Windows的啟動過程

這個問題和屏蔽Ctrl+Alt+Del這個問題有千絲萬縷的聯絡，所以需要談一談，下面先翻譯一下這篇Blog裡的相關內容：

http://blogs.technet.com/askperf/archive/2008/02/02/ws2008-startup-processes-and-delayed-automatic-start.aspx

 在Vista之前版本的Windows中，在系統啟動時，會話管理器進程（Session Manager process (SMSS.EXE)）會啟動用戶端/伺服器運行時子系統（Client-Server Runtime Subsystem (CSRSS.EXE)），然後是登陸進程（WINLOGON.EXE）。Winlogon進程會接著運行本地安全判定子系統服務（Local Security Authority Subsystem Service, LSASS.EXE）和服務控制管理員（SERVICES.EXE）。使用者從控制台登陸會進入會話0（Session 0），該會話由系統進程共用。這樣就存在一個安全風險，如果一個寫的很爛的Windows服務運行在會話0，並在互動控制台顯示了一個使用者介面，惡意程式可以利用發送Windows訊息的方式來攻擊Windows並獲得系統的管理員權限。

為瞭解決這個潛在的問題，Vista和2008的幾個系統進程經過了重新設計。SMSS.EXE還是第一個被建立的使用者態進程，不同的是SMSS.EXE會運行它自己的第二個執行個體來配置會話0，同樣還是給系統進程使用。啟動會話0的SMSS.EXE執行個體會啟動一個CSRSS.EXE執行個體，在CSRSS.EXE執行個體退出之後再啟動Windows啟動程式（WININIT.EXE）。WININIT.EXE繼續啟動SERVICES.EXE和LSASS.EXE，以及一個新的進程——本地會話管理器（Local Session Manager (LSM.EXE)），它將會管理機器上的終端服務串連。

在建立會話0的同時，一個控制台會話也同時被初始化。最開始的SMSS.EXE執行個體又建立了一個自己的新執行個體來配置控制台會話，就像會話0那樣。SMSS.EXE的新執行個體會控制台會話啟動了CSRSS.EXE和WINLOGON.EXE，準備使用者登入。然後WINLOGON.EXE運行登陸使用者介面主程式（Logon User Interface Host (LOGONUI.EXE)）來顯示出Windows安全螢幕來提示使用者按下Ctrl+Alt+Del鍵登陸。

--------------------------------------------------
快速瞭解Winlogon進程。在之前版本的Windows中，WINLOGON.EXE會載入圖形化驗證DLL（Graphical Identification and Authentication DLL (GINA)，在註冊表中指定）來顯示一個登陸介面來提示使用者輸入登陸資訊。Vista和2008不再使用GINA，取而代之的是一套全新的證明資訊提供者的架構（Credential Provider architecture）。WINLOGON.EXE啟動LOGONUI.EXE來載入證明資訊提供者（在下面的登錄機碼中指定：HKLM\Software\Microsoft\Windows NT\CurrentVersion\Authentication\Credential Providers），LogonUI可以同時載入多個提供者並管理顯示給使用者的介面。證明資訊提供者可能會有一些定製的元素需要顯示在登陸螢幕上。一旦使用者登入資訊由LOGONUI.EXE傳遞給WINLOGON.EXE，LOGONUI.EXE進程就退出了。
--------------------------------------------------

當（終端）使用者嘗試登陸系統的時候，最開始的SMSS.EXE執行個體會再次建立一個自己的新執行個體來配置一個新的會話（就像會話0和控制台會話那樣）。這個SMSS.EXE的新執行個體會會新會話啟動一個CSRSS.EXE進程和一個WINLOGON.EXE進程。WINLOGON.EXE啟動LOGONUI.EXE來顯示登陸介面（註：以上這些看起來似乎和上面重複了，不過這是對終端伺服器而言的，請繼續往下看）。這樣似乎會導致系統中不必要的負荷，而且在用戶端系統上，它也不會帶來顯而易見的好處。不過，在Windows Server 2008終端伺服器系統上，SMSS.EXE的多個執行個體可以同時運行，使多個使用者可以更快的登陸系統。

BTW：《Windows Internals 》第五版下個月就要出版了，等待0day放出。^)^