csrss.exe (sous-système d’exécution client/serveur) est le processus en mode utilisateur du sous-système Windows. Ses fonctions comprennent la gestion des processus et des threads, l’importation d’un grand nombre de DLL qui fournissent l’API Windows, et la facilitation de la fermeture de l’interface graphique lors de l’arrêt du système.
Localisation
%SYSTEMROOT%\System32\csrss.exe
DFIR
Processus Parent : créé par une instance de smss.exe qui se termine, donc les outils ne fournissent généralement pas le nom du processus parent.
Utilisateur / Compte : Local System
Nombre d’instance : 2 ou plus
Lancement : lors de la création d’une session
Remarques
- Une instance de csrss.exe est exécutée pour chaque session. La session 0 est destinée aux services et la session 1 pour la session de la console locale. Des sessions supplémentaires sont créées par l’utilisation de Remote Desktop et/ou de Fast User Switching. Chaque nouvelle session entraîne une nouvelle instance de csrss.exe.