XP操作系統啟動的詳細過程

簡單的說就是這樣：

從按下計算機開關啟動計算機，到登入到桌面完成啟動，一共經過了以下幾個階段：

1. 預引導(Pre-Boot)階段；

2. 引導階段；

3. 加載內核階段；

4. 初始化內核階段；

5. 登陸。

詳細的說，就是這樣：

首先讓我們來了解一些基本概念。第一個是大家非常熟悉的BIOS（基本輸入輸出系統），BIOS是直接與硬件打交道的底層代碼，它為操作系統提供了控制硬件設備的基本功能。BIOS包括有系統BIOS（即常說的主板BIOS）、顯卡BIOS和其它設備（例如IDE控制器、SCSI卡或網卡等）的 BIOS，其中系統BIOS是本文要討論的主角，因為計算機的啟動過程正是在它的控制下進行的。BIOS一般被存放在ROM(只讀存儲芯片)之中，即使在關機或掉電以后，這些代碼也不會消失。

第二個基本概念是內存的地址，我們的機器中一般安裝有32MB、64MB或128MB內存，這些內存的每一個字節都被賦予了一個地址，以便CPU訪問內存。32MB的地址范圍用十六進制數表示就是0～1FFFFFFH，其中0～FFFFFH的低端1MB內存非常特殊，因為最初的8086處理器能夠訪問的內存最大只有1MB，這1MB的低端640KB被稱為基本內存，而A0000H～BFFFFH要保留給顯示卡的顯存使用，C0000H～FFFFFH則被保留給BIOS使用，其中系統BIOS一般占用了最后的64KB或更多一點的空間，顯卡BIOS一般在C0000H～C7FFFH處，IDE控制器的 BIOS在C8000H～CBFFFH處。

第一步：當我們按下電源開關時，電源就開始向主板和其它設備供電，此時電壓還不太穩定，主板上的控制芯片組會向CPU發出并保持一個RESET（重置）信號，讓 CPU內部自動恢復到初始狀態，但CPU在此刻不會馬上執行指令。當芯片組檢測到電源已經開始穩定供電了（當然從不穩定到穩定的過程只是一瞬間的事情），它便撤去RESET信號（如果是手工按下計算機面板上的Reset按鈕來重啟機器，那么松開該按鈕時芯片組就會撤去RESET信號），CPU馬上就從地址 FFFF0H處開始執行指令，從前面的介紹可知，這個地址實際上在系統BIOS的地址范圍內，無論是Award BIOS還是AMI BIOS，放在這里的只是一條跳轉指令，跳到系統BIOS中真正的啟動代碼處。

第二步： 系統BIOS的啟動代碼首先要做的事情就是進行POST（Power－On Self Test，加電后自檢），POST的主要任務是檢測系統中一些關鍵設備是否存在和能否正常工作，例如內存和顯卡等設備。由于POST是最早進行的檢測過程，此時顯卡還沒有初始化，如果系統BIOS在進行POST的過程中發現了一些致命錯誤，例如沒有找到內存或者內存有問題（此時只會檢查640K常規內存），那么系統BIOS就會直接控制喇叭發聲來報告錯誤，聲音的長短和次數代表了錯誤的類型。在正常情況下，POST過程進行得非常快，我們幾乎無法感覺到它的存在，POST結束之后就會調用其它代碼來進行更完整的硬件檢測。

第三步：接下來系統BIOS將查找顯卡的BIOS，前面說過，存放顯卡BIOS的ROM芯片的起始地址通常設在C0000H處，系統BIOS在這個地方找到顯卡 BIOS之后就調用它的初始化代碼，由顯卡BIOS來初始化顯卡，此時多數顯卡都會在屏幕上顯示出一些初始化信息，介紹生產廠商、圖形芯片類型等內容，不過這個畫面幾乎是一閃而過。系統BIOS接著會查找其它設備的BIOS程序，找到之后同樣要調用這些BIOS內部的初始化代碼來初始化相關的設備。

