XP操作系统启动的详细过程

简单的说就是这样：

从按下计算机开关启动计算机，到登入到桌面完成启动，一共经过了以下几个阶段：

1. 预引导(Pre-Boot)阶段；

2. 引导阶段；

3. 加载内核阶段；

4. 初始化内核阶段；

5. 登陆。

详细的说，就是这样：

首先让我们来了解一些基本概念。第一个是大家非常熟悉的BIOS（基本输入输出系统），BIOS是直接与硬件打交道的底层代码，它为操作系统提供了控制硬件设备的基本功能。BIOS包括有系统BIOS（即常说的主板BIOS）、显卡BIOS和其它设备（例如IDE控制器、SCSI卡或网卡等）的 BIOS，其中系统BIOS是本文要讨论的主角，因为计算机的启动过程正是在它的控制下进行的。BIOS一般被存放在ROM(只读存储芯片)之中，即使在关机或掉电以后，这些代码也不会消失。

第二个基本概念是内存的地址，我们的机器中一般安装有32MB、64MB或128MB内存，这些内存的每一个字节都被赋予了一个地址，以便CPU访问内存。32MB的地址范围用十六进制数表示就是0～1FFFFFFH，其中0～FFFFFH的低端1MB内存非常特殊，因为最初的8086处理器能够访问的内存最大只有1MB，这1MB的低端640KB被称为基本内存，而A0000H～BFFFFH要保留给显示卡的显存使用，C0000H～FFFFFH则被保留给BIOS使用，其中系统BIOS一般占用了最后的64KB或更多一点的空间，显卡BIOS一般在C0000H～C7FFFH处，IDE控制器的 BIOS在C8000H～CBFFFH处。

第一步：当我们按下电源开关时，电源就开始向主板和其它设备供电，此时电压还不太稳定，主板上的控制芯片组会向CPU发出并保持一个RESET（重置）信号，让 CPU内部自动恢复到初始状态，但CPU在此刻不会马上执行指令。当芯片组检测到电源已经开始稳定供电了（当然从不稳定到稳定的过程只是一瞬间的事情），它便撤去RESET信号（如果是手工按下计算机面板上的Reset按钮来重启机器，那么松开该按钮时芯片组就会撤去RESET信号），CPU马上就从地址 FFFF0H处开始执行指令，从前面的介绍可知，这个地址实际上在系统BIOS的地址范围内，无论是Award BIOS还是AMI BIOS，放在这里的只是一条跳转指令，跳到系统BIOS中真正的启动代码处。

第二步： 系统BIOS的启动代码首先要做的事情就是进行POST（Power－On Self Test，加电后自检），POST的主要任务是检测系统中一些关键设备是否存在和能否正常工作，例如内存和显卡等设备。由于POST是最早进行的检测过程，此时显卡还没有初始化，如果系统BIOS在进行POST的过程中发现了一些致命错误，例如没有找到内存或者内存有问题（此时只会检查640K常规内存），那么系统BIOS就会直接控制喇叭发声来报告错误，声音的长短和次数代表了错误的类型。在正常情况下，POST过程进行得非常快，我们几乎无法感觉到它的存在，POST结束之后就会调用其它代码来进行更完整的硬件检测。

第三步：接下来系统BIOS将查找显卡的BIOS，前面说过，存放显卡BIOS的ROM芯片的起始地址通常设在C0000H处，系统BIOS在这个地方找到显卡 BIOS之后就调用它的初始化代码，由显卡BIOS来初始化显卡，此时多数显卡都会在屏幕上显示出一些初始化信息，介绍生产厂商、图形芯片类型等内容，不过这个画面几乎是一闪而过。系统BIOS接着会查找其它设备的BIOS程序，找到之后同样要调用这些BIOS内部的初始化代码来初始化相关的设备。

第四步： 查找完所有其它设备的BIOS之后，系统BIOS将显示出它自己的启动画面，其中包括有系统BIOS的类型、序列号和版本号等内容。

第五步： 接着系统BIOS将检测和显示CPU的类型和工作频率，然后开始测试所有的RAM，并同时在屏幕上显示内存测试的进度，我们可以在CMOS设置中自行决定使用简单耗时少或者详细耗时多的测试方式。

第六步： 内存测试通过之后，系统BIOS将开始检测系统中安装的一些标准硬件设备，包括硬盘、CD－ROM、串口、并口、软驱等设备，另外绝大多数较新版本的系统BIOS在这一过程中还要自动检测和设置内存的定时参数、硬盘参数和访问模式等。

