燕郊网城论坛

bunimu 发表于 2004-11-17 19:17

Windows2000/XP启动过程详解

<P ><FONT size=3><FONT face="Times New Roman">Windows2000/XP</FONT>启动过程详解</FONT></P>
<P ><FONT face="Times New Roman" size=3> </FONT></P>
<P ><FONT face="Times New Roman" size=3>   </FONT></P>
<P ><FONT size=3><FONT face="Times New Roman">Windows2000/XP</FONT>是一个优秀的操作系统<FONT face="Times New Roman">,</FONT>它功能强大<FONT face="Times New Roman">,</FONT>安全稳定<FONT face="Times New Roman">,</FONT>深受广大电脑用户青睐。但在使用过程中<FONT face="Times New Roman">,</FONT>我们明显地感觉到它的启动时间比<FONT face="Times New Roman">Windows98</FONT>要延长许多<FONT face="Times New Roman">,</FONT>比之<FONT face="Times New Roman">Windows98</FONT>更能考验人的耐性。那么在这段让人忍无可忍但又不可不忍的时间中<FONT face="Times New Roman">,</FONT>系统究竟做了些什么工作哪<FONT face="Times New Roman">,</FONT>别急,,容俺慢慢道来,咱看一看它究竟为何如此龟速。</FONT></P>
<P ><FONT size=3><FONT face="Times New Roman">     </FONT>在基于<FONT face="Times New Roman">INTEL</FONT>的计算机上<FONT face="Times New Roman">,Windows2000/XP</FONT>的启动过程大致可分为<FONT face="Times New Roman">5</FONT>个步骤<FONT face="Times New Roman">:</FONT>预启动<FONT face="Times New Roman">,</FONT>启动<FONT face="Times New Roman">,</FONT>装载内核<FONT face="Times New Roman">,</FONT>初始化内核以及用户登录。下面分别展开介绍:</FONT></P>
<P ><FONT size=3><FONT face="Times New Roman">     </FONT>一<FONT face="Times New Roman">.</FONT>预启动</FONT></P>
<P ><FONT size=3><FONT face="Times New Roman">     </FONT>首先计算机通电进行自检<FONT face="Times New Roman">,</FONT>并由<FONT face="Times New Roman">BIOS(</FONT>即基本输入输出系统<FONT face="Times New Roman">)</FONT>完成基本硬件配置<FONT face="Times New Roman">,</FONT>然后读取硬盘的<FONT face="Times New Roman">MBR(</FONT>主引导记录<FONT face="Times New Roman">)</FONT>检查硬盘分区表以确定引导分区<FONT face="Times New Roman">,</FONT>并将引导分区上的操作系统引导扇区调入内存中执行<FONT face="Times New Roman">,</FONT>此处即执行<FONT face="Times New Roman">NTLDR(</FONT>操作系统加载器<FONT face="Times New Roman">)</FONT>文件。</FONT></P>
<P ><FONT size=3><FONT face="Times New Roman">          * Windows2000/XP</FONT>支持多重启动。它在安装时会首先将已存在的其它操作系统引导扇区保存为<FONT face="Times New Roman">BOOTSECT.DOS</FONT>文件<FONT face="Times New Roman">(</FONT>位于活动分区根目录下<FONT face="Times New Roman">),</FONT>并修改系统引导扇区<FONT face="Times New Roman">,</FONT>以便系统启动时加载<FONT face="Times New Roman">NTLDR</FONT>文件<FONT face="Times New Roman">,</FONT>从而达到多重启动的目的。而<FONT face="Times New Roman">Windows98</FONT>则不具备这个功能,因此如果先装好<FONT face="Times New Roman">Windows2000/XP</FONT>后再装<FONT face="Times New Roman">Windows98</FONT>会破坏掉<FONT face="Times New Roman">Windows2000/XP</FONT>的引导记录,导致<FONT face="Times New Roman">2000/XP</FONT>不能启动。</FONT></P>
<P ><FONT size=3><FONT face="Times New Roman">  </FONT></FONT><FONT size=3>!</FONT></P>

