Archivos de sistema de Windows oscuros y por qué debería saber sobre ellos

El sistema operativo Windows está compuesto por un gran surtido de archivos y programas. Algunos de ellos se ejecutan todo el tiempo, mientras que otros son llamados por el sistema operativo sólo ocasionalmente.

Casi todos los archivos centrales del sistema operativo Windows se almacenan en las carpetas C:WindowsSystem y C:WindowsSystem32 (en su computadora, la letra de la unidad podría ser diferente). La carpeta de Windows también contiene varios archivos esenciales.

Todos los programas que se instalan en tu ordenador suelen tener archivos ejecutables y relacionados almacenados en C:NArchivos de programa o C:NArchivos de programa (x86) .

En general, no se desea modificar, eliminar o mover ninguno de los archivos del sistema de Windows que se encuentran en cualquiera de estos directorios. Sin embargo, hay algunos archivos que son fundamentales para la función del sistema operativo. Si estos archivos se eliminan o se dañan de alguna otra forma, deberá restaurar el sistema operativo de Windows.

Ntoskrnl.exe

Este ejecutable es la imagen del núcleo. Esto significa que es esencialmente el código del núcleo (el ejecutivo) que hace que el sistema operativo funcione correctamente.

Este código se encarga de la gestión del hardware, los procesos del sistema y la gestión de la memoria. También es el código que programa qué aplicaciones tienen acceso al procesador del sistema y cuánta memoria (y direcciones de memoria) están asignadas a usar.

Este ejecutable aparece en el Administrador de Tareas con el nombre de Sistema y Registro. Es un archivo muy protegido, por lo que es difícil que cualquier aplicación como el malware corrompa o elimine el archivo.

En las versiones antiguas de Windows, si se abría un gran número de aplicaciones, Ntoskrnl.exe empezaba a consumir una gran cantidad de memoria. A partir de Windows 10, el Ntoskrnl.exe ahora comprime las páginas no utilizadas en lugar de almacenarlas en la memoria. Esto reduce el consumo de memoria, pero puede aumentar el uso de la CPU si se ejecutan muchas aplicaciones a la vez.

Ntkrnlpa.exe

Este proceso es un componente central del software del núcleo y del código del sistema de Microsoft Windows. El nombre significa Asignador de Procesos del Kernel de Nueva Tecnología . Junto con Ntoskrnl.exe, controla la programación y la gestión de la memoria.

También impide que las aplicaciones y servicios no básicos accedan a las áreas centrales del sistema operativo, lo que mantiene el sistema operativo funcionando con seguridad en un área protegida de la memoria del sistema.

Dado que Ntkrnlpa.exe es el responsable de bloquear el acceso de las aplicaciones a la memoria del sistema protegido, muchos usuarios suelen pensar que es Ntkrnlpa.exe el que está causando un fallo en el sistema de Windows. Esto se debe a que Ntkrnlpa.exe es el proceso que devuelve el error.

Normalmente la causa de esto es en realidad alguna forma de malware que intenta causar la memoria del sistema protegido, provocando los errores de Ntkrnlpa.exe.

Hal.dll

Otro archivo central relacionado con el núcleo y el sistema central del sistema es Hal.dll. El nombre de este archivo DLL significa Capa de Abstracción de Hardware.

Este archivo contiene un código central que permite a las aplicaciones interactuar con el hardware de la computadora usando funciones de programa simples en lugar de un complicado código de máquina.

Con un nombre adecuado, elimina la abstracción de la comunicación y el control del hardware de la computadora.

Este ejecutable se ejecuta dentro de la memoria RAM y se encuentra en el directorio System32.

Hal.dll no suele causar problemas con el ordenador, sin embargo algunas aplicaciones de malware intentan camuflar sus ejecutables dándoles el mismo nombre. Sin embargo, se puede identificar como una aplicación falsa cuando se encuentra en una carpeta diferente a la de System32.

Nunca dejes de hacer la tarea de Hal.dll ya que esto hará que tu sistema no funcione y podría obligarte a tener que restaurar el sistema operativo Windows.

Win32k.sys

Este archivo es lo que se conoce como el archivo de controlador multiusuario de Win32, originalmente lanzado como parte del sistema operativo Windows XP. Ha sido actualizado en cada nueva versión de Windows, incluyendo Windows 10.

Es una interfaz de controlador de gráficos que gestiona el envío de gráficos a los monitores y otros dispositivos de salida. El código es ejecutado por gdi32.dll en Windows 10.

Desafortunadamente, debido a que Win32k.sys ha sido durante mucho tiempo una pieza central del sistema operativo Windows, y porque reside en una carpeta (Archivos de Programa) que no suele estar tan bien protegida como la carpeta System32, el malware a menudo apunta a este archivo para corromperlo.

Además, también es un nombre común elegido por el malware para sus propios archivos, para que los usuarios no sospechen que el archivo es parte de una infección informática.

Ntdll.dll

Este archivo se encuentra en los directorios del sistema y del sistema 32. La descripción del archivo es NT Layer DLL . Es esencialmente un archivo DLL que contiene las funciones centrales del núcleo NT.

Esto significa que contiene el código de la máquina que permite que el sistema operativo del núcleo funcione correctamente. El programa del núcleo accede a las funciones contenidas en Ntdll.dll, y este archivo procesa esas funciones a nivel de máquina.

