計算機上電
操作系統的開機啟動過程,主要分為計算機上電、系統自檢、系統加載、系統啟動、登錄用戶認證五部分。
在按下電源開關時,電源就開始向主板和其它設備供電。由于此時電壓還不穩定,主板控制芯片組會向CPU發出并保持一個RESET(重置)信號,讓CPU內部自動恢復到初始狀態(CPU初始化),但CPU在此刻不會馬上執行指令,同時等待電源發出的POWER GOOD信號(電源準備好信號)。
當電源開始穩定供電后,芯片組便撤去RESET信號(如果是手動按下計算機面板上的RESET按鈕來重啟機器,那么松開該按鈕時芯片組就會撤去RESET信號),CPU馬上就從內存的地址處開始執行指令。這個地址在系統BIOS的地址范圍內,放在這里的只是一條跳轉指令,跳到系統BIOS中真正的啟動代碼處。
系統自檢
BIOS(Basic Input )是一組固化到計算機內主板上一個ROM芯片上的程序。它保存著計算機最重要的基本輸入輸出的程序、開機后自檢程序和系統自啟動程序,它可從CMOS中讀寫系統設置的具體信息。其主要功能是為計算機提供最底層的、最直接的硬件設置和控制。
POST(Power on Self Test,加電自檢),主要用于檢測計算機硬件能否滿足運行的基本條件。按下電源按鈕后,計算機系統將進行POST——自檢信息一般會顯示在顯示器上。針對主板、CPU、顯卡、內存、硬盤等硬件進行檢測。如果檢測到問題,很可能出現屏幕無響應,主板蜂鳴器報警,顯示錯誤無法開機等現象。
系統加載
在系統加載的過程中,計算機的控制權經歷了從BIOS→MBR→PBR→→.exe→.exe→.exe的過程
加載引導扇區
硬件自檢完成后,BIOS的主要工作就是加載引導扇區。BIOS設置里有一個Boot 選項,可以設置外部存儲設備的啟動順序,排在前面的設備就是優先轉交控制權的設備。
BIOS根據Boot 中的順序,將最前面的存儲設備的引導扇區的內容加載到內存中,并跳轉到引導程序的第一條指令。如果一個扇區的最后兩個字節是“”,那么這就是一個引導扇區,這個外部存儲設備也就是一塊可引導盤。通常這個大小為512B的程序就稱為引導程序(boot)。如果最后兩個字節不是“”,那么BIOS就檢查下一個外部存儲設備。如果沒有其他啟動介質,則顯示No ROM BASIC,然后死機。
讀取分區表和找出引導記錄。
加載引導扇區后會將某個存儲設備的引導扇區加載到內存即插即用驅動程序出錯,一般這個引導扇區稱為MBR( Boot ,主引導記錄)。
MBR是存儲設備的0柱面、0磁頭、1扇區稱為主引導扇區。MBR的主要作用是告訴計算機到存儲設備的哪個位置去找操作系統。主要由三部分組成:調用操作系統的機器碼、DPT(Disk Table,硬盤分區表)、主引導記錄簽名(0x55和0xAA)。
MBR中的分區表長度只有64個字節,里面分成4項,每項16個字節,所以一個硬盤最多只能分四個一級分區,又叫做"主分區"。每個區可以安裝不同的操作系統,MBR必須知道將控制權轉交給哪個區。四個主分區里面,只有一個是激活的。計算機會讀取激活分區的第一個扇區,稱為VBR( Boot ,卷引導記錄),也可稱為PBR( Boot ,分區引導記錄)。
PBR的作用是尋找激活分區根目錄下的等可用于引導的程序,并且讀入文件,將加載到內存之后,將控制權限交給的入口點,如果找不到,顯示錯誤信息 is 。
讀取啟動配置和啟動內核加載程序
實際是一個.com()文件和一個.exe(.exe)文件連接成的文件。進行的第一個操作是將系統切換到保護模式。
尋找激活分區中的啟動配置數據\Boot\BCD,根據啟動配置數據,在顯示器上顯示多操作系統選擇畫面。選擇相應的操作系統,控制權交給操作系統。
