csrss.exe: Что это за процесс и является ли он вирусом в Windows?
Если вы откроете диспетчер задач Windows, вы можете увидеть процесс csrss.exe или даже несколько. Это файл процесса исполнения клиент-сервер, и является частью операционной системы Windows, расположенный в папке System32. Так что же это за csrss.exe? Как узнать, вирус это или нет? Почему он время от времени потребляет высокую загрузку процессора в Windows 10/8/7?
Что такое csrss.exe или процесс исполнения клиент-сервер
Процесс выполнения Client Server имеет долгую историю. До 1996 года процесс управлял всей графической подсистемой, в то время как в настоящее время он ограничен несколькими критическими процессами, такими как выключение Windows и запуск консоли Windows. CSRSS обозначает клиент-серверную подсистему времени выполнения, и она должна работать постоянно. Ранее, во время выполнения клиентского сервера использовалась командная строка, однако с момента запуска Windows 7 функция этого процесса ограничивается запуском процесса conhost.exe, который в свою очередь вызывает командную строку.
Можно ли завершить процесс csrss.exe?
Является ли csrss.exe вирусом?
Исходный процесс csrss.exe находится в каталоге C:\Windows\System32. Если файл не находится в предполагаемом месте, возможно это вирус или вредоносное ПО, которые используют одно и то же имя. Сделать это можно нажав правой кнопкой мыши в диспетчере задач на «Процесс исполнения клиент-сервер» и выбрать пункт «открыть месторасположение файла«. Может быть несколько таких процессов и все они должны находиться в одном месте. Следует отметить, что если процесс csrss.exe вызывает высокую загрузку ЦП, это может быть вирус. Если описание процесса не соответствует ниже данным, то следуем уделить внимания этому моменту. Детали csrss.exe следующие:
Руководство по удалению Csrss.exe trojan
Что такое Csrss.exe троян
Csrss.exe троян — вредоносная кибер-угроза, которая может украсть финансовую информацию и личные данные пользователей
Csrss.exe троян — это вредоносный троянский конь, предназначенный для выполнения многочисленных вредоносных действий на компьютере пользователя. Имейте в виду, что существует полностью ЗАКОННЫЙ Microsoft процесс под таким же именем — csrss.exe. Он предназначен для управления наборами графических команд под ОС Windows. Таким образом, пользователям рекомендуется проверить этот исполняемый файл, просканировав систему надежным средством безопасности, чтобы убедиться, что он не заражен троянским конем, использующим имя законного системного процесса. В противном случае Csrss.exe троян может отслеживать вашу активность в интернете и получать ваши финансовые данные.
Большинство пользователей не знают об опасностях, которые могут быть вызваны Csrss.exe трояном. После проникновения в систему без какого-либо одобрения она скрывается в фоновом режиме и выполняет многочисленные действия, которые считаются крайне вредоносными. По мнению экспертов ПК, инфекция может поставить под угрозу безопасность вашего компьютера, выполнив следующие действия:
Идентификация вредоносного Csrss.exe трояна в системе
Эксперты предупреждают наших пользователей о том, что законный Microsoft файл должен находиться в каталоге C:\Windows\System32/. Если вы обнаружите, что процесс работает под тем же именем, но в другом месте, выполните полное сканирование системы с помощью надежного антивирусного инструмента для проверки наличия вредоносного ПО.
Очевидно, что если вы не можете идентифицировать Csrss.exe вирус, существует вероятность того, что ваши учетные данные и другие конфиденциальные данные могли попасть злоумышленникам. Следовательно, вы можете столкнуться с огромными финансовыми потерями или даже постоянной кражей личных данных.
Кроме того, из-за наличия Csrss.exe трояна вы можете заметить что ваш компьютер действует странно и вяло. Причина этого — способность вредоносного ПО использовать ресурсы компьютера для майнинга цифровой валюты, включая Bitcoin, Monero, ZCash и т.д. Иными словами, система может быть вынуждена работать при высоких температурах в течение долгого периода времени. Это может привести к сбоям системы, увеличению задержек и зависанию.
Поэтому мы настоятельно рекомендуем вам проверить свой компьютер на наличие этого трояна и выполнить удаление Csrss.exe, если это необходимо. Имейте в виду, что этот тип вредоносной программы в основном запрограммирован на то, чтобы скрываться глубоко внутри системы и размещать свои компоненты по всей ОС.
