瑞星卡卡安全论坛技术交流区反病毒/反流氓软件论坛菜鸟学堂 操作系统启动过程——硬件自检+系统引导+系统加载+系统登录

1   1  /  1  页   跳转

[分享] 操作系统启动过程——硬件自检+系统引导+系统加载+系统登录

操作系统启动过程——硬件自检+系统引导+系统加载+系统登录

电脑及操作系统的启动过程
从按下机箱电源键开始,直到用户进入操作系统,操作系统正常启动,整个过程可分为以下几个部分。

1. 预引导(Pre-Boot)阶段
  2. 引导阶段
      3. 加载内核阶段
  4. 初始化内核阶段
  5. 用户登录阶段

用户系统信息:Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1)
分享到:
gototop
 

回复: 操作系统启动过程——硬件自检+系统引导+系统加载+系统登录

预引导阶段
首先让我们来了解一些基本概念。第一个是大家非常熟悉的BIOS(基本输入输出系统),BIOS是直接与硬件打交道的底层代码,它为操作系统提供了控制硬件设备的基本功能。BIOS包括有系统BIOS(即常说的主板BIOS)、显卡BIOS和其它设备(例如IDE控制器、SCSI卡或网卡等)的BIOS,其中系统BIOS是本文要讨论的主角,因为计算机的启动过程正是在它的控制下进行的。BIOS一般被存放在ROM(只读存储芯片)之中,即使在关机或掉电以后,这些代码也不会消失。
  第二个基本概念是内存的地址,我们的机器中现在一般安装有128MB或256MB甚至更大容量的内存,这些内存的每一个字节都被赋予了一个地址,以便CPU访问内存。32MB的地址范围用十六进制数表示就是0~1FFFFFFH,其中0~FFFFFH的低端1MB内存非常特殊,因为最初的8086处理器能够访问的内存最大只有1MB,这1MB的低端640KB被称为基本内存,而A0000H~BFFFFH要保留给显示卡的显存使用,C0000H~FFFFFH则被保留给BIOS使用,其中系统BIOS一般占用了最后的64KB或更多一点的空间,显卡BIOS一般在C0000H~C7FFFH处,IDE控制器的BIOS在C8000H~CBFFFH处。
  第一步: 当我们按下电源开关时,电源就开始向主板和其它设备供电,此时电压还不太稳定,主板上的控制芯片组会向CPU发出并保持一个RESET(重置)信号,让CPU内部自动恢复到初始状态,但CPU在此刻不会马上执行指令。当芯片组检测到电源已经开始稳定供电了(当然从不稳定到稳定的过程只是一瞬间的事情),它便撤去RESET信号(如果是手工按下计算机面板上的Reset按钮来重启机器,那么松开该按钮时芯片组就会撤去RESET信号),CPU马上就从地址FFFF0H处开始执行指令,从前面的介绍可知,这个地址实际上在系统BIOS的地址范围内,无论是Award BIOS还是AMI BIOS,放在这里的只是一条跳转指令,跳到系统BIOS中真正的启动代码处。
  第二步: 系统BIOS的启动代码首先要做的事情就是进行POST(Power-On Self Test,加电后自检),POST的主要任务是检测系统中一些关键设备是否存在和能否正常工作,例如内存和显卡等设备。由于POST是最早进行的检测过程,此时显卡还没有初始化,如果系统BIOS在进行POST的过程中发现了一些致命错误,例如没有找到内存或者内存有问题(此时只会检查640K常规内存),那么系统BIOS就会直接控制喇叭发声来报告错误,声音的长短和次数代表了错误的类型。在正常情况下,POST过程进行得非常快,我们几乎无法感觉到它的存在,POST结束之后就会调用其它代码来进行更完整的硬件检测。
  第三步: 接下来系统BIOS将查找显卡的BIOS,前面说过,存放显卡BIOS的ROM芯片的起始地址通常设在C0000H处,系统BIOS在这个地方找到显卡BIOS之后就调用它的初始化代码,由显卡BIOS来初始化显卡,此时多数显卡都会在屏幕上显示出一些初始化信息,介绍生产厂商、图形芯片类型等内容,不过这个画面几乎是一闪而过。系统BIOS接着会查找其它设备的BIOS程序,找到之后同样要调用这些BIOS内部的初始化代码来初始化相关的设备。
  第四步: 查找完所有其它设备的BIOS之后,系统BIOS将显示出它自己的启动画面,其中包括有系统BIOS的类型、序列号和版本号等内容。
  第五步: 接着系统BIOS将检测和显示CPU的类型和工作频率,然后开始测试所有的RAM,并同时在屏幕上显示内存测试的进度,我们可以在CMOS设置中自行决定使用简单耗时少或者详细耗时多的测试方式。