bunimu 发表于 2004-11-17 19:18

<FONT face="Times New Roman">   </FONT>二<FONT face="Times New Roman">.</FONT>启动<P 0cm 0cm 0pt"><FONT size=3><FONT face="Times New Roman">          1.</FONT>首先进行出始化<FONT face="Times New Roman">,NTLDR</FONT>会把处理器从实模式转换为<FONT face="Times New Roman">32</FONT>位保护模式。</FONT></P><P 0cm 0cm 0pt"><FONT size=3><FONT face="Times New Roman">          2.</FONT>读取<FONT face="Times New Roman">BOOT.INI</FONT>文件。该文件位于活动分区根目录下<FONT face="Times New Roman">,</FONT>它的作用是使系统在启动过程中出现选择菜单<FONT face="Times New Roman">,</FONT>由用户选择希望启动的操作系统。如果选择启动<FONT face="Times New Roman">Windows2000/XP,NTLDR</FONT>会继续引导进行以下过程<FONT face="Times New Roman">;</FONT>如果选择为非<FONT face="Times New Roman">Windows2000/XP</FONT>系统<FONT face="Times New Roman">,NTLDR</FONT>则会读取系统引导扇区副本<FONT face="Times New Roman">BOTSECT.DOS</FONT>转入启动相应系统。</FONT></P><P 0cm 0cm 0pt"><FONT size=3><FONT face="Times New Roman">          * </FONT>其中<FONT face="Times New Roman">[BOOT LOADER]</FONT>即操作系统加载器<FONT face="Times New Roman">,</FONT>指定系统选择菜单默认等待时间和默认引导的操作系统。可手工修改或在控制面板中修改,为了保险起见,建议在控制面板中修改。依次选择控制面板<FONT face="Times New Roman">-</FONT>〉系统<FONT face="Times New Roman">-</FONT>〉高级<FONT face="Times New Roman">-&gt;</FONT>启动和故障恢复,即可更改相关设置。<FONT face="Times New Roman">(</FONT>在<FONT face="Times New Roman">WindowsXP</FONT>中还有另一种方法,即运行<FONT face="Times New Roman">msconfig</FONT>(系统配置实用程序)。</FONT></P><P 0cm 0cm 0pt"><FONT size=3><FONT face="Times New Roman">            [OPERATING SYSTEMS]</FONT>段指定操作系统列表<FONT face="Times New Roman">,</FONT>由双引号括起来的部分就是列表所显示的内容<FONT face="Times New Roman">,</FONT>可任意修改<FONT face="Times New Roman">,</FONT>使其更加个性化。</FONT></P><P 0cm 0cm 0pt"><FONT size=3><FONT face="Times New Roman">          * </FONT>形如<FONT face="Times New Roman">MULTI(0)DISK(0)RDISK(0)PARTITION(1)</FONT>格式的语句被称为<FONT face="Times New Roman">ARC</FONT>路径<FONT face="Times New Roman">,</FONT>它的格式为<FONT face="Times New Roman">:MULTI()</FONT>——指定磁盘控制器<FONT face="Times New Roman">(</FONT>若为<FONT face="Times New Roman">SCSI</FONT>控制器<FONT face="Times New Roman">,</FONT>则此处应替换为<FONT face="Times New Roman">SCSI())</FONT>;<FONT face="Times New Roman">DISK()</FONT>——指定<FONT face="Times New Roman">SCSI</FONT>设备编号<FONT face="Times New Roman">(</FONT>对于<FONT