Si ve algún mensaje de error proveniente del proceso Ntdll.dll, normalmente se debe a un archivo Ntdll.dll corrupto o a problemas de hardware en su ordenador que hacen que el proceso se bloquee.

Normalmente, reinstalar el controlador de hardware que causa el error suele resolver el error. Si el problema es un archivo Ntdll.dll corrupto, el software antivirus es capaz de reparar el problema. Si no puede, es posible que sea necesario realizar una restauración de Windows.

Kernel32.dll

Este archivo DLL es otro que se encuentra como parte del núcleo del sistema operativo Windows. Gestiona la memoria, incluyendo las interrupciones de memoria. También administra todas las operaciones de entrada y salida.

Kernel32.dll es otro archivo que se carga en el espacio de memoria protegido donde las aplicaciones de los usuarios habituales no pueden funcionar.

Si alguna vez ves un error relacionado con el Kernel32.dll, suele deberse a que el malware o los controladores de hardware corruptos (o el hardware defectuoso) intentan escribir en la memoria protegida donde reside el Kernel32.dll. Normalmente, al reinstalar los controladores de hardware o un nuevo hardware se resuelven estos errores.

Advapi32.dll

Este archivo DLL es otro componente básico del sistema operativo Windows. Su nombre significa Advanced Application Programming Interface, o Advanced API. Maneja las llamadas de seguridad del sistema y las llamadas contra el registro del sistema.

Esta DLL gestiona el inicio y el cierre de Windows, gestiona el registro de Windows, la gestión de las cuentas de usuario y la seguridad de las cuentas, y la gestión de los servicios de Windows.

Aunque este archivo no es necesario para que Windows arranque correctamente, sí lo es para el correcto funcionamiento de la mayoría de las aplicaciones y el hardware. Si este archivo del sistema de Windows se borra o se daña, cualquier llamada de la API de la aplicación para acceder al registro o a la seguridad del sistema fallará y verás una serie de mensajes de error.

Usuario32.dll

Otro DLL central, este archivo del sistema Windows contiene la mayor parte de la API central de Windows para que las aplicaciones de usuario se comuniquen con el sistema operativo. Maneja la mayoría de las ventanas y controles nativos que muestran las aplicaciones de Windows.

Cualquier aplicación que tenga una interfaz gráfica de usuario suele utilizar los componentes que ofrece el archivo User32.dll.

Sin embargo, en la mayoría de los casos, las aplicaciones de Windows utilizan bibliotecas integradas en el marco de Windows .NET, que a su vez administra la comunicación con el User32.dll.

En cualquier caso, el User32.dll traduce el código de aplicación común y fácil de entender a los comandos de nivel de máquina que requiere el sistema operativo Windows.

Gdi32.dll

Al igual que User32.dll, Gdi32.dll contiene funciones que permiten a las aplicaciones crear interfaces gráficas de usuario en el monitor.

Gdi32.dll contiene funciones que permiten a las aplicaciones crear objetos bidimensionales en la pantalla. Acepta código de una aplicación o servicio de Windows y ejecuta el código de máquina necesario para mostrar los objetos visuales en el monitor.

Aunque un sistema operativo de Windows puede arrancar incluso cuando esta DLL está corrupta o se ha borrado, la pantalla del sistema operativo no funcionará correctamente.

Otros archivos importantes del sistema Windows

Si bien esos son los archivos y ejecutables básicos del sistema Windows necesarios para el buen funcionamiento del sistema operativo Windows, hay algunos archivos adicionales necesarios para que las funciones no críticas del sistema informático funcionen correctamente.

  • Pagefile.sys : Ayuda al sistema operativo a gestionar el espacio de memoria RAM y a mejorar el rendimiento del sistema.

  • Swapfile.sys : Es un archivo de sistema más reciente que ayuda a mover las modernas aplicaciones de Windows al disco duro cuando están en estado de hibernación.

  • Crss.exe : Es un proceso de ejecución del servidor cliente que maneja las ventanas de la consola y el proceso de apagado de Windows.

  • Shell32.dll : Contiene funciones de la API de la shell de Windows que permiten a los navegadores web y otras aplicaciones mostrar elementos del sistema operativo como la barra de tareas, el escritorio y el menú de inicio correctamente.

  • Smss.exe : El subsistema de gestión de sesiones maneja las sesiones de usuario, incluyendo el inicio de sesión de Windows y la configuración del sistema del usuario.

  • Sxs.dll : Es un componente importante del sistema operativo Windows que maneja archivos de manifiesto. Estos son archivos que le dicen a Windows cómo manejar una aplicación de software cuando es lanzada.

Aunque hay muchos más archivos de sistema menos críticos como parte del sistema operativo Windows, los que se enumeran arriba son algunos de los más comunes. Debido a esto, a menudo son blanco de malware para engañar a los usuarios y hacerles creer que los archivos de malware son legítimos.

La mayoría de las aplicaciones antivirus son capaces de identificar un archivo de sistema Windows falsificado y normalmente lo limpian de su sistema antes de que usted sepa que existe.

Ryan ha estado escribiendo en línea artículos sobre procedimientos y otros artículos basados en la tecnología desde 2007. Tiene una licenciatura en Ingeniería Eléctrica y ha trabajado 13 años en ingeniería de automatización, 5 años en TI, y ahora es un Ingeniero de Aplicaciones. Lee la biografía completa de Ryan

Deja una respuesta

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *