний пункт «Свойства», а затем подпункт «Сервис» и запустите проверку.
   
4. Компьютер может несколько раз перезагрузиться в процессе – это нормально, не волнуйтесь.

Для этих же целей проверяем внутренние системные файлы и исправляем неполадки следующим образом:

1. Нажмите Win+R и дождитесь появления небольшого окошка со строкой ввода.
2. Впишите в нее «cmd».
   
3. Теперь появится окно с черным полем, куда нужно ввести: «sfc/scannow» и нажать «Интер».
   
4. Также можно задать команду «chkdsk».
   

Подождите, пока не появится сообщение об успешном выполнении операции, а потом перезагрузите ПК.

Проверка на вирусы

Нередко причиной остановки запуска Windows бывают вирусы, которые удаляют файл Ntoskrnl.exe из корневой папки Winnt_rootSystem32. Не сбрасывайте со счетов такую возможность и обязательно проверьте систему:

1. Установите какой-нибудь хороший антивирус: Касперского, «Доктор веб», «Эсет» и т. п.
2. Запустите полную проверку всех дисков.
   
3. Дождитесь окончания процедуры (это может занять много времени, можно оставить на ночь).
4. Удалите все вредоносные файлы или переместите в карантин – лучше поступить так, как рекомендует антивирус.
   
5. Проверьте файловую систему на ошибки и восстановите все поврежденное, как это было описано выше.

Если вирус занесен какой-то программой, ее необходимо деинсталлировать. Скорее всего, добровольно удаляться она не захочет – тогда вам поможет деинсталлятор (например, Uninstall Tool) и опция «принудительное удаление».

Обновление ОС и драйверов

Иногда проблемы с ntoskrnl.exe и синий экран возникают из-за того, что система давно не обновлялась: в Windows 10 сложно отключить автоматическую установку пакетов, но в седьмой версии такое часто происходит – просто зайдите в Update Center и запустите обновления, а для драйверов оборудования скачайте их отдельно (только обращайте внимание на разрядность: x64 или х86 для 64-bit систем).  Удалите все драйвера старого, не используемого оборудования: принтеров, графических планшетов, сканеров, МФУ и т.п. («Панель управления» — «Диспетчер устройств» — клик правой кнопкой по устаревшему устройству – команда «Удалить»).

Восстановление системы

И, наконец, если все предыдущие шаги не увенчались успехом, можно восстановить систему до того состояния, когда все нормально работало. Чтобы сделать это, нужно:

1. На Windows 7 последовательно открываем: «Пуск» – «Все программы» – «Стандартные» – «Служебные» – «Восстановление системы», на Windows 10 в «Поиск» наберите «Создание точки восстановления» и откройте соответствующий значок.
   
2. Нажмите «Далее» в появившемся окне и выбираем «Показать точки восстановления».
3. Выберите дату, когда компьютер стабильно работал.
   
4. Нажмите «Готово».

Дождитесь окончания процесса – ни в коем случае не выключайте компьютер из сети и позаботьтесь о том, чтоб у ноутбука не села батарея.

Ошибка Ntoskrnl.exe Синий экран смерти.

Ошибки синего экрана происходят довольно часто. Они появляются из ниоткуда и показывают синий экран с запутанным сообщением об ошибке на нем. Первое, что вы можете сделать, это выйти в интернет и попытаться найти решение этой проблемы. В этой статье вы узнаете о том узнать, как исправить ошибку ntoskrnl.exe.

На экране появляется ошибка ntoskrnl.exe, и компьютер перезагружается.

Причины появления ошибки Ntoskrnl.exe

Эта ошибка может быть вызвана поврежденными драйверами, поврежденным жестким диском или поврежденными системными файлами.

Как исправить ошибку Ntoskrnl.exe

Вот несколько способов исправить ошибку ntoskrnl.exe в Windows 10:

Обновите драйверы устройств, чтобы исправить ошибку Ntoskrnl.exe

Вы можете обновить драйверы устройств, перейдя на веб-сайт производителя компьютера и загрузив драйверы оттуда. Вы также можете использовать служебную программу обновления драйверов, такую ​​как DriverDoc, для загрузки и установки обновлений драйверов для вас.

Поврежденный жесткий диск

Поврежденный жесткий диск может также вызвать эту проблему. Один из способов проверить правильность работы жесткого диска — использовать CrystalDiskInfo для чтения журнала SMART на жестком диске. Если вы не можете войти в среду Windows, вы можете попробовать запустить Windows 10 в безопасном режиме, используя эти инструкции.

