想用WINPE来做点事情,深山红叶里有个很好的迷你PE盘。只有一点点文件,才几十M。
用windbg调了一下进程启动顺序,发现如下:
首先内核创建第一个用户进程 smss.exe
后来smss.exe创建 csrss.exe
再后 csrss.exe创建winlogon.exe
winlogon创建services.exe, lsass.exe , pelogon.exe等。
如下图:
smss -> csrss.exe
-> winlogon.exe -> services.exe -setup
-> X:\WXPE\system32\lsass.exe -setup
-> PELOGON.EXE PECMD.EXE LOAD %SystemRoot%\SYSTEM32\PECMD.INI => pecmd.exe => showdrive.exe
因为smss和csrss是native应用程序,而winlogon开始是win32子系统程序,因此,如果想要做点事的话,还是替换winlogon.exe比较好。这样编程方便。