Windows 開機過程與架構

Windows 開機過程與架構

這篇文章主要說明 Windows  開機時,會啟動相關服務與基本架構。

Windows 系統程序的主要特性。

最後介紹一個工具 Autoruns 可以用來觀察 Windows 開機會啟動的所有相關程序與服務。

 

資料來源:http://forum.sysinternals.com/

Windows 架構

 

開機過程

1. Session Manager (SMSS.exe )

smss.exe 是第一個 user mode 的process。

這個process 會負責啟動 csrss.exe 與 winlogon.exe

2. csrss.exe 負責 win32 相關的 process 與載入所需要的 DLL

3. winlogon.exe 這個就是常見的登入畫面,同時會啟動相關的服務 services.exe 與 lsass.exe 。其中,

  • lsass.exe 負責密碼驗證、與AD 密碼加解密認證過程。
  • services.exe 負責啟動/停止相關服務

4. svchost.exe: 負責啟動系統服務

5. Userinit.exe 負責啟動 explorer.exe. 也就是 Windows 桌面

6. Internat.exe 輸入法

 

Windows系統Process

要知道什麼是異常,必須先區分哪些是正常,這列這張表列出相關系統 process 的屬性,例如:

  • # of instance: 特別注意的是某些 process 在系統中只有一個。如果有多個就算是異常。
  • Image Path: 多半的系統 process 都在 %systemroot%\system32\ 。如果有出現在 C:\windows 那也算是異常
  • User Account: 多半的系統 process 會透過 “Local System”執行。相反的,如果 user account 為,使用者名稱的話,也是異常的一種。
  • Parent Process: 系統的 process 呼叫與起動都有一定的方式。如果 Parent process 非表列所述,那麼該  process  也是異常。

這些狀況下,都有可能是潛在病毒,透過與系統process 相同的名稱,隱藏執行在電腦中。

Image Path Parent Process # of Instance User Acount
Smss.exe %systemroot%\system32\ System One or more Local System
Wininit.exe %systemroot%\system32\ Smss.exe One Local System
Taskhost.exe %systemroot%\system32\ services.exe One or more userOr local service accounts
Lsass.exe %systemroot%\system32\ wininit.exe One Local System
Winlogon.exe %systemroot%\system32\ Smss.exe One or more Local System
Iexplore.exe Program Files (x86)\Internet Explore Explorer.exe One or more Logon user
Explorer.exe %systemroot%\ userinit.exe One per logged-on user Logon user
Lsm.exe %SystemRoot%\System32 wininit.exe One Local System
Svchost.exe %SystemRoot%\System32\ Services.exe 5+ Local Service accounts
Services.exe %SystemRoot%\System32 wininit.exe One Local System
Csrss.exe %SystemRoot%\System32 smss.exe 2+ Local System

 

Autoruns

那麼要如何檢查Windows 開機時會執行那些程序呢?

這邊介紹一個工具 Autoruns,只要執行這個工具,它會把電腦所有的服務、程式、排程工作等,全部都列出來。

 

https://technet.microsoft.com/en-us/sysinternals/bb963902.aspx

Leave a Reply

Your email address will not be published. Required fields are marked *