第四步： 查找完所有其它設備的BIOS之后，系統BIOS將顯示出它自己的啟動畫面，其中包括有系統BIOS的類型、序列號和版本號等內容。

第五步： 接著系統BIOS將檢測和顯示CPU的類型和工作頻率，然后開始測試所有的RAM，并同時在屏幕上顯示內存測試的進度，我們可以在CMOS設置中自行決定使用簡單耗時少或者詳細耗時多的測試方式。

第六步： 內存測試通過之后，系統BIOS將開始檢測系統中安裝的一些標準硬件設備，包括硬盤、CD－ROM、串口、并口、軟驅等設備，另外絕大多數較新版本的系統BIOS在這一過程中還要自動檢測和設置內存的定時參數、硬盤參數和訪問模式等。

第七步： 標準設備檢測完畢后，系統BIOS內部的支持即插即用的代碼將開始檢測和配置系統中安裝的即插即用設備，每找到一個設備之后，系統BIOS都會在屏幕上顯示出設備的名稱和型號等信息，同時為該設備分配中斷、DMA通道和I/O端口等資源。

第八步： 到這一步為止，所有硬件都已經檢測配置完畢了，多數系統BIOS會重新清屏并在屏幕上方顯示出一個表格，其中概略地列出了系統中安裝的各種標準硬件設備，以及它們使用的資源和一些相關工作參數。

第九步： 接下來系統BIOS將更新ESCD（Extended System Configuration Data，擴展系統配置數據）。ESCD是系統BIOS用來與操作系統交換硬件配置信息的一種手段，這些數據被存放在CMOS（一小塊特殊的RAM，由主板上的電池來供電）之中。通常ESCD數據只在系統硬件配置發生改變后才會更新，所以不是每次啟動機器時我們都能夠看到“Update ESCD… Success”這樣的信息，不過，某些主板的系統BIOS在保存ESCD數據時使用了與Windows 9x不相同的數據格式，于是Windows 9x在它自己的啟動過程中會把ESCD數據修改成自己的格式，但在下一次啟動機器時，即使硬件配置沒有發生改變，系統BIOS也會把ESCD的數據格式改回來，如此循環，將會導致在每次啟動機器時，系統BIOS都要更新一遍ESCD，這就是為什么有些機器在每次啟動時都會顯示出相關信息的原因。

第十步： ESCD更新完畢后，系統BIOS的啟動代碼將進行它的最后一項工作，即根據用戶指定的啟動順序從軟盤、硬盤或光驅啟動。以從C盤啟動為例，系統BIOS 將讀取并執行硬盤上的主引導記錄，主引導記錄接著從分區表中找到第一個活動分區，然后讀取并執行這個活動分區的分區引導記錄，而分區引導記錄將負責讀取并執行IO.SYS，這是DOS和Windows 9x最基本的系統文件。Windows 9x的IO.SYS首先要初始化一些重要的系統數據，然后就顯示出我們熟悉的藍天白云，在這幅畫面之下，Windows將繼續進行DOS部分和GUI（圖形用戶界面）部分的引導和初始化工作。

如果系統之中安裝有引導多種操作系統的工具軟件，通常主引導記錄將被替換成該軟件的引導代碼，這些代碼將允許用戶選擇一種操作系統，然后讀取并執行該操作系統的基本引導代碼（DOS和Windows的基本引導代碼就是分區引導記錄）。

上面介紹的便是計算機在打開電源開關（或按Reset鍵）進行冷啟動時所要完成的各種初始化工作，如果我們在DOS下按Ctrl＋Alt＋Del組合鍵（或從Windows中選擇重新啟動計算機）來進行熱啟動，那么POST過程將被跳過去，直接從第三步開始，另外第五步的檢測CPU和內存測試也不會再進行。我們可以看到，無論是冷啟動還是熱啟動，系統BIOS都一次又一次地重復進行著這些我們平時并不太注意的事情，然而正是這些單調的硬件檢測步驟為我們能夠正常使用電腦提供了基礎。