第七步： 标准设备检测完毕后，系统BIOS内部的支持即插即用的代码将开始检测和配置系统中安装的即插即用设备，每找到一个设备之后，系统BIOS都会在屏幕上显示出设备的名称和型号等信息，同时为该设备分配中断、DMA通道和I/O端口等资源。

第八步： 到这一步为止，所有硬件都已经检测配置完毕了，多数系统BIOS会重新清屏并在屏幕上方显示出一个表格，其中概略地列出了系统中安装的各种标准硬件设备，以及它们使用的资源和一些相关工作参数。

第九步： 接下来系统BIOS将更新ESCD（Extended System Configuration Data，扩展系统配置数据）。ESCD是系统BIOS用来与操作系统交换硬件配置信息的一种手段，这些数据被存放在CMOS（一小块特殊的RAM，由主板上的电池来供电）之中。通常ESCD数据只在系统硬件配置发生改变后才会更新，所以不是每次启动机器时我们都能够看到“Update ESCD… Success”这样的信息，不过，某些主板的系统BIOS在保存ESCD数据时使用了与Windows 9x不相同的数据格式，于是Windows 9x在它自己的启动过程中会把ESCD数据修改成自己的格式，但在下一次启动机器时，即使硬件配置没有发生改变，系统BIOS也会把ESCD的数据格式改回来，如此循环，将会导致在每次启动机器时，系统BIOS都要更新一遍ESCD，这就是为什么有些机器在每次启动时都会显示出相关信息的原因。

第十步： ESCD更新完毕后，系统BIOS的启动代码将进行它的最后一项工作，即根据用户指定的启动顺序从软盘、硬盘或光驱启动。以从C盘启动为例，系统BIOS 将读取并执行硬盘上的主引导记录，主引导记录接着从分区表中找到第一个活动分区，然后读取并执行这个活动分区的分区引导记录，而分区引导记录将负责读取并执行IO.SYS，这是DOS和Windows 9x最基本的系统文件。Windows 9x的IO.SYS首先要初始化一些重要的系统数据，然后就显示出我们熟悉的蓝天白云，在这幅画面之下，Windows将继续进行DOS部分和GUI（图形用户界面）部分的引导和初始化工作。

如果系统之中安装有引导多种操作系统的工具软件，通常主引导记录将被替换成该软件的引导代码，这些代码将允许用户选择一种操作系统，然后读取并执行该操作系统的基本引导代码（DOS和Windows的基本引导代码就是分区引导记录）。

上面介绍的便是计算机在打开电源开关（或按Reset键）进行冷启动时所要完成的各种初始化工作，如果我们在DOS下按Ctrl＋Alt＋Del组合键（或从Windows中选择重新启动计算机）来进行热启动，那么POST过程将被跳过去，直接从第三步开始，另外第五步的检测CPU和内存测试也不会再进行。我们可以看到，无论是冷启动还是热启动，系统BIOS都一次又一次地重复进行着这些我们平时并不太注意的事情，然而正是这些单调的硬件检测步骤为我们能够正常使用电脑提供了基础。

Win XP系统的超级管理员Administrators帐户

Win XP系统的超级管理员安全忠告

Windows XP凭借极高的安全性和稳定性，赢得了广大用户的青睐。我们可以通过建立个人账户、设定密码来保护自己的个人隐私，还可以用Administrators(超级管理员)的身份任意设置账户，为每一个账户设置不同的权限，可以说拥有至高无上的权利，也拥有系统的“生杀大权”，享有系统最高级别的安全保障。

但是，如果我告诉你，我能不费吹灰之力就可以将你这个Administrators给废掉，取而代之的是我成为Administrators，你信不信?呵呵，你不信?好，我们来试一试:

步骤一 重新启动计算机，在出现启动菜单时按F8键进入高级选项菜单，选择“安全模式”进入系统;

步骤二 打开“控制面板”，找到“用户和密码”选项，看看是不是账户中包括Administrators?好，现在将Administrators账户删除，重新创建一个Administrators，或是更改原来的Administrators账户密码;

步骤三 重新启动计算机后，只有输入新的密码才能登录Windows XP。

为什么会出现这种问题呢?原因很简单:Windows XP真正的超级管理员账号应该是在安全模式下的Administrators，并不是在正常模式下的Administrators。在默认情况下，安全模式下的Administrators密码为空。无论用户在正常模式下将Administrators密码设置得多么复杂，安全性多么高，如果没有设置安全模式下的Administrators密码，你的电脑将毫无秘密可言。

现在，你是不是对Windows XP的安全性有些担忧了?那怎么办?这还不简单:赶紧进入安全模式，设置Administrators密码，将自己提升为真正的Administrators!当然，这次设置的密码要记牢了，否则下次你就真的无法进入Windows XP了!