如果BCD設置是從休眠中恢復的,那么啟動.exe,將休眠文件讀入內存,并且將控制權轉交給一段能恢復休眠系統的內核代碼。
如果BCD設置多個引導選擇項,那么向用戶展示一個引導菜單,選擇操作系統。選擇 7系統后,就會讀取BCD里win7系統所在的盤里的\\.exe文件,并且將控制權交給.exe。
如果只有一個選項,直接啟動.exe文件
由.exe指揮系統加載.exe系統內核以及硬件抽象層hal.dll,從而加載需要的驅動程序服務。至此,內核初始化完成,即系統加載完成。
綜上,在系統加載的過程中,計算機的控制權經歷了從BIOS→MBR→PBR→→.exe→.exe的過程。系統完成加載后,啟動完成,進入登陸界面。
系統啟動流程圖開機訪問地址跳轉到BIOS ROM的初始化地址把BIOS ROM中的初始化程序復制到內存中執行初始化程序首先初始化硬件,然后在硬盤中找到引導程序。將引導程序復制到內存的,并執行引導程序將硬盤的內容復制到內存中跳轉內存中操作系統的開始地址開始執行操作系統系統啟動系統啟動概述
經過上一步系統加載,控制權轉移給了內核程序.exe,在接下來的系統啟動過程中,內核程序將會衍生出一系列子程序(子系統),這些子系統組成了Win7操作系統的關鍵部分,并且會作為進程隨著系統一直運行。
系統啟動流程圖
在Win7系統的啟動流程中,首先被加載,進行系統組件的初始化,然后創建SMSS進程,SMSS創建自己的兩個實例,實例0在后端運行,依次創建CSRSS和進程,其中運行一次,處理系統中所有只需運行一次的任務,即初始化;同時實例1依次創建CSRSS和進程,管理后續的用戶登錄與認證。下面將分條詳細展開介紹系統啟動過程中的各個組件。
此外需要說明的是,操作系統的進程有兩種模式:內核模式( mode)和用戶模式(User mode)。這兩種模式的進程在系統啟動的不同階段分別啟用。
內核模式在系統啟動的過程中使用,此模式擁有計算機的所有權限,包括所有硬件和內存。設立內核模式將系統中重要的子系統以更高優先級運行即插即用驅動程序出錯,并與用戶應用程序分開,并限制用戶應用程序的資源訪問能力。設立內核模式的主要目的是為了保護系統。
用戶模式進程在內核啟動之后才能創建,此模式面向用戶,是我們使用計算機時的主要模式。一般用戶模式的進程在內核模式下進行處理時,因為需要用到Win32 API,故內核模式進程對用戶模式進程為單方面訪問,用戶模式的進程幾乎不會破壞內核模式的子系統和結構。
內核程序
( NT OS )程序為的內核程序,其在文件下,形式為exe文件。盡管其在本地存儲,但其不是本機應用程序( ),因此不能在系統中運行。下文所述的系統啟動過程中程序均在文件夾中以.exe形式存在,且均不能在系統環境下運行,這些程序均有其定義好的入口,只有系統啟動時才會調用,并且其進程會隨著系統一直存在。
同時,內核程序包括操作系統基本功能,如中斷處理、內存管理、驅動程序管理、注冊表管理等。
此內核程序以操作系統內核模式運行,內核進程能直接訪問所有硬盤、所有計算機內存和內核內存,并以高優先度運行。其主要功能有:建立數據結構;加載并初始化各種系統組件;啟用即插即用(PnP)管理器,用于初始化啟動驅動(boot start )。以下是的具體工作流程:
會話管理器SMSS
會話管理器子系統(SMSS)是內核啟動后第一個建立的用戶模式進程,其同樣在文件夾下,不能在系統環境內運行。SMSS與內核進程一樣,會一直運行到系統關閉。
SMSS用于創建實例來管理系統的各種會話()。其中會話在計算機中指信息的交換,它可以是計算機與設備之間的通信,也可以是計算機與計算機、設備與設備的通信。在啟動過程中,SMSS會創建兩個特殊實例(會話0和會話1),用于推進系統啟動過程。
