WINDOWS启动和关机流程大揭秘(2)

　　第四 Winlogon Csrss过程

　　1.加载GINA模块，默认为Msgina (\Windows\System32\Msgina.dll)

　　2.启动服务进程Windows\System32\Services.exe

　　3.启动Lsass(the local secyrity authentication subsystem)进程

　　4.Gina开始处理交互式登陆，登陆验证成功后，Gina就运行HKLM\Software\Microsoft\Windows NT\CurrentVersion\WinLogon\Userinit，Userinit.exe执行的顺序为：首先处理HKCU\Software \Policies\Microsoft\Windows\System\Scripts 和HKLM\Software\Policies\Microsoft\Windows\System\Scripts这里的脚本，然后处理组策略(假如有的话，运行\Windows\System32\Proquota.exe)，最后运行HKCU\Software\Microsoft\ Windows NT\CurrentVersion\Winlogon\Shell里的SHELL(如果不存在就运行HKLM\Software\Microsoft\ Windows NT\CurrentVersion\Winlogon\Shell里的，一般这里默认的是EXPLORER.exe)，注意这里也是最容易让恶意软件利用的地方。

　　5.最后就是启动其他的启动程序，服务。

　　WINDOWS的关机流程：

　　正常关机都是调用ExitWindowsEx这个函数，Csrss收到这个消息后，先给Winlogon所属的窗口发关机消息，等 Winlogon处理完后，Csrss然后给每个有关机级别的进程发关机消息(2种消息 WM_QUERYENDSESSION/WM_ENDSESSION)，这里的等待时间在HKCU\Control Panel\Desktop\HungAppTimeout这里设置，默认是5000 milliseconds，如果在这个时间范围内有线程没处理完，那就会弹出个窗口，让用户来结束，当然也可以设置让系统自动结束，只要设置HKCU\ Control Panel\Desktop\AutoEndTasks 为 1就可以了，对于控制台应用程序，则Csrss发这个CTRL_LOGOFF_EVENT事件(服务进程是发CTRL_SHUTDOWN_ EVENT这个事件)，同样的流程，有个等待时间，设置在HKCU\Control Panel\Desktop\WaitToKillAppTimeout (默认为 20,000 milliseconds)，接着同样的处理系统进程，处理完后，Winlogon就调用NtShutdownSystem，这个函数在调用 NtSetSystemPowerState来处理驱动和其他的一些子系统。这样整个关机过程就完成了。

　　通过上文的学习,我们都知道，系统关机时要进行一系列的操作，包括：关闭窗口、结束进程和服务、保存数据等等。快速关机是否省掉了某些步骤，这样做又会不会对系统有所危害呢?你是不是都有所了解了呢?学了本教程后,是不是心里就有了答案.