Win XP系統的超級管理員Administrators帳戶

Win XP系統的超級管理員安全忠告

Windows XP憑借極高的安全性和穩定性，贏得了廣大用戶的青睞。我們可以通過建立個人賬戶、設定密碼來保護自己的個人隱私，還可以用Administrators(超級管理員)的身份任意設置賬戶，為每一個賬戶設置不同的權限，可以說擁有至高無上的權利，也擁有系統的“生殺大權”，享有系統最高級別的安全保障。

但是，如果我告訴你，我能不費吹灰之力就可以將你這個Administrators給廢掉，取而代之的是我成為Administrators，你信不信?呵呵，你不信?好，我們來試一試:

步驟一 重新啟動計算機，在出現啟動菜單時按F8鍵進入高級選項菜單，選擇“安全模式”進入系統;

步驟二 打開“控制面板”，找到“用戶和密碼”選項，看看是不是賬戶中包括Administrators?好，現在將Administrators賬戶刪除，重新創建一個Administrators，或是更改原來的Administrators賬戶密碼;

步驟三 重新啟動計算機后，只有輸入新的密碼才能登錄Windows XP。

為什么會出現這種問題呢?原因很簡單:Windows XP真正的超級管理員賬號應該是在安全模式下的Administrators，并不是在正常模式下的Administrators。在默認情況下，安全模式下的Administrators密碼為空。無論用戶在正常模式下將Administrators密碼設置得多么復雜，安全性多么高，如果沒有設置安全模式下的Administrators密碼，你的電腦將毫無秘密可言。

現在，你是不是對Windows XP的安全性有些擔憂了?那怎么辦?這還不簡單:趕緊進入安全模式，設置Administrators密碼，將自己提升為真正的Administrators!當然，這次設置的密碼要記牢了，否則下次你就真的無法進入Windows XP了!

不再垂簾聽政 讓Administrator發揮作用

安裝Windows xp時，如果設置了一個管理員帳戶，那么系統內置沒有密碼保護Administrators管理員帳戶是不會出現在用戶登錄列表中的，雖然它身在幕后，可卻擁有系統最高權限，為了方便操作及保證系統安全，可以先給它設置密碼，然后再把它請到臺前來，以下便是具體方法:

①使用“傳統登錄提示”登錄

啟動系統到歡迎屏幕時按兩次“ctrl+alt+delete”組合鍵，在出現的登錄框中輸入Administrators單擊“更改用戶登錄或注銷的方式”，去掉“使用歡迎屏幕前的復選框，單擊“應用選項”即可在啟動時直接輸入Administrators帳戶名及密碼登錄。

②在登錄的歡迎屏幕顯示Administrators帳戶

單擊“開始→運行”輸入regedit后回車定位到

“[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\WindowsNT\CurrentVersion\Winlogon\SpecialAccounts\UserList]”分支，將右邊的Administrators的值改為“1”，即可讓Administrators帳戶出現在登錄的歡迎屏幕上。

③自動登錄到Administrators帳戶

單擊“開始→運行”輸入“control.exe userpasswords2”后回車，在打開的“用戶帳戶”窗口去掉“要使用本機用戶必須輸入密碼”前的復選框，按應用后，在彈出的“自動登錄”窗口中輸入Administrators帳戶密碼，按兩次“確定”即可。注意:如果原來就設置了其它帳戶自動登錄，應該選中“要使用本，用戶必須輸入密碼”前的復選框按“應用”后，再去掉選中的復選框，也可以修改注冊表實現自動登錄，不過沒有以上方法方便。

當然如果不要Administrators帳戶，可以依次打開“開始→控制面板→管理工具→計算機管理”在“計算機管理”窗口中選中“帳號已停用”前的復選框，按“確定”即可停用Administrators帳戶。

三類危險的TXT文件

假如您收到的郵件附件中有一個看起來是這樣的文件Q 放送.txt，您是不是認為它肯定是純文本文件?我要告訴您，不一定!它的實際文件名可以是QQ 放送.txt{3050F4D8-98B5-11CF-BB82-00AA00BDCE0B}.{3050F4D8-98B5-11CF-BB82-00AA00BDCE0B}在注冊表里是HTML文件關聯的意思。但是存成文件名的時候它并 不會顯現出來，您看到的就是個.txt文件，這個文件實際上等同于QQ 放送.txt.html。那么直接打開這個文件為什么有危險呢?請看如果這個文件的內容如下:

您可能以為它會調用記事本來運行，可是如果您雙擊它，結果它卻調用了HTML來運行，并且自動在后臺開始格式化D盤，同時顯示“Windows正在配置系統。Plase不打斷這個過程。”這樣一個對話框來欺騙您。您看隨意打開附件中的.txt的危險夠大了吧?

欺騙實現原理:當您雙擊這個偽裝起來的.txt時候，由于真正文件擴展名是.{3050F4D8-98B5-11CF-BB82-00AA00BDCE0B}，也就是.html文件，于是就會以html文件的形式運行，這是它能運行起來的先決條件。

文件內容中的第2和第 3行是它能夠產生破壞作用的關鍵所在。其中第3行是破壞行動的執行者，在其中可以加載帶有破壞性質的命令。那么第 2行又是干什么的呢?您可能已經注意到了第 2行里的“Ws cript”，對!就是它導演了全幕，它是幕后主謀!

Ws cript全稱Windows s cripting主人，它是Win98中新加進的功能，是一種批次語言/自動執行工具——它所對應的程序“Ws cript.exe”是一個腳本語言解釋器，位于c:\WINDOWS下，正是它使得腳本可以被執行，就象執行批處理一樣。在Windowss cripting主人腳本環境里，預定義了一些對象，通過它自帶的幾個內置對象，可以實現獲取環境變量、創建快捷方式、加載程序、讀寫注冊表等功能。

識別及防范方法:

①這種帶有欺騙性質的.txt文件顯示出來的并不是文本文件的圖標，它顯示的是未定義文件類型的標志，這是區分它與正常TXT文件的最好方法。

②識別的另一個辦法是在“按網頁方式”查看時在“我的電腦”左面會顯示出其文件名全稱(如圖 1)，此時可以看到它不是真正的TXT文件。問題是很多初學者經驗不夠，老手也可能因為沒留意而打開它，在這里再次提醒您，注意您收到的郵件中附件的文件名，不僅要看顯示出來的擴展名，還要注意其實際顯示的圖標是什么。

③對于附件中別人發來的看起來是TXT的文件，可以將它下載后用鼠標右鍵選擇“用記事本打開”，這樣看會很安全。

二。 惡意碎片文件

另一類可怕的TXT文件是一種在Windows中被稱作“碎片對象”(擴展名為“噓”)的文件，它一般被偽裝成文本文件通過電子郵件附件來傳播，比方說，這個樣子Q號碼放送.txt.shs，由于真正地后綴名“噓”不會顯示出來，如果在該文件中含有諸如“形式”之類的命令將非常可怕!不僅如此，以下四點原因也是其有一定危害性的原因:

①碎片對象文件的缺省圖標是一個和記事本文件圖標相類似的圖標，很容易會被誤認為是一些文本的文檔，用戶對它的警惕心理準備不足。

②在Windows的默認狀態下，“碎片對象”文件的擴展名(“.噓”)是隱藏的，即使你在“資源管理器”→“工具”→“文件夾選項”→“查看”中，把“隱藏已知文件類型的擴展名”前面的“√”去掉，“.噓”也還是隱藏的，這是因為Windows支持雙重擴展名，如“QQ號碼放送.txt.shs”顯示出來的名稱永遠是“QQ號碼放送.txt”。

③即使有疑心，你用任何殺毒軟件都不會找到這個文件的一點問題，因為這個文件本身就沒有病毒，也不是可執行的，而且還是系統文件。你會懷疑這樣的文件嗎?

