每天使用计算机必须要经过的一个步骤就是启动,而了解到启动的流程及常见的故障,对于理解对于维护有很大帮助的。下面就来简单介绍一下:
一、启动过程
举例,我的电脑在 BIOS里面设置硬盘启动。
⑴、按下主机电源开关,主板BIOS开始自检;
⑵、自检通过后,主板 bios找到硬盘上的第一个扇区主引导记录MBR;
⑶、MBR 引导程序开始读取硬盘分区表DPT,分析其中参数查找活动分区,找到活动分
区中的分区引导记录PBR,并且把控制权交给PBR;
⑷、PBR 搜索活动区中的启动管理器bootmgr,找到后,PBR把控制权交给bootmgr(相
当于xp里的ntldr 文件)。
⑸、bootmgr寻找活动分区中的 boot文件夹中的 BCD文件(启动配置数据,相当于 xp
里的boot.ini文件)。
⑹、找到 BCD后,bootmgr 首先从 BCD中读取启动管理器 bootmgr 菜单的语言版本信
图1请点击此处输入图片描述
⒀、运行空闲(Idle)进程,等待您登录系统了,从而启动整个 windows 7 系统。用户
输入帐号与密码后,Userinit.exe 进程执行用户环境的初始化工作,然后查询注册表
HKLM/SOFTWARE/Microsoft/Windows NT/CurrentVersion/Winlogon/Shell 键的值,默认为
explorer.exe,启动它。然后 Userinit进程退出。
因此 explorer.exe 进程没有父进程,它用来显示系统的桌面环境,包括桌面图标和文件
管理,请不要将此进程与浏览器进程(iexplore.exe)混淆!
这个过程简单地概括为:
Windows 7 系统: BIOS-->COMS->MBR--DPT-->pbr--Bootmgr-->bcd-->Winload.exe-->内核
加载 -驱动项-服务项-启动项等-->整个win7系统---开机完成!
WindowsXP系统:BIOS-COMS——MBR-DPT——PBR-ntlrd——boot.ini-系统内核
注:传统 BIOS MBR 分区表的启动方式将会渐渐被 EFI BIOS GPT 分区表的启动方式替
代! 我们再来对此下windowsXP与windows7,如下图所示:
图2
二、常见故障分析
2.1、MBR 故障
常见提示:一般MBR 出故障时就是开机时左上角光标一直闪的情况。
症状分析:就是已经启动了硬盘,而 MBR 为空或无法读取。
2.2、分区表(DPT)故障
常见提示:An Operating System wasn't found…
症状分析:最常见的 DPT 故障就是活动分区的丢失,造成硬盘启动时不知道该读取哪
个分区,所以也就找不到系统。
2.3、PBR 故障
常见提示:A disk read error occurred..,就是读取磁盘时发生错误
症状分析:即根据分区表而去启动活动分区,但是活动分区上的 PBR 出了故障,自然就
是磁盘读取错误
2.4、读取PBR 找寻引导文件(bootmgr)时出现各种问题
常见提示:NTlrd is missing/bootmgr is misssing(或其它各种文件 is missing)
症状分析:造成这种原因一般有三种情况:
1)活动分区标记错误,即目前的活动分区不是原来的活动分区,自然在该分区下就找
不到引导文件提示XXX is missing。
2)PBR 设置错误,启动系统时去寻找 bootmgr,是因为寻找 bootmgr 的命令写在 PBR
中,PBR 不去找bootmgr而去找NTlrd或别的文件(NTlrd是NT5.X,XP系统的引导文件),
自然就是PBR 上的命令写错了 。
3)的确是bootmgr 损坏丢失 2.5、BCD故障
常见提示:主要特征为上面一个白色横栏,上面写着 windows boot manager 或者
windows启动管理器(其实就是 bootmgr 这个程序的界面) 。
症状分析:即 BCD 文件丢失或损坏或设置,造成 bootmgr 无法找到读取 BCD 或者无法
根据BCD的设置找到系统并启动,所以反馈出如上信息。
2.6、winload.exe 或内核文件故障
常见提示:蓝屏 、一般会有损坏的文件的提示。
症状分析:大多情况下是系统文件被病毒或者什么原因破坏,可以尝试过 PE 里替换系
统文件,有时PE方法无效则重装会更快解决问题。
2.7、驱动故障
常见提示:出现win7 logo界面后蓝屏或黑屏
症状分析:自然就是驱动无法加载造成无法启动,黑屏好解决,大多显卡驱动问题。蓝
屏基本没救了,重装系统。
2.8、服务项或启动项故障
常见症状:开机时卡在欢迎界面,或者进入桌面后只有一个鼠标等等等各种在欢迎界面
时或界面后的不正常现象。
症状分析:
1)系统关键服务被禁止;
2)开机必须启动的文件被损坏或设置被篡改(注册表中) ;
3)第三方服务项或启动项的干扰。
附件:Windows关键文件
smss.exe被叫作会话管理子系统,负责启动用户的会话,是重要的引导操作。如创建环
境变量,启动csrss和进行排队在系统引导前的文件拷贝操作(它处理 Windows文件保护并
通过Winlogon创建登陆会话)。自 Win7,smss作为系统重要进程,中断smss会导致系统蓝
屏。
csrss.exe 是客户/服务器运行子系统用户态的主要部分。由于大部分 Win32 子系统操作
被移入核心态驱动(Win32.sys),所以它主要负责Win32 控制台窗口、创建或删除线程和部分
16 位虚拟 MS-DOS 环境。它是一个核心子系统必须总在运行,因而中断该进程将导致蓝屏死机。NTSD中设置标识可以调试它。
wininit.exe 是Windows启动/关闭服务。
logonui.exe 叫Windows登陆用户界面,关系到Windows用户切换屏幕。 winlogon.exe属于 Windows登陆管理。它处理系统上的登陆和登出过程。
userinit.exe在启动时管理不同需要的启动顺序,如建立网络连接和启动 Windows shell,
由winlogon.exe 调用。
lsass.exe负责加强系统上的安全策略,检查登陆进系统的用户并创建安全令牌。
services.exe 管理启动和停止系统服务。该进程同样处理系统引导时自动启动服务和系
统关闭时停止服务。
svchost.exe 是一个通用服务主进程名,它从动态链接库运行,属于微软服务主进程。启
动时,svchost.exe检查服务注册表服务构建它必须加载的服务列表。
explorer.exe叫Windows资源管理器,也叫用户 shell,从它我们看到熟悉的任务栏、桌
面等,能通过任务管理器停止。它有命令行选项。
Slsvc.exe管理所有 Windows许可活动。
spoolsv.exe 管理所有本地和网络打印队列以及控制所有打印工作。
lsm.exe叫本地会话管理。它主要用来管理终端服务器连接。
conime.exe 叫做控制台 IME,主要用作亚洲语言。可以通过修改注册表加载。
dllhost.exe 是COM 主进程控制IIS中的进程并被许多程序使用。
winmgmt.exe 是 Windows 客户端管理核心组件。当首次客户端应用程序连接或管理应
用程序连续请求它的服务时它初始化。
ntdll.dll是描述 NT 层DLL(NT Layer DLL)的文件,它包含 NT kernel的功能,实际可看作映射表。
希望本篇文章对在处于维护一线的维护 工程师们有帮助!
,