face="Times New Roman">MULTI</FONT>该处值始终为<FONT face="Times New Roman">0)</FONT>;<FONT face="Times New Roman">RDISK()</FONT>——指定<FONT face="Times New Roman">IDE</FONT>设备编号<FONT face="Times New Roman">(</FONT>对于<FONT face="Times New Roman">SCSI,</FONT>此处被忽略<FONT face="Times New Roman">)</FONT>;<FONT face="Times New Roman">PARTITION()</FONT>——指定分区编号。除分区编号由<FONT face="Times New Roman">1</FONT>开始外<FONT face="Times New Roman">,</FONT>其余编号均从<FONT face="Times New Roman">0</FONT>开始。</FONT></P><P 0cm 0cm 0pt"><FONT size=3><FONT face="Times New Roman">            </FONT>参数<FONT face="Times New Roman">/FASTDETECT</FONT>表示禁用串行鼠标检测<FONT face="Times New Roman">,</FONT>是系统默认值。还有几个常见参数<FONT face="Times New Roman">:MAXMEM</FONT>——指定<FONT face="Times New Roman">Windows2000/XP</FONT>可用内存容量<FONT face="Times New Roman">;BASEVIDEO</FONT>——使用标准<FONT face="Times New Roman">VGA</FONT>显示驱动程序<FONT face="Times New Roman">;NOGUIBOOT</FONT>——启动过程中不显示图形屏幕<FONT face="Times New Roman">;SOS</FONT>——加载设备驱动程序时显示其名称。</FONT></P><P 0cm 0cm 0pt"><FONT size=3><FONT face="Times New Roman">          * </FONT>在操作系统选择菜单中的中文字体由位于活动分区根目录下的<FONT face="Times New Roman">BOOTFONT.BIN</FONT>文件提供。</FONT></P><P 0cm 0cm 0pt"><FONT size=3><FONT face="Times New Roman">          3.</FONT>系统加载<FONT face="Times New Roman">NTDETECT.COM</FONT>文件。由它来检测机器硬件<FONT face="Times New Roman">,</FONT>如并行端口<FONT face="Times New Roman">,</FONT>显示适配器等等<FONT face="Times New Roman">,</FONT>并将收集到的硬件列表返回<FONT face="Times New Roman">NTLDR</FONT>用于以后在注册表中注册保存。</FONT></P><P 0cm 0cm 0pt"><FONT size=3><FONT face="Times New Roman">          4.</FONT>如果<FONT face="Times New Roman">Windows2000/XP</FONT>有多个硬件配置文件<FONT face="Times New Roman">,</FONT>此时会出现选择菜单<FONT face="Times New Roman">,</FONT>等待用户确定要使用的硬件配置文件<FONT face="Times New Roman">,</FONT>否则直接跳过此步<FONT face="Times New Roman">,</FONT>启用默认配置。</FONT></P><P 0cm 0cm 0pt"><FONT size=3><FONT face="Times New Roman">          * </FONT>硬件配置文件是指保存计算机特定硬件配置的系统文件。可以创建多个不同的硬件配置文件以满足计算机在不同场合的应用。可以依次选择控制面板<FONT face="Times New Roman">-</FONT>〉系统<FONT face="Times New Roman">-&gt;</FONT>硬件<FONT face="Times New Roman">-</FONT>〉硬件配置文件作出修改。</FONT></P><P 0cm 0cm 0pt"><FONT size=3><FONT face="Times New Roman">     </FONT></FONT></P>