不再垂帘听政 让Administrator发挥作用

安装Windows xp时，如果设置了一个管理员帐户，那么系统内置没有密码保护Administrators管理员帐户是不会出现在用户登录列表中的，虽然它身在幕后，可却拥有系统最高权限，为了方便操作及保证系统安全，可以先给它设置密码，然后再把它请到台前来，以下便是具体方法:

①使用“传统登录提示”登录

启动系统到欢迎屏幕时按两次“ctrl+alt+delete”组合键，在出现的登录框中输入Administrators单击“更改用户登录或注销的方式”，去掉“使用欢迎屏幕前的复选框，单击“应用选项”即可在启动时直接输入Administrators帐户名及密码登录。

②在登录的欢迎屏幕显示Administrators帐户

单击“开始→运行”输入regedit后回车定位到

“[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\WindowsNT\CurrentVersion\Winlogon\SpecialAccounts\UserList]”分支，将右边的Administrators的值改为“1”，即可让Administrators帐户出现在登录的欢迎屏幕上。

③自动登录到Administrators帐户

单击“开始→运行”输入“control.exe userpasswords2”后回车，在打开的“用户帐户”窗口去掉“要使用本机用户必须输入密码”前的复选框，按应用后，在弹出的“自动登录”窗口中输入Administrators帐户密码，按两次“确定”即可。注意:如果原来就设置了其它帐户自动登录，应该选中“要使用本，用户必须输入密码”前的复选框按“应用”后，再去掉选中的复选框，也可以修改注册表实现自动登录，不过没有以上方法方便。

当然如果不要Administrators帐户，可以依次打开“开始→控制面板→管理工具→计算机管理”在“计算机管理”窗口中选中“帐号已停用”前的复选框，按“确定”即可停用Administrators帐户。

三类危险的TXT文件

假如您收到的邮件附件中有一个看起来是这样的文件Q 放送.txt，您是不是认为它肯定是纯文本文件?我要告诉您，不一定!它的实际文件名可以是QQ 放送.txt{3050F4D8-98B5-11CF-BB82-00AA00BDCE0B}.{3050F4D8-98B5-11CF-BB82-00AA00BDCE0B}在注册表里是HTML文件关联的意思。但是存成文件名的时候它并 不会显现出来，您看到的就是个.txt文件，这个文件实际上等同于QQ 放送.txt.html。那么直接打开这个文件为什么有危险呢?请看如果这个文件的内容如下:

您可能以为它会调用记事本来运行，可是如果您双击它，结果它却调用了HTML来运行，并且自动在后台开始格式化D盘，同时显示“Windows正在配置系统。Plase不打断这个过程。”这样一个对话框来欺骗您。您看随意打开附件中的.txt的危险够大了吧?

欺骗实现原理:当您双击这个伪装起来的.txt时候，由于真正文件扩展名是.{3050F4D8-98B5-11CF-BB82-00AA00BDCE0B}，也就是.html文件，于是就会以html文件的形式运行，这是它能运行起来的先决条件。

文件内容中的第2和第 3行是它能够产生破坏作用的关键所在。其中第3行是破坏行动的执行者，在其中可以加载带有破坏性质的命令。那么第 2行又是干什么的呢?您可能已经注意到了第 2行里的“Ws cript”，对!就是它导演了全幕，它是幕后主谋!

Ws cript全称Windows s cripting主人，它是Win98中新加进的功能，是一种批次语言/自动执行工具——它所对应的程序“Ws cript.exe”是一个脚本语言解释器，位于c:\WINDOWS下，正是它使得脚本可以被执行，就象执行批处理一样。在Windowss cripting主人脚本环境里，预定义了一些对象，通过它自带的几个内置对象，可以实现获取环境变量、创建快捷方式、加载程序、读写注册表等功能。

识别及防范方法:

①这种带有欺骗性质的.txt文件显示出来的并不是文本文件的图标，它显示的是未定义文件类型的标志，这是区分它与正常TXT文件的最好方法。

②识别的另一个办法是在“按网页方式”查看时在“我的电脑”左面会显示出其文件名全称(如图 1)，此时可以看到它不是真正的TXT文件。问题是很多初学者经验不够，老手也可能因为没留意而打开它，在这里再次提醒您，注意您收到的邮件中附件的文件名，不仅要看显示出来的扩展名，还要注意其实际显示的图标是什么。

