Windows 開機過程與架構
這篇文章主要說明 Windows 開機時,會啟動相關服務與基本架構。
Windows 系統程序的主要特性。
最後介紹一個工具 Autoruns 可以用來觀察 Windows 開機會啟動的所有相關程序與服務。
資料來源:http://forum.sysinternals.com/
Windows 架構
開機過程
1. Session Manager (SMSS.exe )
smss.exe 是第一個 user mode 的process。
這個process 會負責啟動 csrss.exe 與 winlogon.exe
2. csrss.exe 負責 win32 相關的 process 與載入所需要的 DLL
3. winlogon.exe 這個就是常見的登入畫面,同時會啟動相關的服務 services.exe 與 lsass.exe 。其中,
- lsass.exe 負責密碼驗證、與AD 密碼加解密認證過程。
- services.exe 負責啟動/停止相關服務
4. svchost.exe: 負責啟動系統服務
5. Userinit.exe 負責啟動 explorer.exe. 也就是 Windows 桌面
6. Internat.exe 輸入法
Windows系統Process
要知道什麼是異常,必須先區分哪些是正常,這列這張表列出相關系統 process 的屬性,例如:
- # of instance: 特別注意的是某些 process 在系統中只有一個。如果有多個就算是異常。
- Image Path: 多半的系統 process 都在 %systemroot%\system32\ 。如果有出現在 C:\windows 那也算是異常
- User Account: 多半的系統 process 會透過 “Local System”執行。相反的,如果 user account 為,使用者名稱的話,也是異常的一種。
- Parent Process: 系統的 process 呼叫與起動都有一定的方式。如果 Parent process 非表列所述,那麼該 process 也是異常。
這些狀況下,都有可能是潛在病毒,透過與系統process 相同的名稱,隱藏執行在電腦中。
Image Path | Parent Process | # of Instance | User Acount | |
Smss.exe | %systemroot%\system32\ | System | One or more | Local System |
Wininit.exe | %systemroot%\system32\ | Smss.exe | One | Local System |
Taskhost.exe | %systemroot%\system32\ | services.exe | One or more | userOr local service accounts |
Lsass.exe | %systemroot%\system32\ | wininit.exe | One | Local System |
Winlogon.exe | %systemroot%\system32\ | Smss.exe | One or more | Local System |
Iexplore.exe | Program Files (x86)\Internet Explore | Explorer.exe | One or more | Logon user |
Explorer.exe | %systemroot%\ | userinit.exe | One per logged-on user | Logon user |
Lsm.exe | %SystemRoot%\System32 | wininit.exe | One | Local System |
Svchost.exe | %SystemRoot%\System32\ | Services.exe | 5+ | Local Service accounts |
Services.exe | %SystemRoot%\System32 | wininit.exe | One | Local System |
Csrss.exe | %SystemRoot%\System32 | smss.exe | 2+ | Local System |
Autoruns
那麼要如何檢查Windows 開機時會執行那些程序呢?
這邊介紹一個工具 Autoruns,只要執行這個工具,它會把電腦所有的服務、程式、排程工作等,全部都列出來。
https://technet.microsoft.com/en-us/sysinternals/bb963902.aspx