  第六步: 内存测试通过之后,系统BIOS将开始检测系统中安装的一些标准硬件设备,包括硬盘、CD-ROM、串口、并口、软驱等设备,另外绝大多数较新版本的系统BIOS在这一过程中还要自动检测和设置内存的定时参数、硬盘参数和访问模式等。
  第七步: 标准设备检测完毕后,系统BIOS内部的支持即插即用的代码将开始检测和配置系统中安装的即插即用设备,每找到一个设备之后,系统BIOS都会在屏幕上显示出设备的名称和型号等信息,同时为该设备分配中断、DMA通道和I/O端口等资源。
  第八步: 到这一步为止,所有硬件都已经检测配置完毕了,多数系统BIOS会重新清屏并在屏幕上方显示出一个表格,其中概略地列出了系统中安装的各种标准硬件设备,以及它们使用的资源和一些相关工作参数。
  第九步: 接下来系统BIOS将更新ESCD(Extended System Configuration Data,扩展系统配置数据)。ESCD是系统BIOS用来与操作系统交换硬件配置信息的一种手段,这些数据被存放在CMOS(一小块特殊的RAM,由主板上的电池来供电)之中。
  通常ESCD数据只在系统硬件配置发生改变后才会更新,所以不是每次启动机器时我们都能够看到“Update ESCD… Success”这样的信息,不过,某些主板的系统BIOS在保存ESCD数据时使用了与Windows系统不相同的数据格式,于是Windows在它自己的启动过程中会把ESCD数据修改成自己的格式,但在下一次启动机器时,即使硬件配置没有发生改变,系统BIOS也会把ESCD的数据格式改回来,如此循环,将会导致在每次启动机器时,系统BIOS都要更新一遍ESCD,这就是为什么有些机器在每次启动时都会显示出相关信息的原因。

  第十步: ESCD更新完毕后,系统BIOS的启动代码将进行它的最后一项工作,即根据用户指定的启动顺序从软盘、硬盘或光驱启动。

  第十一步:以从硬盘盘启动为例,
  1、系统BIOS将磁盘第一个物理扇区加载到内存,读取并执行位于硬盘第一个
  2、接着将系统控制权交给MBR来进行
  3、MBR运行后,搜索MBR中的分区表,查找活动分区(Active Partition)的起始位置
4、MBR将活动分区的第一个扇区中的引导扇区——分区引导记录载入到内存。
  5、MBR检测当前使用的文件系统是否可用。
第十二步:主引导记录加载系统启动器(windows loader)
  1、MBR查找ntldr文件,找到之后初始化NTLDR文件启动它——NT内核操作系统的启动器(windows loader)。
  注:win98引导 在这个环节,如果硬盘中安装的只有win98系统,已经被加载的win98的分区引导记录(和win2k这样基于NT内核的操作系统不同,DOS和win9x的系统启动器——windows loader就是分区引导记录)将负责读取并执行IO.SYS,这是DOS和Windows 9x最基本的系统文件。Windows 9x的IO.SYS首先要初始化一些重要的系统数据,然后就显示出我们熟悉的蓝天白云,在这幅画面之下,Windows将继续进行DOS部分和GUI(图形用户界面)部分的引导和初始化工作。
  2、MBR将控制权转交给ntldr,由ntldr继续完成操作系统的启动。
  MBR(Master Boot Record)——主引导记录,位于启动磁盘的第一个扇区,其中主要包含引导代码(Boot Code)和分区表(Partition Table)数据。引导代码主要用于引导系统。而分区表则主要用于标识基本分区和扩展分区。
这整个过程便是计算机在打开电源开关(或按Reset键)进行冷启动时所要完成的各种初始化工作,如果我们在DOS下按Ctrl+Alt+Del组合键(或从Windows中选择重新启动计算机)来进行热启动,那么POST过程将被跳过去,直接从第三步开始,另外第五步的检测CPU和内存测试也不会再进行。我们可以看到,无论是冷启动还是热启动,系统BIOS都一次又一次地重复进行着这些我们平时并不太注意的事情,然而正是这些单调的硬件检测步骤为我们能够正常使用电脑提供了基础。
gototop
 

回复: 操作系统启动过程——硬件自检+系统引导+系统加载+系统登录

加载内核阶段



Ntldr获取从ntdetect.com发来的信息后,将这些信息组织成为内部结构形式,然后由ntldr 启动ntoskrnl.exe程序,并将这些信息和boot.ini文件中的信息,以及注册表中的硬件和软件信息传递给ntoskrnl.exe 程序——Windows XP内核。

  1、将内核(ntoskrnl.exe)和硬件抽象层(hal.dll)载入到内存
在加载内核阶段,ntldr加载称为内核的ntokrnl.exe,但是没有将它初始化。 接着ntldr加载硬件抽象层(HALhal.dll)。
  2、加载控制集信息
  在这一过程中,ntldr从注册表中HKEY_LOCAL_MACHINE\SYSTEM的位置读取select键来决定哪一个控制集(Control Set)信息将被加载,并确定在启动过程中要加载的设备驱动。控制集中包含设备的驱动程序以及需要加载的服务。

 3、加载设备驱动程序和服务
 在这一步中,系统会在BIOS的帮助下开始加载设备驱动程序,以及服务。
 设备驱动程序,NTLDR将加载HKEY_LOCAL_MACHINE\system\service\...start键值为0的最底层设备驱动。  当作为Control Set的镜像的Current Control Set被加载时,NTLDR将把控制权传递给Windows XP内核NTOSKRNL.EXE
  至内核加载阶段结束,接下来是初始化内核阶段。
最后编辑未眠人 最后编辑于 2009-07-08 20:19:20
gototop
 

