存档
想用WINPE来做点事情,深山红叶里有个很好的迷你PE盘。只有一点点文件,才几十M。 用windbg调了一下进程启动顺序,发现如下: 首先内核创建第一个用户进程 smss.exe 后来smss.exe创建 csrss.exe 再后 csrss.exe创建winlogon.exe winlogon创建services.exe, lsass.exe , pelogon.exe等。 如下图: smss -> csrss.exe -> winlogon.exe -> services.exe -setup -> X:\WXPE\system32\lsass.exe -setup -> PELOGON.EXE PECMD.EXE LOAD %SystemRoot%\SYSTEM32\PECMD.INI => pecmd.exe => showdrive.exe 因为smss和csrss是native应用程序,而winlogon开始是win32子系统程序,因此,如果想要做点事的话,还是替换winlogon.exe比较好。这样编程方便。
十二 27th, 2008 | Filed under boot