系统启动过程

计算机系统启动过程：

1、当你按下开机键时，最早是由主板BIOS芯片中的BiOS程序来执行硬件检测任务，如果检查过

程中发现关键硬件的故障，就会发出特定的响声通知用户，并停止启动。BIOS程序是哪里来的呢

？这是主板出厂时固化在芯片中的一段程序。
2、当硬件没有发现问题时，BIOS程序就会读入硬盘的主引导记录，将下面的任务交给主引导记

录代码去完成。而主引导记录又是从哪里来的呢？这是在安装操作系统时对硬盘进行格式化操作

时，写到硬盘中的。如果找不到主引导记录，会出错停止，告诉你这是非法的系统启动盘。
3、主引导记录代码的工作时读入磁盘主分区的根目录，在里面读出Ntldr文件,并装入内存，然

后将控制权交给他。注意看一下，你的硬盘根目录下是不是有一个Ntldr文件？这个文件的属性

是隐藏、系统，所以查看是你要查看所有，且不隐藏被保护的系统文件才可看到。这个文件是从

哪里来的呢？当然是安装系统时拷贝到硬盘上的，下面提到的文件都是安装系统文件时拷上去的

。如股票，没有找到Ntldr文件，则会停止启动，显示ntldr没有找到的错误信息。
4、ntldr又做了什么呢？他会将系统由原来的16位实模式()切换到32位保护模式或64位长模式。

他的工作是读取根目录下的Boot.ini文件，显然是引导菜单，再多操作系统的计算机中，可以看

到这个菜单。接着它会清屏，并在Win2000下显示一个黑白的进度条，它在XP下显示XP的标志图

同时显示下面不断滚动的蓝色进度条，提示它正在加载一些重要的文件。它加载什么了？首先它

会加载Ntoskrnl.exe、had.dll，如果这两个文件找不到或出错停机，并显示找不到相应文件的

信息。接着它读入注册表的SYSTEM键文件，从中找出自启动的各类驱动程序，这是很关键的，因

为有些内核级的木马就是在这时启动的。加载每一个屏幕上的进度条就滚动一下子。中间如果某

个驱动出问题，也可能导致系统蓝屏崩溃。
5、接下来的工作有Ntoskrnl.exe(或Ntkrnlpa.exe)来进行，这是内核程序，他做的工作实在是

太多了，这里不再细说。他最后的一步工作就是创建会话管理子系统，也就是我们上面说过的，

由System进程创建的Smss.exe进程。
6、Smss.exe进程负责创建用户模式环境，由用户模式环境向Windows提供课时的窗口界面。它会

运行BootExecute中定义的程序，正常情况下是Autochk，一个检查磁盘的程序。但有些杀毒软件

会把自己的程序加到这里，来实现引导是杀毒，如果你的系统安装了江民类的杀毒软件，那么此

时就会执行它的引导期的杀毒程序，就是进入系统前出现的蓝底蓝字的病毒扫描窗口。
  Smss.exe还会执行SessionManager中的文件删除、移动操作，也就是调用API：MoveFileEx并

选择重启后移除文件，就是在这个环节执行的。当前还有很多号称可以删除一切文件的安全工具

都是用了MoveFileEx来实现文件的删除，但是现在我们知道了，它的文件删除是在这个阶段执行

的，而这时驱动程序已经加载了，所以就用他们来清除驱动级的木马显然是不能胜任的。
  创建附加的页面文件。
  加载Win32k.sys,这个东西又用来做什么呢？这是内核模式的系统驱动程序，它负责了窗口的

显示屏幕的输入、鼠标键盘和其它设备的输入及消息的传递等。所以也是由Win32K.sys将显示器

的分辨率设置为默认值，也就是在这个时候，咱们的计算机屏幕才真正的细致起来，在此之前都

是VGA模式，当然了视频上面装在驱动程序时就已经加载了的，现在只是起到作用了而已。
  再然后呢，也就是启动我们上面说的两个进程了。就是Csrss.exe与Winlogon.exe进程。
  启动完这两个进程后，Smss.exe就进入无限的等待，它在等待什么呢？它在等创建的

Csrss.exe与Winlogon.exe，等着看着两个进程什么时间死掉，一旦他们中有死掉的，Smss.exe

马上罢工，让系统彻底崩溃。(在XP以后Csrss的死亡是由内核使系统崩溃的，而不是Smss.exe)

，所以千万不要结束系统进程。
  Csrss.exe是做什么的呢？它负责的工作时创建或删除进程、线程，控制台与虚拟DOS机的支持

等。它到此就开始工作了，不再参与后面的启动过程。但是Winlogon.exe还有很多工作要做呢，

下面是后面的启动过程。
7、Winlogon.exe是用来做什么的呢？看它的名字应该看出来大概了吧。是的，它是与登录有关

的，但现在还不到显示登录窗口的时候，它先要启动Service.exe及Lsass.exe进程，然后读入注

册表GinaDLL中标明的DLL，由这个DLL文件来显示一个登录对话，也就是我们在进入系统时输入

的用户名与口令的窗口。为什么先启动Lsass.exe呢？因为，这是本地安全认证子系统，负责的

就是本机系统的安全，用户名与口令的验证工作是由它来完成的。
  还有一个我们上面提到过的进程也是这个时候由Winlogon.exe来启动的，是哪一个呢？就是那

个Userinit.exe ,这是用户登录系统后，Winlogon.exe启动此进程来进行用户初始化。你也可以

自己加一个程序与Userinit.exe放在一起，那么，在这个时候Winlogon.exe会将哪一位置上的所

有程序都启动起来。
  当然了，相信你也想到了，这个还有那个GinaDLL也就成了木马启动的一个可选位置。
8、最后、由Winlogon.exe启动的Service.exe开始加载标明为自启动的各个服务，及标明为手动

的却是有必要加载的服务()。
9、而Userinit.exe呢，它是在完成用户的初始化后，就启动了Explorer.exe,并功成身退。
10、最后，Explorer.exe就成了我们的服务员，等在那里静候我们的命令，系统启动完成。