回复: 操作系统启动过程——硬件自检+系统引导+系统加载+系统登录

初始化内核阶段
  在初始化内核阶段开始的时候,彩色的Windows XPlogo以及进度条显示在屏幕中央,在这个阶段,系统完成了启动的4项任务:

1、内核使用在硬件检测时收集到的数据来创建了HKEY_LOCAL_MACHINE\HARDWARE键。

  2、内核通过引用HKEY_LOCAL_MACHINE\system\Current的默认值复制Control Set来创建了Clone Control SetClone Control Set配置是计算机数据的备份,不包括启动中的改变,也不会被修改。

  3、系统完成初始化以及加载设备驱动程序
  内核初始化那些在加载内核阶段被加载的底层驱动程序,然后内核扫描HKEY_LOCAL_MACHINE\system\CurrentControlSet\service\...start键值为1的设备驱动程序。这些设备驱动程序在加载的时候便完成初始化,如果有错误发生,内核使用ErrorControl键值来决定如何处理。  start键值3时,错误标志为危机/关键,系统初次遇到错误会以LastKnownGood Control Set重新启动,如果使用LastKnownGood Control Set启动仍然产生错误,系统报告启动失败,错误信息将被显示,系统停止启动;
  值为2时错误情况为严重,系统启动失败并且以LastKnownGood Control Set重新启动,如果系统启动已经在使用LastKnownGood值,它会忽略错误并且继续启动;
  当值是1的时候错误为普通,系统会产生一个错误信息,但是仍然会忽略这个错误并且继续启动;当值是0的时候忽略,系统不会显示任何错误信息而继续运行
  4、启动会话管理器Session Manager  内核会启动会话管理器(Session Manager,这是一个名为smss.exe 的程序,其作用表现如下:
   (1)创建系统环境变量
   (2)创建虚拟内存页面文件
   (3启动了Windows XP高级子系统以及服务
   (4启动了控制所有输入、输出设备以及访问显示器屏幕Win32子系统
初始化内核完毕
gototop
 

回复: 操作系统启动过程——硬件自检+系统引导+系统加载+系统登录

用户登录阶段
A  在这一过程中,Windows 子系统会启动winlogon.exe,这是一个系统服务,用于提供对Windows 用户的登录和注销的支持。Winlogon.exe 可以完成如下一些工作:
    1、启动服务子系统(services.exe),也称服务控制管理器(Service Control Manager, SCM)。
    2、启动本地安全授权(Local Security Authority , LSA)过程(lsass.exe),同时Windows XP Professional欢迎屏幕或者登陆对话框显示,这时候,系统还可能在后台继续初始化刚才没有完成的驱动程序。     3、在开始登录提示的时候,对Crtl+Alt+Del组合键进行分析处理。
    4、调用一个图形化的识别和认证组件提示输入有效的用户名或密码,收集用户的帐号和密码,然后将这些信息安全地传送给LSA以进行认证处理。如果用户提供的信息是正确的,能够通过认证,就允许用户对系统进行访问。 这时用户成功登录操作系统。
   要注意的是,如果您的计算机中,只有Administrator这一个用户,那么在欢迎屏幕中就会显示Administrator 用户项。如果您的计算机中不仅有Administrator用户,还有别的可以交互登录的用户,那么欢迎屏幕中就只显示出Administrator之外的用户,而不显示Administrator用户。
   如果用户希望以Administrator用户登录,该怎么办呢?实际很简单,直接在欢迎屏幕中按下两次Crtl+Alt+Del组合键,即可打开标准的登录窗口,可以再输入Administrator 的用户名和密码,以便用最高管理员的身份登录。

B  Service Controller最后执行以及扫描HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Servives来检查是否还有服务需要加载,Service Controller查找start键值为2或更高的服务,服务按照start的值以及DependOnGroupDepandOnService的值来加载。
   即插即用设备的检测过程
  对即插即用设备的检测,实际上是和登录过程异步进行的。由系统固件、硬件、设备驱动和系统特性决定了Windows XP如何对新设备进行检测和枚举。当即插即用组件正常工作后,Windows XP会对新设备进行检测,为它们分配系统资源,并在尽量不要用户提供选择的情况下,为新设备安装一个合适版本的驱动程序。

启动完成
   只有用户成功登陆到计算机后,Windows XP的启动才被认为是完成,在成功登陆后,系统拷贝Clone Control SetLastKnownGood Control Set,完成这一步骤后,系统才意味着已经成功引导了。
gototop
 

回复:操作系统启动过程——硬件自检+系统引导+系统加载+系统登录

该用户帖子内容已被屏蔽
最后编辑zg1_2004 最后编辑于 2009-07-08 21:01:03
gototop
 

回复:操作系统启动过程——硬件自检+系统引导+系统加载+系统登录

感谢分享
gototop
 

回复:操作系统启动过程——硬件自检+系统引导+系统加载+系统登录

学习了!
gototop
 
1   1  /  1  页   跳转
页面顶部
Powered by Discuz!NT