Ну что за привычка, остальную часть не показывать
Обратили бы хоть внимание на саму процедуру ntdll.dll!RtlRegisterThreadWithCsrss
Thread - нить (потоки)
With - c
Csrss
Цитата:
Client/Server Runtime Subsystem (csrss.exe)
CSRSS — сокращённо от Client-Server Runtime Subsystem, является критическим процессом операционной системы Windows. Одноимённый исполняемый файл хранится в системной директории в папке system32.
Файл отвечает за работу:
терминальных служб,
служб удалённого доступа к рабочему столу,
консольных приложений,
а также является менеджером потоков в операционной системе.
По умолчанию его завершение в Диспетчере задач запрещено. Завершение csrss.exe каким-либо другим способом ведёт к аварийной перезагрузке Windows.
Множество вирусов использует данное имя приложения, чтобы не вызвать подозрения у пользователя, тем более что для каждого терминального доступа создаётся отдельный экземпляр файла, поэтому на серверных машинах их количество может доходить до нескольких десятков. Оригинальный файл хранится только в папке system32, а его подмена практически невозможна на компьютере с одной ОС.
|