Вы также должны иметь возможность запустить диагностику жесткого диска без запуска Windows. Он доступен на многих компьютерах, и вы можете запустить его из настроек BIOS / UEFI. Перезагрузите компьютер и обратите внимание на инструкции на экране. Он может предложить вам нажать кнопку (например, Esc, F2 и т. д.), чтобы увидеть другие параметры. Ваша цель — найти параметры диагностики и запустить диагностику жесткого диска. Если жесткий диск не прошел диагностический тест, замените его.

Поврежденная оперативная память

Используйте Memtest, чтобы проверить, работает ли RAM правильно. Если оперативная память работает неправильно, замените ее. Если вы не можете нормально запустить Windows, попробуйте запустить Windows 10 в безопасном режиме.

Исправить реестр с помощью WinThruster

Ошибки реестра также могут вызывать ошибки синего экрана. Попробуйте использовать WinThruster для проверки компьютера на наличие ошибок реестра. Это также делает компьютер более плавным, исправляя ошибки ПК. Прежде чем сканировать реестр, сделайте точную точку восстановления системы.

Исправить поврежденные системные файлы

Вы можете легко исправить поврежденные или отсутствующие системные файлы, используя команду SFC / scannow.

В Windows 10 нажмите клавишу Windows + X и выберите Командная строка (Admin)

Введите sfc / scannow и нажмите Enter для запуска команды

Если у вас остались вопросы по теме «Как исправить ошибку Ntoskrnl.exe в Windows 10», то можете писать их в форму комментариев на нашем сайте.

From Wikipedia, the free encyclopedia

This article is about a computer file that contains a part of Windows kernel, among other things. For the Windows NT kernel itself, see Architecture of Windows NT.

ntoskrnl.exe (short for Windows NT operating system kernel executable), also known as the kernel image, contains the kernel and executive layers of the Microsoft Windows NT kernel, and is responsible for hardware abstraction, process handling, and memory management. In addition to the kernel and executive mentioned earlier, it contains the cache manager, security reference monitor, memory manager, scheduler (Dispatcher), and blue screen of death (the prose and portions of the code).^[1]

Overview[edit]

ntoskrnl.exe depends on bootvid.dll, hal.dll and kdcom.dll. However, it is not a native application. In other words, it is not linked against ntdll.dll. Instead, ntoskrnl.exe containing a standard «start» entry point that calls the architecture-independent kernel initialization function. Because it requires a static copy of the C Runtime objects, the executable is usually about 10 MB in size.

In Windows XP and earlier, the Windows installation source ships four kernel image files to support uniprocessor systems, symmetric multiprocessor (SMP) systems, CPUs with PAE, and CPUs without PAE. Windows setup decides whether the system is uniprocessor or multiprocessor, then, installs both the PAE and non-PAE variants of the kernel image for the decided kind. On a multiprocessor system, Setup installs ntkrnlmp.exe and ntkrpamp.exe but renames them to ntoskrnl.exe and ntkrnlpa.exe respectively.

Starting with Windows Vista, Microsoft began unifying the kernel images as multi-core CPUs took to the market and PAE became mandatory.

Routines in ntoskrnl use prefixes on their names to indicate in which component of ntoskrnl they are defined. The following table lists some of them.

Initialization[edit]

When the kernel receives control, it gets a struct-type pointer from bootloader. The pointer’s destination contains information about the hardware, the path to the Windows Registry file, kernel parameters containing boot preferences or options that change the behavior of the kernel, path of the files loaded by the bootloader (SYSTEM Registry hive, nls for character encoding conversion, and vga font).^[8] The definition of this structure can be retrieved by using the kernel debugger or downloading it from the Microsoft symbol database.^{[9][page needed]}

In the x86 architecture, the kernel receives the system already in protected mode, with the GDT, IDT and TSS ready.^{[further explanation needed]} But since it does not know the address of each one, it has to load them one by one to fill the PCR structure.^[jargon]

The main entry point of ntoskrnl.exe performs some system dependent initialization then calls a system independent initialization then enters an idle loop.^{[contradictory]}

Interrupt handling[edit]

This article is about NT implementation of interrupt handlers. For other uses, see Interrupt handling.

Modern operating systems use interrupts instead of I/O port polling to wait for information from devices.

In the x86 architecture, interrupts are handled through the Interrupt Dispatch Table (IDT). When a device triggers an interrupt and the interrupt flag (IF) in the FLAGS register is set, the processor’s hardware looks for an interrupt handler in the table entry corresponding to the interrupt number to which in turn has been translated from IRQ by PIC chips, or in more modern hardwares, APIC. Interrupt handlers usually save some subset of the state of registers before handling it and restore them back to their original values when done.

The interrupt table contains handlers for hardware interrupts, software interrupts, and exceptions. For some IA-32 versions of the kernel, one example of such a software interrupt handler (of which there are many) is in its IDT table entry 2E₁₆ (hexadecimal; 46 in decimal), used in assembly language as INT 2EH for system calls. In the real implementation the entry points to an internal subroutine named (as per symbol information published by Microsoft) KiSystemService. For newer versions, different mechanisms making use of SYSENTER instruction and in x86-64 SYSCALL instruction are used instead.