④這種噓附件病毒制造起來非常容易，5分鐘就可以學會，也不需要編程知識(格式化C盤的命令:“形式c:”大家都知道吧^ _ ^)。

1、 具體實例

那么，碎片對象到底對用戶的計算機會造成什么威脅呢?我們一起來作個測試就明白了。以下測試環境是在Windows 2000服務器中文版上進行的。我們先在硬盤上創建一個測試用的文件test.txt(我創建的位置是D:\test.txt)，然后我們來制作一個能刪除這個測試文件的碎片對象文件。

①先運行一個對象包裝程序(packager.exe)，我的Win2000服務者安裝在/winnt/system32下。

②新建一個文件后，打開菜單“文件”→“導入”，這時會彈出一個文件對話框，讓你選擇一個文件。不用考慮，隨便選擇一個文件就可以了。

③然后打開“編輯”→“命令行”，在彈出的命令行輸入對話框中輸入“cmd.exe /c del d:\test.txt”，點“確定”。

④然后，在菜單中選擇“編輯”→“復制數據包”。

⑤接著，隨便在硬盤上找個地方，我就直接在桌面上了。在桌面上點擊鼠標右鍵，在彈出菜單中選擇“粘貼”，這時我們可以看到在桌面創建了一個碎片對象文件。

現在我們可以雙擊一下這個文件，CMD窗口一閃而過后，再到D盤看看，測試文件D:\test.txt已經被刪除了!現在你該知道了，當時在對象包裝中輸入地命令被執行了。好危險啊，如果這條命令是要刪除系統中的一個重要文件，或者是格式化命令形式之類的危險命令，那該有多么的可怕!

下面讓我們一起來看看這個“隱身殺手”的真正面目吧!

2、 技術原理

依照微軟的解釋，噓文件是一類特殊的對象鏈接與嵌入(對象鏈接與嵌入，對象連接和嵌入)對象，可以由詞文檔或優秀電子表格創建。通過選擇文檔中文本或圖像的一塊區域，然后拖放該區域到桌面上的某處，就可以創建一個Windows碎片對象，或稱為噓文件(此文件是不可讀文件)。但是你可以用任何其它你想要的文件名重新命名噓文件，或者拖放噓對象到另一個文檔(同樣地，你可以剪切和粘貼)。

也就是說，我們所輸入的命令作為對象鏈接與嵌入對象嵌入到對象包裝程序新建的文件中了， 而微軟為了能方便的將嵌入到文件的對象進行復制，使用了一種技術殼廢料賓語(簡稱噓)，就是說，當你在不同文件間復制對象時，Windows是將對象包裝成一個碎片對象來進行復制的。因此，一旦我們不是在文件間進行復制粘貼，而是直接將碎片對象粘貼到硬盤上，就會產生一個.噓文件。這個碎片對象文件保存了原來對象的所具備的功能，原來對象包含的命令同樣會被解析執行，這正是其可怕這處!3、防范方法

(1)“野蠻”法

噓文件既然不是可執行文件，當然需要其他的程序來解析執行了，我們去掉解析執行的關聯就可以簡單防止這種文件中潛伏的威脅了。 運行注冊表編輯器regedit.exe，在HKEY_CLASSES_ROOT\.shs主鍵下，將默認值ShellScrap刪除，現在雙擊.噓文件，看，不會執行了吧?彈出了一個對話框，讓我們選擇打開.噓文件需要的程序，此時你選擇“記事本”程序看就非常安全了。 更徹底一點的辦法是將HKEY_CLASSES_ROOT\ShellScrap\shell\open\command下的打開.噓文件的關聯完全去掉，現在雙擊.噓文件，連選擇運行程序的對話框也不出現了，它會直接要求在控制面板重建文件關聯。

(2)“文明”法

①在注冊表編輯器HEY_CLASSES_ROOT\ShellScrap鍵下，有一個鍵值“NeverShowExt”，它是導致“.噓”文件擴展名無法顯示的罪魁禍首。刪除這個鍵值，你就可以看到“.噓”擴展名了。