bunimu 发表于 2004-11-17 19:19

三<FONT face="Times New Roman">.</FONT>装载内核<P 0cm 0cm 0pt"><FONT size=3><FONT face="Times New Roman">          </FONT>引导过程开始装载<FONT face="Times New Roman">Windows2000/XP</FONT>内核<FONT face="Times New Roman">NTOSKRNL.EXE</FONT>。这个文件位于<FONT face="Times New Roman">Windows2000/XP</FONT>安装文件夹下的<FONT face="Times New Roman">SYSTEM32</FONT>文件夹中。随后<FONT face="Times New Roman">,</FONT>硬件抽象层<FONT face="Times New Roman">(HAL)</FONT>被引导进程加载<FONT face="Times New Roman">,</FONT>完成本步骤。</FONT></P><P 0cm 0cm 0pt"><FONT size=3><FONT face="Times New Roman">          * </FONT>硬件抽象层<FONT face="Times New Roman">(HAL):</FONT>隐藏特定平台的硬件接口细节<FONT face="Times New Roman">,</FONT>为操作系统提供虚拟硬件平台<FONT face="Times New Roman">,</FONT>使其具有硬件无关性<FONT face="Times New Roman">,</FONT>可在多种平台上进行移植。</FONT></P><P 0cm 0cm 0pt"><FONT size=3><FONT face="Times New Roman">     </FONT>四<FONT face="Times New Roman">.</FONT>初始化内核</FONT></P><P 0cm 0cm 0pt"><FONT size=3><FONT face="Times New Roman">          </FONT>内核完成初始化<FONT face="Times New Roman">,NTLDR</FONT>将控制权转交<FONT face="Times New Roman">Windows2000/XP</FONT>内核<FONT face="Times New Roman">,</FONT>后者开始装载并初始化设备驱动程序<FONT face="Times New Roman">,</FONT>以及启动<FONT face="Times New Roman">WIN32</FONT>子系统和<FONT face="Times New Roman">WINDOWS2000/XP</FONT>服务。</FONT></P><P 0cm 0cm 0pt"><FONT size=3><FONT face="Times New Roman">     </FONT>五<FONT face="Times New Roman">.</FONT>用户登录</FONT></P><P 0cm 0cm 0pt"><FONT size=3><FONT face="Times New Roman">          </FONT>开始登录进程。由<FONT face="Times New Roman">WIN32</FONT>子系统启动<FONT face="Times New Roman">WINLOGON.EXE,</FONT>并由它启动<FONT face="Times New Roman">LOCAL SECURITY AUTHORITY(LSASS.EXE)</FONT>显示登录对话框。用户登录后<FONT face="Times New Roman">,WINDOWS2000/XP</FONT>会继续配置网络设备和用户环境。最后<FONT face="Times New Roman">,</FONT>伴随着微软之声和我们熟悉的个性化桌面<FONT face="Times New Roman">,WINDOWS2000/XP</FONT>漫长的启动过程终于完成。呵,是不是睡着了,醒醒吧,系统启动成功,您现在该干嘛就干嘛</FONT></P>