One notable feature of NT’s interrupt handling is that interrupts are usually conditionally masked based on their priority (called «IRQL»), instead of disabling all IRQs via the interrupt flag. This permits various kernel components to carry on critical operations without necessarily blocking services of peripherals and other devices.^[10]

Memory manager[edit]

This article is about NT implementation of a memory manager. For other uses, see memory management.

Microsoft Windows divides virtual address space into two regions. The lower part, starting at zero, is instantiated separately for each process and is accessible from both user and kernel mode. Application programs run in processes and supply code that runs in user mode.
The upper part is accessible only from kernel mode, and with some exceptions, is instantiated just once, system-wide. Ntoskrnl.exe is mapped into this region, as are several other kernel mode components. This region also contains data used by kernel mode code, such as the kernel mode heaps and the file system cache.

Start and end of segments by access privilege^[9]

The entire physical memory (RAM) address range is broken into many small (usually 4 KB) blocks. A few of the properties of each block are stored in structures called page table entries, which are managed by the OS and accessed by the processor’s hardware. Page tables are organized into a tree structure, and the physical page number of the top-level table is stored in control register 3 (CR3).

Registry[edit]

Windows Registry is a repository for configuration and settings information for the operating system and for other software, such as applications. It can be thought of as a filesystem optimized for small files.^[11] However, it is not accessed through file system-like semantics, but rather through a specialized set of APIs, implemented in kernel mode and exposed to user mode.

The registry is stored on disk as several different files called «hives.» One, the System hive, is loaded early in the boot sequence and provides configuration information required at that time. Additional registry hives, providing software-specific and user-specific data, are loaded during later phases of system initialization and during user login, respectively.

Drivers[edit]

The list of drivers to be loaded from the disk are retrieved from the Services key of the current control set’s key in the SYSTEM registry hive. That key stores device drivers, kernel processes and user processes. They are all collectively called «services» and are all stored mixed on the same place.

During initialization or upon driver load request, the kernel traverses that tree looking for services tagged as kernel services.

See also[edit]

• Architecture of Windows NT
• Windows NT Startup Process

Notes[edit]

References[edit]

Further reading[edit]

• Tanenbaum, Andrew S. (2008). Modern Operating Systems (3rd ed.). Upper Saddle River, N.J.: Pearson Prentice Hall. p. 829. ISBN 978-0136006633.
• Bruce Dang; Alexandre Gazet; Elias Bachaalany (2014). Practical Reverse Engineering: x86, x64, ARM, Windows Kernel, Reversing Tools, and Obfuscation. Wiley. p. 384. ISBN 978-1118787311.

External links[edit]

• Inside the Windows Vista Kernel (TechNet Magazine)
• struct LOADER_PARAMETER_BLOCK
• Driver Development Part 1: Introduction to Drivers

From Wikipedia, the free encyclopedia

This article is about a computer file that contains a part of Windows kernel, among other things. For the Windows NT kernel itself, see Architecture of Windows NT.

ntoskrnl.exe (short for Windows NT operating system kernel executable), also known as the kernel image, contains the kernel and executive layers of the Microsoft Windows NT kernel, and is responsible for hardware abstraction, process handling, and memory management. In addition to the kernel and executive mentioned earlier, it contains the cache manager, security reference monitor, memory manager, scheduler (Dispatcher), and blue screen of death (the prose and portions of the code).^[1]

Overview[edit]

ntoskrnl.exe depends on bootvid.dll, hal.dll and kdcom.dll. However, it is not a native application. In other words, it is not linked against ntdll.dll. Instead, ntoskrnl.exe containing a standard «start» entry point that calls the architecture-independent kernel initialization function. Because it requires a static copy of the C Runtime objects, the executable is usually about 10 MB in size.

In Windows XP and earlier, the Windows installation source ships four kernel image files to support uniprocessor systems, symmetric multiprocessor (SMP) systems, CPUs with PAE, and CPUs without PAE. Windows setup decides whether the system is uniprocessor or multiprocessor, then, installs both the PAE and non-PAE variants of the kernel image for the decided kind. On a multiprocessor system, Setup installs ntkrnlmp.exe and ntkrpamp.exe but renames them to ntoskrnl.exe and ntkrnlpa.exe respectively.

Starting with Windows Vista, Microsoft began unifying the kernel images as multi-core CPUs took to the market and PAE became mandatory.

Routines in ntoskrnl use prefixes on their names to indicate in which component of ntoskrnl they are defined. The following table lists some of them.

