Windows 開機過程與架構

這篇文章主要說明 Windows 開機時，會啟動相關服務與基本架構。

Windows 系統程序的主要特性。

最後介紹一個工具 Autoruns 可以用來觀察 Windows 開機會啟動的所有相關程序與服務。

資料來源：http://forum.sysinternals.com/

Windows 架構

1. Session Manager (SMSS.exe )

smss.exe 是第一個 user mode 的process。

這個process 會負責啟動 csrss.exe 與 winlogon.exe

2. csrss.exe 負責 win32 相關的 process 與載入所需要的 DLL

3. winlogon.exe 這個就是常見的登入畫面，同時會啟動相關的服務 services.exe 與 lsass.exe 。其中，

4. svchost.exe: 負責啟動系統服務

5. Userinit.exe 負責啟動 explorer.exe. 也就是 Windows 桌面

6. Internat.exe 輸入法

要知道什麼是異常，必須先區分哪些是正常，這列這張表列出相關系統 process 的屬性，例如：

# of instance: 特別注意的是某些 process 在系統中只有一個。如果有多個就算是異常。
Image Path: 多半的系統 process 都在 %systemroot%\system32\ 。如果有出現在 C:\windows 那也算是異常
User Account: 多半的系統 process 會透過 “Local System”執行。相反的，如果 user account 為，使用者名稱的話，也是異常的一種。
Parent Process: 系統的 process 呼叫與起動都有一定的方式。如果 Parent process 非表列所述，那麼該 process 也是異常。

這些狀況下，都有可能是潛在病毒，透過與系統process 相同的名稱，隱藏執行在電腦中。

	Image Path	Parent Process	# of Instance	User Acount
Smss.exe	%systemroot%\system32\	System	One or more	Local System
Wininit.exe	%systemroot%\system32\	Smss.exe	One	Local System
Taskhost.exe	%systemroot%\system32\	services.exe	One or more	userOr local service accounts
Lsass.exe	%systemroot%\system32\	wininit.exe	One	Local System
Winlogon.exe	%systemroot%\system32\	Smss.exe	One or more	Local System
Iexplore.exe	Program Files (x86)\Internet Explore	Explorer.exe	One or more	Logon user
Explorer.exe	%systemroot%\	userinit.exe	One per logged-on user	Logon user
Lsm.exe	%SystemRoot%\System32	wininit.exe	One	Local System
Svchost.exe	%SystemRoot%\System32\	Services.exe	5+	Local Service accounts
Services.exe	%SystemRoot%\System32	wininit.exe	One	Local System
Csrss.exe	%SystemRoot%\System32	smss.exe	2+	Local System

那麼要如何檢查Windows 開機時會執行那些程序呢?

這邊介紹一個工具 Autoruns，只要執行這個工具，它會把電腦所有的服務、程式、排程工作等，全部都列出來。