Вы также не должны пытаться удалить Csrss.exe трояна вручную. Люди, которые уже пытались остановить этот процесс в своем диспетчере задач, сообщили об этом сообщении об ошибке:
You don’t have the permission from TrustedInstaller to make changes in the file.
Способы предотвращения троянов на системе
Основным способом проникновения вредоносных программ в вашу систему являются ненадежные веб-сайты, которые предлагают установить подозрительное программное обеспечение. Как правило, трудно определить, является ли приложение законным, и люди устанавливают ненужные программы без тщательной проверки.
Преступники загружают троянских коней, замаскированных под невинное ПО, на сайты обмена файлами на одноранговой сети (P2P) и извлекают выгоду из новичков, которые попадают в их ловушку. Поэтому, необходимо загружать и устанавливать приложения только с авторизованных веб-сайтов.
Кроме того, некоторые онлайн-объявления и гиперссылки предназначены для запуска фальшивых скриптов, которые автоматически устанавливают вредоносные программы. Таким образом, никогда не нажимайте на какой-либо коммерческий онлайн-контент и всегда используйте профессиональное программное обеспечение для защиты от вредоносного ПО.
Сsrss.exe грузит Windows 7: за что отвечает этот и другие процессы
Если у пользователя нет опыта управления процессами на компьютере, скорее всего, он самостоятельно не сможет понять, что за процесс csrss. exe, и ему лучше всего разрешить системному сканеру осуществить проверку реестра. Процесс сложный и важный, и к тому же он необходим для выполнения определённых операций на компьютере, поэтому простое удаление его приведёт к сбою или перезагрузке компьютера.
Процесс выполнения клиентского сервера
Программа csrss. exe не вредоносная и является важной частью операционной системы. До Windows NT 4.0, выпущенного в 1996 году, он отвечал за всю графику, плюс управление окнами и другие службы.
В Windows NT 4.0 функции процесса Runtime Process Server были размещены в ядре Виндовс. Runtime вызывает окна консоли (Command Prompt) и несёт ответственность за запуск процесса conhost. exe, как и аналогичные системные функции, работающие в фоновом режиме: iastordatamgrsvc, mbbservice, nvstreamsvc, passthrusvr, famitrfc, dwengine. Пользователь не может остановить многие из них, поскольку они являются важной частью ОС. К тому же они используют мало ресурсов при выполнении своих функций.
Даже если пользователь в диспетчере задач и попытается завершить процесс выполнения клиентского сервера, Windows оповестит, что компьютер будет выключен. И если кликнуть это предупреждение, то появится сообщение «Отказано в доступе», поскольку он относится к защищённым процессам, которые нельзя остановить. Если при запуске системный csrss. exe не будет запущен, пользователь увидит синий экраном с кодом ошибки 0xC000021A.
Этот процесс или даже нескольких с таким именем не критичны для ОС. Если у пользователя возникает недоумение, почему csrss. exe грузит процессор, значит, пришло время проверить ПК на возможное заражение. Допустимые файлы должны находиться в каталоге C:\Windows\system32. Чтобы убедиться, что это процесс выполнения клиентского сервера, нажимают мышью в диспетчере задач и выбирают «Открыть расположение файла».
Проводник откроет каталог C:\Windows\System32, и если файл в этой директории, то он не является вирусом, это системный файл, а удаление его вызовет сбой ПК. На каждой машине работает процесс выполнения клиентского сервера, и это нормально.
Но если файл находится в любом другом каталоге, тогда это повод обеспокоиться, из-за чего служба платформы защиты программного обеспечения грузит процессор. Вредоносные процессы маскируют себя под него, чтобы избежать подозрений у пользователей. Если он видит такой файл во внесистемной папке, то лучше запустить проверку системы с помощью антивируса и убрать его. Для этого выполняют следующие шаги:
В том случае, когда сканер обнаружил вирусы, то лучше удалить файл из системы. Рекомендуется также отправить его на https://www.virustotal.com/en/ для сканирования несколькими антивирусными ядрами. Аналогичные действия можно выполнить, чтобы лечить другие проблемные программы с именами: itype, heciserver, w3wp, cmdagent, ssckbdhk, cavwp, ccc, system, kss, crss, networklicenseserver, sppsvc, atiesrxx, ntvdm.
