winpe进程启动顺序

十二 27th, 2008
发表评论 | Trackback

想用WINPE来做点事情,深山红叶里有个很好的迷你PE盘。只有一点点文件,才几十M。

用windbg调了一下进程启动顺序,发现如下:

首先内核创建第一个用户进程 smss.exe

后来smss.exe创建 csrss.exe

再后 csrss.exe创建winlogon.exe

winlogon创建services.exe, lsass.exe , pelogon.exe等。

如下图:

smss -> csrss.exe

-> winlogon.exe -> services.exe -setup
                -> X:\WXPE\system32\lsass.exe -setup
                -> PELOGON.EXE PECMD.EXE LOAD %SystemRoot%\SYSTEM32\PECMD.INI => pecmd.exe => showdrive.exe

因为smss和csrss是native应用程序,而winlogon开始是win32子系统程序,因此,如果想要做点事的话,还是替换winlogon.exe比较好。这样编程方便。

标签:
  1. Südtirol: Tipps
    十二 22nd, 201019:32
    #1
  2. Buy Facebook Fans
    十二 27th, 201104:48
    #2
  3. click here link
    一 24th, 201223:25
    #3
验证图片
*