按下計算機電源按鈕,代碼先從BIOS執行,具體如下:
BIOS—>MBR—>活動分區—>Ntoskrnl.exe、HAL—>服務類型爲0、1的服務—>會話管理器(smss.exe進程)
1、BIOS:這裏面的代碼是由其廠商提供,主要是開機時檢測計算機硬件。
多數bios廠商和Absolute公司達成協議在bios代碼中放置了Absolute公司的防盜追蹤軟件,國內外安全機構先後多次給出預警,說這款軟件存在嚴重的安全風險,具體鏈接:https://download.csdn.net/download/singleyellow/12112076
2、服務啓動類型爲0、1的服務:windows的驅動都是以服務形式存在,服務啓動類型定義爲5個等級,0、1級別的由操作系統啓動,作爲操作系統的一部分代碼運行;2、3、4級別的則是由服務管理器(services.exe進程)啓動;微軟對服務啓動類型的定義:
繼續會話管理器(smss.exe進程)之前,可以使用基於ETW的進程監控工具procmon.exe的開機監控功能
3、會話管理器(smss.exe進程):
在監控中看到smss.exe是由進程4創建;
讀取3處註冊表項:
HKLM\System\CurrentControlSet\Control\Session Manager\BootExecute 定義了Native程序
HKLM\System\CurrentControlSet\Control\Session Manager\SubSystems 決定啓動哪些環境子系統進程
HKLM\System\CurrentControlSet\Control\Session Manager\PendingFileRenameOperations 上次系統重啓前未完成的重命名工作
創建3個進程;
具體見下圖:
3-1、Native程序:全部使用ntdll.dll中的API編寫,先於環境子系統進程(csrss)啓動,註冊表HKLM\System\CurrentControlSet\Control\Session Manager\BootExecute 處決定了開機時smss.exe負責啓動那些native程序(殺毒軟件會在此處放置程序清除頑固病毒)
3-2、環境子系統進程:
發現兩個環境子系統posix、windows,其中psxss.exe程序並不存在,就只能啓動csrss.exe程序;
windows環境子系統進程(csrss.exe):看名字就知道是很厲害的進程了,不過沒見創建什麼子進程,或者讀取什麼關鍵註冊表,所以就略過,等發現了再補上。
3-3、PendingFileRenameOperations:具體見https://blog.csdn.net/singleyellow/article/details/100175816
4、winlogon.exe啓動了4個進程:
4-1、服務控制管理器(services.exe):他下面一大堆svchost.exe進程,一些遠控、竊密病毒最喜歡冒充或者寄生裏面;這個進程除了負責服務方面的管理工作,裏面還寄生了Eventlog,PlugPlay服務,強行結束該進程,操作系統會關閉或者重啓動。關於服務方面的東西可以看這裏:https://blog.csdn.net/singleyellow/article/details/80486721
4-2、安全授權LSA(lsass.exe):據說你的登錄密碼就在這個進程裏面,不過有個法國人寫了一個xxx的工具運行一遍就可以直接拿到。記得永恆之藍那個漏洞吧,漏洞觸發之後就是使用APC注入到這個進程的。
4-3、登錄界面(logoui.exe):就是windows的登錄界面啊
4-4、userinit.exe:winlogon.exe進程通過讀取HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon下的userinit項完成啓動;記不記得ranmit那個蠕蟲病毒(到現在互聯網上都沒有清理乾淨),它就是通過這個註冊表項和userinit.exe並行啓動的。
5、PE加載器(Explorer.EXE):PE加載器大家都很熟悉了,Run、RunOnce、啓動文件夾這些地方的開機啓動估計都是由PE加載器啓動起來的。
最後一個疑問:AppInit_Dlls在啓動過程中是如何注入進程的
AppInit_Dlls這個特殊的註冊表項:任何使用到User32.dll 的EXE、DLL、OCX等類型的PE文件都會讀取這個地方,並且根據約定的規範將這個鍵值下指向的DLL文件進行加載,加載的方式是調用 LoadLibrary( )函數
具體看圖(按時間順序):