Инфекция вредоносного ПО
Csrss.exe могут устанавливаться самостоятельно, копируя исполняемый файл в системные папки Windows, а затем изменяют реестр для его автозапуска при каждом включении системы. Если компьютер с вирусом csrss. exe, он связывается с удалённым хостом для следующих целей:
Он исправляет следующий подраздел: HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run. Чтобы удалить поддельный файл, используют программы:
RKill — программа, прекращающая все вредоносные процессы, связанные с заражением. Однако утилита только останавливает и не удаляет файлы, поэтому после запуска нужно перезагрузить компьютер. Malwarebytes — это мощный сканер по требованию, который удаляет рекламное ПО, ответственное за вирус. Важно отметить, что Malwarebytes работает вместе с антивирусным ПО без конфликтов.
При работе появляется всплывающее окно управления учётными записями пользователей, дающих разрешение внести изменения в устройство. Антивирус автоматически запустится, обновит свою базу и будет помещать в карантин все вредоносные файлы и ключи реестра, которые нашёл.
Служба локальной безопасности lsass. exe
Иногда пользователи замечают, что lsass. exe грузит процессор Windows 7. В Microsoft файл lsass. exe находится в каталоге C:\Windows\system32 или C:\ Winnt\system32 и является службой подсистемы локальной безопасности. Это важный компонент Microsoft, аутентификация доверенного домена и управление Active Directory на компьютере. Файл lsass. exe, входящий в состав w32, не является шпионским ПО, трояном или вирусом.
Однако, как и любой файл на ПК, он может быть повреждён вредоносной программой. Антивирусные программы помогут обнаружить и вылечить его. Пользователи не должны удалять приложение, если они считают его заражённым — это работа для антивирусной программы. Файл первоначально действительно имел уязвимость безопасности, но обновление во всех последних Windows решили эту проблему. Тем не менее пользователь действительно может встретить в диспетчере задач вредоносные процессы с именами: isass. exe или Isassa. exe, lsassa. exe и lsasss. exe.
Если пользователь обнаруживает какой-либо из них, то ПК поражён червём Sasser. Иногда компьютер постоянно перезагружается из-за файла lsass. exe и выдаёт ошибку при смене пароля. Для устранения сбоя выполняют следующую инструкцию:
Сервисная платформа Microsoft sppsvc. exe
Относится к операционной системе Виндовс и является одной из составных частей её. Эта услуга предназначена для предотвращения пиратства и защиты от несанкционированного доступа к программному обеспечению, что облегчает процесс лицензирования. По словам Microsoft, служба ведёт себя как вирус или хакинг, хотя это исполняемый файл, и он не может инициировать проблемы, связанные с загруженностью ПК.
Многие пользователи обнаруживают, что процессор часто достигает нагрузки в 35% или более, поэтому ПК «зависает». Это происходит из-за наличия вирусной инфекции. Оригинальный файл sppsvc. exe выпущен Microsoft и имеет не более 2% опасного уровня, поэтому не связан с вредоносными действиями. Тем не менее его имя часто используется хакерами, маскирующими под этот файл вирусы.
Если в диспетчере задач Windows несколько процессов sppsvc. exe, это означает, что система заражена вредоносной программой. Поэтому, если имеется повышенная загрузка процессора, рекомендуется запустить полное сканирование системы с помощью мощного антивирусного ПО, например, Reimage.
Отсутствие обновлений Windows. Устаревшие драйверы и программное обеспечение приводят к множеству ошибок, поэтому нужно установить все доступные обновления. Использование sppsvc. exe отличается от других процессов. Это происходит в двух случаях: подлинной версии Windows и в копии, активированной сторонними приложениями (KMS и так далее). Если у пользователя нет официальной версии, KMS будет работать в фоновом режиме и конфликтовать с sppsvc, который является механизмом аутентификации, присутствующим в Windows.
Сведения о файле Cppredistx86. exe
Анализируя структуру диспетчера задач, пользователи хотят знать, что за процесс cppredistx86. exe. Он известен как Generic Host Process для Win32 Services, относится к программному обеспечению New Drivers LTC, неважен для Виндовс и вызывает проблемы. Файл cppredistx86. exe находится в папке профиля пользователя и не является системным. Известны следующие его размеры для Windows 10/8/7/XP — 430 592 байта. Полная информация о нём отсутствует.