Initialization[edit]

When the kernel receives control, it gets a struct-type pointer from bootloader. The pointer’s destination contains information about the hardware, the path to the Windows Registry file, kernel parameters containing boot preferences or options that change the behavior of the kernel, path of the files loaded by the bootloader (SYSTEM Registry hive, nls for character encoding conversion, and vga font).^[8] The definition of this structure can be retrieved by using the kernel debugger or downloading it from the Microsoft symbol database.^{[9][page needed]}

In the x86 architecture, the kernel receives the system already in protected mode, with the GDT, IDT and TSS ready.^{[further explanation needed]} But since it does not know the address of each one, it has to load them one by one to fill the PCR structure.^[jargon]

The main entry point of ntoskrnl.exe performs some system dependent initialization then calls a system independent initialization then enters an idle loop.^{[contradictory]}

Interrupt handling[edit]

This article is about NT implementation of interrupt handlers. For other uses, see Interrupt handling.

Modern operating systems use interrupts instead of I/O port polling to wait for information from devices.

In the x86 architecture, interrupts are handled through the Interrupt Dispatch Table (IDT). When a device triggers an interrupt and the interrupt flag (IF) in the FLAGS register is set, the processor’s hardware looks for an interrupt handler in the table entry corresponding to the interrupt number to which in turn has been translated from IRQ by PIC chips, or in more modern hardwares, APIC. Interrupt handlers usually save some subset of the state of registers before handling it and restore them back to their original values when done.

The interrupt table contains handlers for hardware interrupts, software interrupts, and exceptions. For some IA-32 versions of the kernel, one example of such a software interrupt handler (of which there are many) is in its IDT table entry 2E₁₆ (hexadecimal; 46 in decimal), used in assembly language as INT 2EH for system calls. In the real implementation the entry points to an internal subroutine named (as per symbol information published by Microsoft) KiSystemService. For newer versions, different mechanisms making use of SYSENTER instruction and in x86-64 SYSCALL instruction are used instead.

One notable feature of NT’s interrupt handling is that interrupts are usually conditionally masked based on their priority (called «IRQL»), instead of disabling all IRQs via the interrupt flag. This permits various kernel components to carry on critical operations without necessarily blocking services of peripherals and other devices.^[10]

Memory manager[edit]

This article is about NT implementation of a memory manager. For other uses, see memory management.

Microsoft Windows divides virtual address space into two regions. The lower part, starting at zero, is instantiated separately for each process and is accessible from both user and kernel mode. Application programs run in processes and supply code that runs in user mode.
The upper part is accessible only from kernel mode, and with some exceptions, is instantiated just once, system-wide. Ntoskrnl.exe is mapped into this region, as are several other kernel mode components. This region also contains data used by kernel mode code, such as the kernel mode heaps and the file system cache.

Start and end of segments by access privilege^[9]

The entire physical memory (RAM) address range is broken into many small (usually 4 KB) blocks. A few of the properties of each block are stored in structures called page table entries, which are managed by the OS and accessed by the processor’s hardware. Page tables are organized into a tree structure, and the physical page number of the top-level table is stored in control register 3 (CR3).

Registry[edit]

Windows Registry is a repository for configuration and settings information for the operating system and for other software, such as applications. It can be thought of as a filesystem optimized for small files.^[11] However, it is not accessed through file system-like semantics, but rather through a specialized set of APIs, implemented in kernel mode and exposed to user mode.

The registry is stored on disk as several different files called «hives.» One, the System hive, is loaded early in the boot sequence and provides configuration information required at that time. Additional registry hives, providing software-specific and user-specific data, are loaded during later phases of system initialization and during user login, respectively.

Drivers[edit]

The list of drivers to be loaded from the disk are retrieved from the Services key of the current control set’s key in the SYSTEM registry hive. That key stores device drivers, kernel processes and user processes. They are all collectively called «services» and are all stored mixed on the same place.

During initialization or upon driver load request, the kernel traverses that tree looking for services tagged as kernel services.

See also[edit]

• Architecture of Windows NT
• Windows NT Startup Process

Notes[edit]

References[edit]

Further reading[edit]

• Tanenbaum, Andrew S. (2008). Modern Operating Systems (3rd ed.). Upper Saddle River, N.J.: Pearson Prentice Hall. p. 829. ISBN 978-0136006633.
• Bruce Dang; Alexandre Gazet; Elias Bachaalany (2014). Practical Reverse Engineering: x86, x64, ARM, Windows Kernel, Reversing Tools, and Obfuscation. Wiley. p. 384. ISBN 978-1118787311.

External links[edit]

• Inside the Windows Vista Kernel (TechNet Magazine)
• struct LOADER_PARAMETER_BLOCK
• Driver Development Part 1: Introduction to Drivers