③对于附件中别人发来的看起来是TXT的文件，可以将它下载后用鼠标右键选择“用记事本打开”，这样看会很安全。

二。 恶意碎片文件

另一类可怕的TXT文件是一种在Windows中被称作“碎片对象”(扩展名为“嘘”)的文件，它一般被伪装成文本文件通过电子邮件附件来传播，比方说，这个样子Q号码放送.txt.shs，由于真正地后缀名“嘘”不会显示出来，如果在该文件中含有诸如“形式”之类的命令将非常可怕!不仅如此，以下四点原因也是其有一定危害性的原因:

①碎片对象文件的缺省图标是一个和记事本文件图标相类似的图标，很容易会被误认为是一些文本的文档，用户对它的警惕心理准备不足。

②在Windows的默认状态下，“碎片对象”文件的扩展名(“.嘘”)是隐藏的，即使你在“资源管理器”→“工具”→“文件夹选项”→“查看”中，把“隐藏已知文件类型的扩展名”前面的“√”去掉，“.嘘”也还是隐藏的，这是因为Windows支持双重扩展名，如“QQ号码放送.txt.shs”显示出来的名称永远是“QQ号码放送.txt”。

③即使有疑心，你用任何杀毒软件都不会找到这个文件的一点问题，因为这个文件本身就没有病毒，也不是可执行的，而且还是系统文件。你会怀疑这样的文件吗?

④这种嘘附件病毒制造起来非常容易，5分钟就可以学会，也不需要编程知识(格式化C盘的命令:“形式c:”大家都知道吧^ _ ^)。

1、 具体实例

那么，碎片对象到底对用户的计算机会造成什么威胁呢?我们一起来作个测试就明白了。以下测试环境是在Windows 2000服务器中文版上进行的。我们先在硬盘上创建一个测试用的文件test.txt(我创建的位置是D:\test.txt)，然后我们来制作一个能删除这个测试文件的碎片对象文件。

①先运行一个对象包装程序(packager.exe)，我的Win2000服务者安装在/winnt/system32下。

②新建一个文件后，打开菜单“文件”→“导入”，这时会弹出一个文件对话框，让你选择一个文件。不用考虑，随便选择一个文件就可以了。

③然后打开“编辑”→“命令行”，在弹出的命令行输入对话框中输入“cmd.exe /c del d:\test.txt”，点“确定”。

④然后，在菜单中选择“编辑”→“复制数据包”。

⑤接着，随便在硬盘上找个地方，我就直接在桌面上了。在桌面上点击鼠标右键，在弹出菜单中选择“粘贴”，这时我们可以看到在桌面创建了一个碎片对象文件。

现在我们可以双击一下这个文件，CMD窗口一闪而过后，再到D盘看看，测试文件D:\test.txt已经被删除了!现在你该知道了，当时在对象包装中输入地命令被执行了。好危险啊，如果这条命令是要删除系统中的一个重要文件，或者是格式化命令形式之类的危险命令，那该有多么的可怕!

下面让我们一起来看看这个“隐身杀手”的真正面目吧!

2、 技术原理

依照微软的解释，嘘文件是一类特殊的对象链接与嵌入(对象链接与嵌入，对象连接和嵌入)对象，可以由词文档或优秀电子表格创建。通过选择文档中文本或图像的一块区域，然后拖放该区域到桌面上的某处，就可以创建一个Windows碎片对象，或称为嘘文件(此文件是不可读文件)。但是你可以用任何其它你想要的文件名重新命名嘘文件，或者拖放嘘对象到另一个文档(同样地，你可以剪切和粘贴)。

也就是说，我们所输入的命令作为对象链接与嵌入对象嵌入到对象包装程序新建的文件中了， 而微软为了能方便的将嵌入到文件的对象进行复制，使用了一种技术壳废料宾语(简称嘘)，就是说，当你在不同文件间复制对象时，Windows是将对象包装成一个碎片对象来进行复制的。因此，一旦我们不是在文件间进行复制粘贴，而是直接将碎片对象粘贴到硬盘上，就会产生一个.嘘文件。这个碎片对象文件保存了原来对象的所具备的功能，原来对象包含的命令同样会被解析执行，这正是其可怕这处!3、防范方法

(1)“野蛮”法

嘘文件既然不是可执行文件，当然需要其他的程序来解析执行了，我们去掉解析执行的关联就可以简单防止这种文件中潜伏的威胁了。 运行注册表编辑器regedit.exe，在HKEY_CLASSES_ROOT\.shs主键下，将默认值ShellScrap删除，现在双击.嘘文件，看，不会执行了吧?弹出了一个对话框，让我们选择打开.嘘文件需要的程序，此时你选择“记事本”程序看就非常安全了。 更彻底一点的办法是将HKEY_CLASSES_ROOT\ShellScrap\shell\open\command下的打开.嘘文件的关联完全去掉，现在双击.嘘文件，连选择运行程序的对话框也不出现了，它会直接要求在控制面板重建文件关联。