SMSS作用為:產生進一步的進程,產生多個自己的實例,創建環境變量,初始化注冊表等。下面詳細介紹SMSS的工作流程:
客戶端服務器 (CSRSS)
客戶端服務器進程(CSRSS)由SMSS創建,是關鍵的用戶模式進程,其用于提供Win32 API接口的用戶模式部分。當用戶模式下的其他進程調用設計控制臺窗口、進程/線程的創建或并行支持的功能時,Win32庫會發送一個進程間調用至CSRSS。CSRSS創建的同時Win7將會退出內核模式,此時若出錯則內核模式無法退出,計算機會藍屏死機。此外,CSRSS也稱為子系統( Sub-),它是運行用戶應用程序的主要進程。
由SMSS實例0運行的CSRSS會首先加載,用于進一步加載系統組件;由SMSS實例1運行的CSRSS會開啟 logon應用,為用戶提供登錄接口,這一部分在下章中詳細介紹。而隨著 logon應用加載完畢后,UI會從“正在啟動”頁面跳入短暫的黑屏,logon UI加載完成之后進入用戶登錄界面。
初始化程序
初始化程序()在用戶首次登錄時運行,它只運行一次,用于處理初始化任務。由SMSS的實例0運行。
首先會為使用會話實例0的老舊交互服務創建一個交互工作站。目前的會話實例0完全在后端運行,只負責系統組件的加載,不會用于交互服務,但是較老的服務會使用會話0,因此為了向下兼容,Win7系統中仍然會打開這一功能。
之后會依次加載服務控制管理器(SCM)、本地安全授權子系統(LSASS)和本地會話管理器(LSM)。
其中SCM作為命令行程序運行,其會管理操作系統中與服務有關的事項:掃描注冊表以查找配置的設備驅動程序和服務;加載自動類設備驅動程序和服務;等待啟動和停止服務的請求。LSASS負責本地(即非網絡)的系統安全策略,包括用戶登錄過程中的身份認證,以及系統安全審核等。LSM負責本地計算機上運行的終端服務器會話管理。
登錄用戶認證登錄用戶認證概述
在SMSS初始化注冊表,創建系統環境變量,加載并啟動子系統進程(CSRSS、、)后,控制權交給了.exe和.exe。而后,.exe會啟動服務控制管理器(SCM.exe),本地安全認證子系統(LSASS.exe),本地會話管理(LSM)。而.exe加載登錄界面程序(.exe),顯示交互式登錄對話框。等待用戶登錄后,根據注冊表配置啟動.exe和.exe。其中,啟動用戶所有自啟動進程,建立網絡連接,啟動生效的組策略;提供交互式圖形界面,包括桌面和文件管理。至此,Win7系統啟動完畢。
在Win7啟動的最后幾個過程中,.exe啟動的LSASS.exe與LSM.exe以及.exe及其啟動的.exe與.exe,主要完成用戶認證工作,如圖 5?1所示,會在接下來的章節中詳細介紹。
登錄用戶認證流程圖登錄用戶認證相關可執行文件
本地安全認證子系統 LSASS.exe
本地安全認證子系統(Local ,LSASS)是系統的一個安全機制,用戶在本地驗證或遠程登陸時驗證用戶身份,管理用戶密碼變更,并產生訪問日志。它的大多數功能由本地安全授權服務(Local , .dll)處理,其數據庫存儲在注冊表中HKLM\下受保護區域中:
按照時間順序,該程序的整體流程如下:
由.exe運行;創建通常默認為.exe的初始進程;如果設置了,則使用默認用戶名;啟動加密文件系統( File , EFS)服務,用于加密磁盤上的數據。它可以加密文件夾,但不像那樣加密整個驅動器;啟動密碼學API-下一代加密技術( Next , CNG)密鑰隔離服務;啟動安全賬戶管理器( , SamSS)服務。SAMSS管理定義的用戶名和組的SAM數據庫,這些用戶名和組存儲在HKLM\SAM的注冊表中。它不包括為域控制器/服務器定義的用戶。
本地會話管理器 LSM.exe
