Subsistemul de rulare client/server ( CSRSS ) sau csrss.exe face parte din sistemul de operare Microsoft Windows NT și face parte din modul utilizator al subsistemului Win32 . Inclus cu Windows 2000, Windows XP, Windows 2003, Windows Vista, Windows Server 2008, Windows 7, Windows 8 (8.1) și Windows 10. Windows NT 4 și versiuni ulterioare CSRSS este responsabil în principal de gestionarea consolei Win32 și a GUI de închidere a sistemului de operare. Subsistemul este esențial pentru funcționarea sistemului de operare; prin urmare, încheierea acestui proces va duce la o defecțiune a sistemului. În circumstanțe normale, CSRSS nu poate fi terminat utilizând comanda Taskkill sau utilizând Managerul de activități Windows, deși acest lucru este posibil cu Windows Vista dacă Managerul de activități este rulat în modul Administrator. Începând cu Windows 7, managerul de activități îi va spune utilizatorului că încheierea procesului va duce la o prăbușire a sistemului și va cere utilizatorului dacă dorește să continue.
Finalizarea csrss.exe duce la BSOD (ecran albastru al morții) și la repornirea de urgență a Windows . Executabilul csrss.exe este stocat în fișierul %SYSTEMROOT%\system32.
Procesul este implicat în:
CSRSS rulează ca un serviciu de sistem în modul utilizator. Când un proces în modul utilizator apelează o funcție care implică ferestre de consolă, crearea de procese/file sau suport alăturat, bibliotecile Win32 (kernel32.dll, user32.dll, gdi32.dll), în loc să solicite un apel de sistem, accesează procesul CSRSS prin apel inter-proces (LPC, cum ar fi Local Procedure Call), iar CSRSS face cea mai mare parte a muncii reale, fără a pune în pericol (compromite) nucleul [1] . Cu toate acestea, apelurile către managerul de ferestre și serviciile GDI sunt gestionate de drivere în modul kernel (win32k.sys) [2] .
Seria de lansare Windows NT 3.x a găzduit o componentă GDI (Graphics Device Interface) în interiorul CSRSS, dar GDI a fost mutat în modul kernel în Windows NT 4.0 pentru a îmbunătăți performanța afișajului grafic [3] . Procesul de pornire Windows s-a schimbat semnificativ de la Vista. Există 2 cazuri de csrss.exe [4] care rulează pe Windows Vista și 7 .
Se știe că virușii, programele spyware și troienii infectează sau mascară drept acest proces. Cel puțin următorul malware face asta:
Mulți viruși folosesc numele aplicației pentru a se deghiza astfel încât să nu trezească suspiciuni în utilizator, mai ales având în vedere că se creează o instanță de proces separată pentru fiecare sesiune de terminal, astfel încât pe mașinile server numărul acestora poate ajunge la câteva zeci. Fișierul original este stocat doar în folderul %SYSTEMROOT%\system32, iar înlocuirea lui este aproape imposibilă pe un computer cu un singur sistem de operare.
Acest program este o componentă critică a sistemului responsabilă de apelarea funcțiilor subsistemului Win32. La finalizare, sistemul va ieși cu un ecran albastru al morții cu codul CRITICAL_PROCESS_DIED. Înainte de Windows 8, ecranul albastru afișa codul 0x000000F4 și mesajul:
Un proces sau un fir crucial pentru funcționarea sistemului a ieșit în mod neașteptat sau a fost încheiat.