(2)“文明”法

①在注册表编辑器HEY_CLASSES_ROOT\ShellScrap键下，有一个键值“NeverShowExt”，它是导致“.嘘”文件扩展名无法显示的罪魁祸首。删除这个键值，你就可以看到“.嘘”扩展名了。

②更换“碎片对象”文件的默认图标。由于碎片对象文件的默认图标与文本文件图标非常相似，容易麻痹人，所以我们要更换它的图标。打开资源管理器，选中“查看”菜单下的“文件夹选框”，在弹出的对话框中选择“文件类型”标签，在“已注册的文件类型”下找到“碎片对象”。单击右上角“编辑”按钮，在打开的“编辑文件类型” 对话框中单击上边的“更改图标”按钮。打开C:\WINDOWS\SYSTEM\Pifmgr.dll，从出现的图标中选一个作为“.嘘”文件的新图标即可。

(3)更多防治手段

①如果是病毒文件隐藏了其真实扩展名“嘘”，而你在反病毒软件中设置成扫描指定程序文件、而不是扫描所有文件(如只扫描可执行文件)，那么反病毒软件是无法发现病毒的，所以请在反病毒软件的指定程序文件中加入“.嘘”文件的扫描。各种防病毒软件的设置大同小异，比较简单，请大家自己进行设置。

②禁止“碎片对象”文件及“指向文档的快捷方式”文件。

三。改头换面的视野邮件附件

除了上面所说的两类危险的“TXT”文件，还存在另一种危险的“TXT”文件——改头换面的视野邮件附件!即一个看起来是TXT的文件其实是个EXE文件!下面我以OutLook2000简体中文版为例进行详细说明。

1. 开启OutLook2000，新建一个邮件，选择菜单栏中的“格式”→“带格式文本”，在邮件正文点击一下鼠标左键，选择菜单“插入”→“对象”，点击“由文件创建”→“浏览”，选择Windows目录下的notepad.exe，点击“确定”，在新邮件的主体部分出现notepad.exe及其图标。

2. 在刚出现的notepad.exe及其图标上点击鼠标右键，选择“编辑包”，打开对象包装程序，选择“插入图标”按钮，选择“浏览”，选择WINDOWS\SYSTEM\SHELL32.DLL，在当前图标框中选择一个你想要的图标，比方说选择一个文本文件的图标，然后按“确定”。然后选择菜单“编辑”→“卷标”，任意定义一个名字，比方说hello.txt，点击“确定”。

3. 退出对象包装程序，在提示是否更新时选择“是”。

4. 好，现在出现在面前的是hello.txt，一般人会认为它是一个地地道道的文本文件附件，相信没有人怀疑它是别的东西。请你双击这个图表，看看会发生什么?是不是发现它打开的是notepad.exe!如果它是一个病毒文件，结果可想而知!

事实上，当你用OutLook2000收到这样一个邮件时，它会显示这是一个带附件的邮件，当你以为它是一个文本文件附件双击打开时，视野会提示:部分对象携带病毒，可能对你的计算机造成危害，因此，请确保该对象来源可*。是否相信该嵌入对象?安全观念强的人一般会选择“不”(这就对了)，一般的人可能会选择是(你惨了!)。

识别方法:不要怕，尽管它的迷惑性极大，但是仍然会露出一些马脚:

1. 它其实是一个对象链接与嵌入对象，并不是附件，选择它时，选择框会不同于选择附件的选择框。点鼠标右键出现的菜单不同。

2. 双击打开它时，安全提示与附件的安全提示不同，这点非常重要。这时，应该选择“不”，然后点击鼠标右键，选择“编辑包”，提示是否信任该对象时选择“是”，在对象包装程序的右边内容框中，将现出原形。在本例中，会显示“NOTEPAD.EXE的备份”，文件是否可执行，关键在这里。

3. 因为它不是附件，在选择“文件”→“保存附件”时并无对话框出现。

4. 由于并不是所有的邮件收发软件都支持对象嵌入，所以这类邮件的格式不一定被某些软件识别，如OutLook Express。但是视野的使用面很广，尤其是在比较大的、有自己邮件服务器的公司，所以还是有必要提醒大家小心嵌入对象，不光是视野，其实词、优秀等支持嵌入对象的软件可以让嵌入对象改头换面以迷惑人。