bunimu 发表于 2004-11-17 19:20

<P>Windows 2000/XP 的任务管理器是一个非常有用的工具,它能提供我们很多信息,比如现在系统中运行的程序(进程),但是面对那些文件可执行文件名我 们可能有点茫然,不知道它们是做什么的,会不会有可疑进程(病毒,木马等)。本文的目的就是提供一些常用的Windows 2000 中的进程名,并简单说明它们的用处。 </P><P>在Windows 2000 中,系统包含以下缺省进程:
Csrss.exe
Explorer.exe
Internat.exe
Lsass.exe
Mstask.exe
Smss.exe
Spoolsv.exe
Svchost.exe
Services.exe
System
System Idle Process
Taskmgr.exe
Winlogon.exe
Winmgmt.exe </P><P>下面列出更多的进程和它们的简要说明 </P><P>进程名描述 </P><P>smss.exeSessionManager
csrss.exe 子系统服务器进程
winlogon.exe管理用户登录
services.exe包含很多系统服务
lsass.exe 管理 IP 安全策略以及启动 ISAKMP/Oakley (IKE) 和 IP 安全驱动程序。
svchost.exe Windows 2000/XP 的文件保护系统
SPOOLSV.EXE 将文件加载到内存中以便迟后打印。)
explorer.exe资源管理器
internat.exe托盘区的拼音图标)
mstask.exe允许程序在指定时间运行。
regsvc.exe允许远程注册表操作。(系统服务)-&gt;remoteregister
winmgmt.exe 提供系统管理信息(系统服务)。
inetinfo.exemsftpsvc,w3svc,iisadmn
tlntsvr.exe tlnrsvr
tftpd.exe 实现 TFTP Internet 标准。该标准不要求用户名和密码。
termsrv.exe termservice
dns.exe 应答对域名系统(DNS)名称的查询和更新请求。
tcpsvcs.exe 提供在 PXE 可远程启动客户计算机上远程安装 Windows 2000 Professional 的能力。
ismserv.exe 允许在 Windows Advanced Server 站点间发送和接收消息。
ups.exe 管理连接到计算机的不间断电源(UPS)。
wins.exe为注册和解析 NetBIOS 型名称的 TCP/IP 客户提供 NetBIOS 名称服务。
llssrv.exe证书记录服务
ntfrs.exe 在多个服务器间维护文件目录内容的文件同步。
RsSub.exe 控制用来远程储存数据的媒体。
locator.exe 管理 RPC 名称服务数据库。
lserver.exe 注册客户端许可证。
dfssvc.exe管理分布于局域网或广域网的逻辑卷。
clipsrv.exe 支持“剪贴簿查看器”,以便可以从远程剪贴簿查阅剪贴页面。
msdtc.exe 并列事务,是分布于两个以上的数据库,消息队列,文件系统或其它事务保护护资源管理器。
faxsvc.exe帮助您发送和接收传真。
cisvc.exe 索引服务
dmadmin.exe 磁盘管理请求的系统管理服务。
mnmsrvc.exe 允许有权限的用户使用 NetMeeting 远程访问 Windows 桌面。
netdde.exe提供动态数据交换 (DDE) 的网络传输和安全特性。
smlogsvc.exe配置性能日志和警报。
rsvp.exe为依赖质量服务(QoS)的程序和控制应用程序提供网络信号和本地通信控制安装功功能。
RsEng.exe 协调用来储存不常用数据的服务和管理工具。
RsFsa.exe 管理远程储存的文件的操作。
grovel.exe扫描零备份存储(SIS)卷上的重复文件,并且将重复文件指向一个数据存储点,以节省磁盘空间(只对 NTFS 文件系统有用)。
SCardSvr.ex 对插入在计算机智能卡阅读器中的智能卡进行管理和访问控制。
snmp.exe包含代理程序可以监视网络设备的活动并且向网络控制台工作站汇报。
snmptrap.exe接收由本地或远程 SNMP 代理程序产生的陷阱(trap)消息,然后将消息传递到运行在这台计算机上 SNMP 管理程序。
UtilMan.exe 从一个窗口中启动和配置辅助工具。
msiexec.exe依据 .MSI 文件中包含的命令来安装、修复以及删除软件。 </P><P>总结: 发现可疑进程的秘诀就是要多看任务管理器中的进程列表,看多了以后,一眼就可以发现可可疑进程,就象找一群熟悉人中的陌生人一样。
</P>

bunimu 发表于 2004-11-17 19:21

<P>在Windows 2000使用纯DOS的方法</P><P>有一种非常巧妙的方法可以让Windows 2000安装后也能够进入纯DOS:在安装Windows 2000前先用Windows 98启动盘启动,并通过SYS C:命令向C盘传输系统,然后按常规方法安装Windows 2000,安装成功后即可在启动菜单中在默认的Microsoft Windows 2000菜单下会多出一个Microsoft Windows项目,选中此选项就会启动Windows,但由于我们并没有安装Windows 98,所以此时会出现我们需要的DOS窗口,而且绝对是正宗的实模式。</P>

bunimu 发表于 2004-11-17 19:24

<P>在Windows 2000使用纯DOS的方法</P><P>有一种非常巧妙的方法可以让Windows 2000安装后也能够进入纯DOS:在安装Windows 2000前先用Windows 98启动盘启动,并通过SYS C:命令向C盘传输系统,然后按常规方法安装Windows 2000,安装成功后即可在启动菜单中在默认的Microsoft Windows 2000菜单下会多出一个Microsoft Windows项目,选中此选项就会启动Windows,但由于我们并没有安装Windows 98,所以此时会出现我们需要的DOS窗口,而且绝对是正宗的实模式。</P>

页: [1]

Powered by Discuz! Archiver Array  © 2007-2010 yanjiao.com