El subsistema de tiempo de ejecución cliente/servidor ( CSRSS ) o csrss.exe es parte del sistema operativo Microsoft Windows NT y es parte del modo de usuario del subsistema Win32. Incluido con Windows 2000, Windows XP, Windows 2003, Windows Vista, Windows Server 2008, Windows 7, Windows 8 (8.1) y Windows 10. Windows NT 4 y superior CSRSS es principalmente responsable de manejar la consola Win32 y la GUI de cierre del sistema operativo. El subsistema es fundamental para el funcionamiento del sistema operativo; por lo tanto, terminar este proceso resultará en una falla del sistema. En circunstancias normales, CSRSS no se puede terminar usando el comando Taskkill o usando el Administrador de tareas de Windows, aunque esto es posible con Windows Vista si el Administrador de tareas se ejecuta en modo Administrador. A partir de Windows 7, el administrador de tareas le dirá al usuario que finalizar el proceso provocará un bloqueo del sistema y le preguntará al usuario si desea continuar.
La finalización de csrss.exe conduce a BSOD (pantalla azul de la muerte) y reinicio de emergencia de Windows . El ejecutable csrss.exe se almacena en el archivo %SYSTEMROOT%\system32.
El proceso está involucrado en:
CSRSS se ejecuta como un servicio del sistema en modo usuario. Cuando un proceso en modo de usuario llama a una función que involucra ventanas de consola, creación de procesos/subprocesos o soporte en paralelo, las bibliotecas Win32 (kernel32.dll, user32.dll, gdi32.dll), en lugar de solicitar una llamada al sistema, acceda al proceso CSRSS mediante una llamada entre procesos (LPC como llamada de procedimiento local), y CSRSS hace la mayor parte del trabajo real, sin poner en peligro (comprometer) el núcleo [1] . Sin embargo, las llamadas al administrador de ventanas y los servicios GDI son manejadas por controladores en modo kernel (win32k.sys) [2] .
La serie de versiones de Windows NT 3.x albergaba un componente GDI (interfaz de dispositivo gráfico) dentro de CSRSS, pero GDI se movió al modo kernel en Windows NT 4.0 para mejorar el rendimiento de visualización de gráficos [3] . El proceso de inicio de Windows ha cambiado significativamente desde Vista. Hay 2 instancias de csrss.exe [4] ejecutándose en Windows Vista y 7 .
Se sabe que los virus, spyware y troyanos infectan o se hacen pasar por este proceso. Al menos el siguiente malware hace esto:
Muchos virus usan el nombre de la aplicación para disfrazarse y no despertar sospechas en el usuario, especialmente considerando que se crea una instancia de proceso separada para cada sesión de terminal, por lo que en las máquinas del servidor su número puede llegar a varias docenas. El archivo original se almacena solo en la carpeta %SYSTEMROOT%\system32y su sustitución es casi imposible en una computadora con un sistema operativo.
Este programa es un componente crítico del sistema responsable de llamar a las funciones del subsistema Win32. Al finalizar, el sistema saldrá con una pantalla azul de muerte con el código CRITICAL_PROCESS_DIED. Antes de Windows 8, la pantalla azul mostraba el código 0x000000F4 y el mensaje:
Un proceso o subproceso crucial para el funcionamiento del sistema se cerró o finalizó inesperadamente.