Программное обеспечение запускается при запуске системы. Влияет на управление клавиатуры и мыши. Если cppredistx86. exe находится в папках C:\Program Files, тогда надёжность 89%. Размер — 428 032 байта. Он также без информации о разработчике и не является системным для ядра Windows. Есть 2 метода удаления:
Автоматический осуществляется через программу UnHackMe, которая обнаруживает не только эту угрозу, но и все остальные. Работает быстро, нужно всего 5 минут, чтобы проверить компьютер. Применяет специальные функции для устранения сложных вирусов. Если пользователь будет удалять его вручную, то может заблокировать и воссоздать его заново, но уже скрытым модулем. UnHackMe небольшая утилита и совместима с любым антивирусом, к тому же полностью бесплатная в течение 30 дней. Автоматическое удаление вируса:
Псевдопрограммное обеспечение avpui. exe
Перед тем как определить, что за процесс avpui. exe и как он влияет на ПС — немного теории. Avpui ещё одна разновидность файла exe, имеющая связь с Kaspersky Anti-Virus, который разработан для ОС Windows. Последняя модификация A для седьмой версии имеет хороший рейтинг популярности.
Файлы иногда используются в качестве способа вирусного заражения ПО, которые маскируются под важные программы exe и передаются через почтовый спам или вредоносные вебсайты, а затем поражают компьютер, когда будут распакованы. Список шагов по устранению неполадок:
Удалённое управление tv_w32.exe
Вспомогательный процесс для оптимизации производительности TeamViewer и QuickConnect выполняет много задач для удалённого доступа, совместного использования компьютеров, онлайн-встреч, веб-конференциий и передач файлов между ПК. Хотя основной функцией приложения является дистанционное управление, включены функции совместной работы и презентации.
TeamViewer устанавливается с процедурой установки и будет контролировать компьютеры удалённо через интернет. С модулем QuickSupport клиент-сервер готов к подключению через несколько секунд без необходимости установки какого-либо программного обеспечения. Проблемы с tv_w32.exe можно отнести к повреждённым или отсутствующим файлам, неправильным записям реестра, связанным с tv_w32.exe, или к заражению вирусом и вредоносным ПО.
Сбой аппаратного обеспечения Rmngr. exe
Поскольку файл связан с USB-соединениями компьютера, клавиатурой, мышью или другим аппаратным обеспечением, подключённого к ПК через USB-кабель, он вызывает ошибку или не работает должным образом из-за просчёта системы. Общие сообщения, которые могут видеть пользователи, включают:
Когда появятся аналогичные ошибки (asgt, ipoint, ssmmgr, vssvc, smss, dwrcst, acs, jucheck, ntoskrnl, crcss) нужно проверить, добавлено ли какое-либо оборудование или программа. Если это так, простое удаление решает проблему, в противном случае — нужно выполнить следующие действия:
Если приведённые шаги не смогут решить проблему, это, возможно, связано с устаревшим оборудованием или программным обеспечением. Как совершенно очевидно, системные приложения не потребляют много памяти, запускаются в фоновом режиме и безопасны.
Когда пользователь загружает новую версию системного файла через обновление приложения или непосредственно от издателя, нужно быть осторожным, поскольку они могут содержать дополнительное программное обеспечение или вирусы, что вызовет больше проблем, чем позитив от загрузки этого файла.
Originally posted 2018-05-26 18:56:31.
Csrss.exe: что это за процесс в Windows 7, 10, 11
Замедление работы системы часто вызвано тем, что один из запущенных процессов создает высокую нагрузку на процессор, оперативную память или видеокарту. В некоторых случаях такие проблемы может вызывать процесс «csrss.exe», безвредный компонент Windows, который чаще всего полностью безопасен.
В этой статье мы расскажем, что это за процесс «csrss.exe» в Windows 7, Windows 10 и Windows 11, а также является ли он вирусом и можно ли его удалить.
Что такое csrss.exe в Диспетчере задач
Процесс « csrss.exe » присутствует во всех операционных системах Windows, начиная с Windows 2000 и заканчивая Windows 7, Windows 10 и Windows 11. Поскольку данный процесс необходим для работы операционной системы, он является защищенным и в большинстве случаев его нельзя завершить через Диспетчер задач, даже имея права администратора. В случае остановки данного процесса компьютер немедленно завершит работу с показом синего экрана смерти и кодом CRITICAL_PROCESS_DIED.