②更換“碎片對象”文件的默認圖標。由于碎片對象文件的默認圖標與文本文件圖標非常相似，容易麻痹人，所以我們要更換它的圖標。打開資源管理器，選中“查看”菜單下的“文件夾選框”，在彈出的對話框中選擇“文件類型”標簽，在“已注冊的文件類型”下找到“碎片對象”。單擊右上角“編輯”按鈕，在打開的“編輯文件類型” 對話框中單擊上邊的“更改圖標”按鈕。打開C:\WINDOWS\SYSTEM\Pifmgr.dll，從出現的圖標中選一個作為“.噓”文件的新圖標即可。

(3)更多防治手段

①如果是病毒文件隱藏了其真實擴展名“噓”，而你在反病毒軟件中設置成掃描指定程序文件、而不是掃描所有文件(如只掃描可執行文件)，那么反病毒軟件是無法發現病毒的，所以請在反病毒軟件的指定程序文件中加入“.噓”文件的掃描。各種防病毒軟件的設置大同小異，比較簡單，請大家自己進行設置。

②禁止“碎片對象”文件及“指向文檔的快捷方式”文件。

三。改頭換面的視野郵件附件

除了上面所說的兩類危險的“TXT”文件，還存在另一種危險的“TXT”文件——改頭換面的視野郵件附件!即一個看起來是TXT的文件其實是個EXE文件!下面我以OutLook2000簡體中文版為例進行詳細說明。

1. 開啟OutLook2000，新建一個郵件，選擇菜單欄中的“格式”→“帶格式文本”，在郵件正文點擊一下鼠標左鍵，選擇菜單“插入”→“對象”，點擊“由文件創建”→“瀏覽”，選擇Windows目錄下的notepad.exe，點擊“確定”，在新郵件的主體部分出現notepad.exe及其圖標。

2. 在剛出現的notepad.exe及其圖標上點擊鼠標右鍵，選擇“編輯包”，打開對象包裝程序，選擇“插入圖標”按鈕，選擇“瀏覽”，選擇WINDOWS\SYSTEM\SHELL32.DLL，在當前圖標框中選擇一個你想要的圖標，比方說選擇一個文本文件的圖標，然后按“確定”。然后選擇菜單“編輯”→“卷標”，任意定義一個名字，比方說hello.txt，點擊“確定”。

3. 退出對象包裝程序，在提示是否更新時選擇“是”。

4. 好，現在出現在面前的是hello.txt，一般人會認為它是一個地地道道的文本文件附件，相信沒有人懷疑它是別的東西。請你雙擊這個圖表，看看會發生什么?是不是發現它打開的是notepad.exe!如果它是一個病毒文件，結果可想而知!

事實上，當你用OutLook2000收到這樣一個郵件時，它會顯示這是一個帶附件的郵件，當你以為它是一個文本文件附件雙擊打開時，視野會提示:部分對象攜帶病毒，可能對你的計算機造成危害，因此，請確保該對象來源可*。是否相信該嵌入對象?安全觀念強的人一般會選擇“不”(這就對了)，一般的人可能會選擇是(你慘了!)。

識別方法:不要怕，盡管它的迷惑性極大，但是仍然會露出一些馬腳:

1. 它其實是一個對象鏈接與嵌入對象，并不是附件，選擇它時，選擇框會不同于選擇附件的選擇框。點鼠標右鍵出現的菜單不同。

2. 雙擊打開它時，安全提示與附件的安全提示不同，這點非常重要。這時，應該選擇“不”，然后點擊鼠標右鍵，選擇“編輯包”，提示是否信任該對象時選擇“是”，在對象包裝程序的右邊內容框中，將現出原形。在本例中，會顯示“NOTEPAD.EXE的備份”，文件是否可執行，關鍵在這里。

3. 因為它不是附件，在選擇“文件”→“保存附件”時并無對話框出現。

4. 由于并不是所有的郵件收發軟件都支持對象嵌入，所以這類郵件的格式不一定被某些軟件識別，如OutLook Express。但是視野的使用面很廣，尤其是在比較大的、有自己郵件服務器的公司，所以還是有必要提醒大家小心嵌入對象，不光是視野，其實詞、優秀等支持嵌入對象的軟件可以讓嵌入對象改頭換面以迷惑人。