Klient / Server Runtime Subsystém , CSRSS ) nebo csrss.exe, je součástí operačního systému Microsoft Windows NT a je součástí uživatelského režimu subsystému Win32. Zahrnuje Windows 2000, Windows XP, Windows 2003, Windows Vista, Windows Server 2008, Windows 7, Windows 8 (8.1) a Windows 10. Windows NT 4 a vyšší CSRSS je zodpovědný hlavně za ovládání konzole Win32 a grafické uživatelské rozhraní pro vypínání OS. Subsystém je kritický pro fungování operačního systému; proto ukončení tohoto procesu bude mít za následek selhání systému. Za normálních okolností nelze CSRSS ukončit pomocí příkazu Taskkill nebo pomocí Správce úloh systému Windows, i když je to možné se systémem Windows Vista, pokud je Správce úloh spuštěn v režimu správce. Počínaje Windows 7 správce úloh sdělí uživateli, že ukončení procesu bude mít za následek zhroucení systému, a vyzve uživatele, zda chce pokračovat.
Dokončení csrss.exe vede k BSOD (modrá obrazovka smrti) a nouzovému restartu Windows . Spustitelný soubor csrss.exe je uložen v souboru %SYSTEMROOT%\system32.
Proces se účastní:
CSRSS běží jako systémová služba v uživatelském režimu. Když proces v uživatelském režimu zavolá funkci zahrnující okna konzoly, vytvoření procesu/vlákna nebo souběžnou podporu, knihovny Win32 (kernel32.dll, user32.dll, gdi32.dll), namísto požadavku na systémové volání, přistupovat k procesu CSRSS pomocí volání mezi procesy (LPC jako Local Procedure Call) a CSRSS dělá většinu skutečné práce, aniž by ohrozil (kompromitoval) jádro [1] . Volání správce oken a GDI služeb však obsluhují ovladače v režimu jádra (win32k.sys) [2] .
Řada vydání Windows NT 3.x obsahovala součást GDI (Graphics Device Interface) uvnitř CSRSS, ale GDI bylo ve Windows NT 4.0 přesunuto do režimu jádra, aby se zlepšil výkon grafického zobrazení [3] . Proces spouštění systému Windows se od systému Vista výrazně změnil. Ve Windows Vista a 7 běží 2 instance csrss.exe [4] .
Je známo, že viry, spyware a trojské koně tento proces infikují nebo se maskují. Dělá to alespoň následující malware:
Mnoho virů používá název aplikace k maskování, aby v uživateli nevzbudilo podezření, zejména s ohledem na to, že pro každou terminálovou relaci je vytvořena samostatná instance procesu, takže na serverových strojích může jejich počet dosáhnout několika desítek. Původní soubor je uložen pouze ve složce %SYSTEMROOT%\system32a jeho nahrazení je na počítači s jedním operačním systémem téměř nemožné.
Tento program je kritickou součástí systému odpovědnou za volání funkcí subsystému Win32. Po dokončení se systém ukončí s modrou obrazovkou smrti s kódem CRITICAL_PROCESS_DIED. Před Windows 8 se na modré obrazovce zobrazoval kód 0x000000F4 a zpráva:
Proces nebo vlákno, které je klíčové pro fungování systému, se neočekávaně ukončilo nebo bylo ukončeno.