本地會話管理器(Local ,LSM)管理在本地計算機上運行的終端服務器會話狀態,發送請求給smss.exe來啟動新會話。
.exe通知LSM:
該程序由.exe運行。
登錄應用程序 .exe
登錄應用程序在LSASS下運行,并管理交互式登錄會話。 它執行以下主要任務:
按照時間順序,該程序的整體流程如下:
由SMSS會話1運行;為會話1創建一個交互式工作站;創建交互式 以顯示用戶界面并接收輸入。使用安全訪問控制來防止其他進程在沒有.exe權限的情況下訪問此工作站;創建三個桌面:為用戶應用程序創建默認交互式桌面;只有.exe才能訪問安全的.exe桌面,以保護密碼,用于安全注意序列( ,SAS,即Ctrl + Alt + Del)或用戶賬戶控制(User , UAC)對話框可見時使用;斷開連接桌面。初始化用戶體驗會話初始化( User )DLL;生成登錄用戶界面主機(Logon User Host, );桌面首先出現在此階段,因此您可以登錄,即變得可用;運行用戶初始化程序(.exe)。
用戶初始化程序 .exe
用戶初始化程序(.exe)在啟動 Shell(默認情況下為資源管理器)之前設置用戶環境:
按照時間順序,該程序的整體流程如下:
由.exe運行;初始化用戶環境;創建臨時文件夾;運行登陸腳本;連接到網絡;應用組策略;如果特定的登錄腳本失敗,則記錄事件;運行 shell,默認情況下為資源管理器。
登錄界面程序 .exe
登錄用戶界面主機提供用于登錄的用戶界面:
.exe是.exe的獨立過程。第三方憑據提供程序的任何失敗都不會導致崩潰。相反,它可以生成.exe的另一個實例。
按照時間順序,該程序的整體流程如下:
由.exe運行;顯示用戶登陸對話框;從注冊表中的CLSID的憑據提供程序列表中加載憑據提供程序DLL。主要的憑證提供者是。還有一個智能卡密碼提供程序( Pin )和一個網絡提供程序DLL:。其中,憑據提供程序允許智能卡與PIN一起使用。默認值為.DLL;網絡提供商DLL允許來自網絡服務器的輔助身份驗證。如果沒有網絡提供程序,則它將默認為默認的密碼提供程序,通常為.dll;用戶登陸。憑據管理與憑據認證
憑據管理
憑據管理是操作系統從服務或用戶接收憑據并保護該信息以備將來提供給身份驗證目標的信息的過程。對于加入域的計算機,身份驗證目標是域控制器。身份驗證中使用的憑據是將用戶身份與某種形式的真實性證明(例如證書,密碼或PIN)相關聯的數字文檔。該過程與前述的登錄用戶認證執行過程中運行的程序關系密切。
默認情況下,將通過.exe服務針對本地計算機上的安全賬戶管理器(SAM)數據庫或加入域的計算機上的 驗證憑據。憑據是通過登錄用戶界面上的用戶輸入收集的,或者是通過API編碼的,以呈現給身份驗證目標。
本地安全信息存儲在注冊表中的\下。存儲的信息包括策略設置、默認安全值和賬戶信息,例如緩存的登錄憑據。SAM的副本也存儲在此處,盡管它具有寫保護。
憑據認證
憑據提供程序體系結構適用于 2008 R2, 2008, 7和 Vista。在這些系統中,通過使用憑證提供者,憑證輸入架構改變為可擴展設計。這些提供程序由安全桌面上的不同登錄磁貼(Logon Tiles)表示,它們允許任何數量的登錄方案——同一用戶的不同賬戶和不同的身份驗證方法,例如密碼,智能卡和生物識別。
借助憑據提供程序體系結構,.exe始終在收到SAS事件后啟動.exe。 .exe向每個憑據提供程序查詢該提供程序配置為枚舉的不同憑據類型的數量。憑據提供程序可以選擇將這些磁貼之一指定為默認值。在所有提供程序都枚舉了其磁貼之后,.exe會將其顯示給用戶。用戶與磁貼進行交互以提供其憑據。.exe提交這些憑據進行身份驗證。