Csrss.exe это вирус?
Процесс «csrss.exe» — это важный компонент операционной системы Windows, который не несет никакой опасности. Но, как и любой другой файл, в некоторых случаях он может быть заражен вирусами. Если у вас есть подозрения, что данный файл мог быть заражен, то проще всего будет установить антивирус и выполнить проверку. Антивирус сможет определить наличие вируса и выполнить очистку системы.
Также многие вирусы используют имя «csrss.exe» для скрытия собственного присутствия в системе. Например, под «csrss.exe» могут маскироваться следующие вредоносные программы:
Для того чтобы отличить оригинальный процесс CSRSS от вредоносной программы с таким же именем нужно проверить папку расположения файла «csrss.exe». Для этого нужно открыть Диспетчер задач ( Ctrl-Shift-Esc ), перейти на вкладку « Подробности » и открыть свойства процесса.
Оригинальный файл всегда находится только в каталоге « C:\Windows\System32 ». Если файл расположен в папке « C:\Windows\ » или в какой-либо другой, то это вирус и его нужно удалить.
Также в свойствах процесса можно проверить цифровую подпись файла. Оригинальный процесс « csrss.exe » должен иметь подпись Microsoft Windows Publisher.
Данные проверки нужно выполнить для всех процессов «csrss.exe», которые отображаются в Диспетчере задач.
Csrss.exe грузит видеокарту или процессор
Если процесс «csrss.exe» грузит видеокарту или процессор, то это сигнал чтобы проверить расположение файла, так как это описано выше, а также выполнить проверку компьютера с помощью антивируса. Особенно, если нагрузка идет на видеокарту, вполне возможно, что компьютер был заражен вирусом-майнером.
Но, нагрузка на процессор со стороны «csrss.exe» не всегда означает заражение вирусами. Например, «csrss.exe» может создавать нагрузку при открытии контекстного меню (правый клик мышкой). Согласно информации на сайте Microsoft, эта проблема может появляться при повреждении профиля пользователя. Для решения этой проблемы нужно создать нового пользователя, перенести все данные и удалить старый профиль.
Также нагрузка на процессор может появляться с случае каких-либо проблем с файлом гибернации (hiberfil.sys). Например, такая проблема может возникнуть при включении сжатия для этого файла. В этом случае для решения проблемы достаточно отключить сжатие.
Если процесс «csrss.exe» начал нагружать процессор после обновления Windows, то проблема может быть вызвана драйверами. Для решения этой проблемы попробуйте обновить драйверы для ноутбука или материнской платы компьютера.
Как удалить Csrss.exe
Как уже было сказано, оригинальный файл «csrss.exe» всегда находится в папке « C:\Windows\System32 ». Поэтому, если вы обнаружили, что процесс находится в другой папке, например, в « C:\Windows\ », то скорее всего это вирус и его нужно удалить.
Для этого откройте Диспетчер задач, перейдите на вкладку « Подробности », кликните по процессу и выберите « Открыть расположение файла ».
В результате откроется папка, в которой находится файл « csrss.exe », если это не « C:\Windows\System32 », то файл можно удалять. Перед удалением можно попробовать остановить вирус, выбрав пункт « Снять задачу » или « Остановить дерево процессов ». Если вирус не удаляется, то можно попробовать из безопасного режима или загрузочного диска.
Создатель сайта comp-security.net, автор более 2000 статей о ремонте компьютеров, работе с программами, настройке операционных систем.
Задайте вопрос в комментариях под статьей или на странице «Задать вопрос» и вы обязательно получите ответ.
Получение подлинного Windows Subsystem(csrss.exe) процесса
В этой статье я покажу вам, как найти подлинный процесс подсистемы Windows, это полезно, например, когда вы пытаетесь получить список активных процессов (заметьте, только процессы, которые работают в подсистеме Windows могут быть найдены таким образом, а кроме подсистемы Windows есть еще подсистемы POSIX и OS/2, которые уже, можно сказать, уже и не поддерживаются), перечисляя структуры CSR_PROCESS, список которых находится в процессе CSRSS. Самый простой способ нахождения процесса CSRSS это исспользование PsActiveProcessHead (это указатель на вершину двусвязного списка, который можно найти в любой структуре EPROCESS) и поиск первого процесса под названием «csrss.exe», ну, потому что эта функция используется в основном в IPD / Anti-Rootkit модулях, то этот алгоритм является ненадежным (на самом деле он ненадежен в любой ситуации). Например руткит может изменить (с помощью DKOM) список процессов и избежать обнаружения. Поэтому я хочу вам показать вариант получше.
Во время загрузки системы, после запуска процесса CSRSS, среди множества инициализационных задач, CSRSS также создает ALPC порт под названиемApiPort, с помощью которого CSRSS реализует свой API. Сразу после создания порта ApiPort, CSRSS создает поток CsrApiRequestThread который затем вызывает NtAlpcSendWaitReceivePort и передает ему хэндл порта в качестве параметра для осуществления ожидания на порте(ждет клиентов для коммуникации). 
После всех этих обсуждений, можно описать общие шаги выявления подлинного процесса CSRSS.
1.Каким-то образом получить объект ApiPort .
2.Получить процесс, который имеет открытый дескриптор к порту.
Как я уже упоминал, процедура ObOpenObjectByName не будет работать для портов сервера ALPC (стоит заметить, что все другие типы портов безымянны). Если попытаться использовать ObOpenObjectByName с портом сервера ALPC, вы получите код ошибки STATUS_NOT_IMPLEMENTED. Но на самом деле есть функция, которая может помочь нам: ObReferenceObjectByName эта функция не документирована, вот ее прототип:
Очевидно, что последний параметр получает адрес объекта.
Пример кода для получения объекта ApiPort :
Примечание!
LpcPortObjectType, LpcWaitablePortObjectType, AlpcPortObjectType — все они указывают на одну и ту же структуру OBJECT_TYPE, поэтому не имеет значения, какую из них использовать
Загаловоки объекта(OBJECT_HEADERS) состоят из «Дополнительных Заголовков Объекта»(Object Optional Headers) и «Общего Заголовка Объекта»(Object Header).Object Header находится сразу после дополнительных заголовков(Object Optional Headers).
1.Object Header представляется структурой _OBJECT_HEADER.
2.Дополнительные Заголовки Объекта представляются следующими структурами:
_OBJECT_HEADER_CREATOR_INFO,
_OBJECT_HEADER_NAME_INFO,
_OBJECT_HEADER_HANDLE_INFO,
_OBJECT_HEADER_QUOTA_INFO,
_OBJECT_HEADER_PROCESS_INFO.
Чтобы определить, какие дополнительные заголовки присутствуют, используется поле структуры _OBJECT_HEADER->InfoMask. В общем, InfoMask это битовая маска, где биты выявляют присутствие дополнительных заголовков.
0x1 _OBJECT_HEADER_CREATOR_INFO
0x2 _OBJECT_HEADER_NAME_INFO
0x4 _OBJECT_HEADER_HANDLE_INFO
0x8 _OBJECT_HEADER_QUOTA_INFO
0x10 _OBJECT_HEADER_PROCESS_INFO
InfoMask также используется для расчета смещения в массиве(не экспортируемом) ObpInfoMaskToOffset, который используется для получения смещения желаемого дополнительного заголовка относительно начала тела объекта.Код, который имитирует алгоритм вычисления смещения, выглядит следующим образом:
Кроме того, дополнительные заголовки расположены строго, как показано на рисунке.
Получается проблема в том, что ObpInfoMaskToOffset не экспортируется, это означает, что либо мы должны получить его с помощью Pattern-поиска или мы можем реализовать нашу собственную функцию для расчета смещения, основываясь на знаниях, которые у нас уже есть (есть еще 3 способ: реализовать наш собственный массив ObpInfoMaskToOffset).
Я выбрал второй способ.
Как вы можете видеть, я также реализовал GetObjectHeaderHandleInfo() это должно намекать на то, что нам нужна структура _OBJECT_HEADER_HANDLE_INFO которая имеет следующий вид:
Так вот финальная часть кода:
Всю эту возню с Object & Object Headers можно было обойти, просто используя поле ALPC_PORT->OwnerProcess, (указатель на ALPC_PORT мы получаем из ObReferenceObjectByName)просто к моменту написания статьи мне нужен был способ получение списка процессов имеющих открытые хэндлы на обьект и я даже не удосужился детально просмотреть структуру ALPC_PORT, тем не менее прошу не бить меня по почкам, т.к. считаю, что материал про Object & Object Headers все равно был полезен.
