Séquence de Boot et processus de démarrage
des systèmes Windows NT X86 et X64
Rédacteur : Patrick Chalbet
CNRS-CRHEA
19/01/2010
But du papier :
Il peut être intéressant de comprendre ou détailler les séquences de boot des systèmes
d’exploitation que l’on utilise. Il est relativement aisé d’insérer dans les systèmes libres,
comme Linux, un script démarrant aux différentes étapes de boot dans les « rc.* », « init.d »,
« modules » ou les « Run levels » ou d’en visualiser les étapes dans les fichiers logs comme
/var/log/messages, /var/log/boot ou /var/log/dmesg.
Sous Windows, c’est beaucoup moins facile du fait de l’imperméabilité propre au système.
Les processus de boot sont beaucoup moins accessibles par manque de fichiers logs tels que
ceux cités plus haut.
Nous essaierons, ici, de déployer les différents étapes du
Boot des systèmes Windows et leurs différents processus de démarrages tels que les drivers et
services ainsi que leurs déroulements de façons chronologiques.
I. Séquence de Boot des systèmes 2000, 2003, XP 1
1) Power On – allumage
2) La CMOS de la carte mère charge le BIOS
3) BIOS effectue un test de la mémoire Nota : Les cartes AGP et Réseaux ont aussi
leur propre Bios internes.
4) Lecture de la MBR – La MBR est située sur le Premier secteur du premier Disque
Dur [Master ou Hd0]
5) La MBR lit le secteur de démarrage où est situé NTLDR. NTLDR est le gestionnaire
de démarrage de Windows XP/2000/2003. NTLDR doit être à la racine de la partition
active comme le sont NTDETECT.COM, Boot.ini BOOTSECT.DOS (multi-OS
démarrage) et NTBOOTDD.SYS (si vous possédez plusieurs cartes SCSI).
1
http://pcs.suite101.com/article.cfm/windows_xp_boot_sequence
http://www.laboratoire-microsoft.org/articles/win/boot_process
pc Page 1 19/01/2010
� 6) NTLDR fait passer le processeur du mode réel au mode mémoire 32 bits. Le système
démarre en mode 16 bits et puis se déplace en 32 bits (mode protégé) ou 64 bits
suivant la version utilisée. NTLDR démarre alors les pilotes de système de fichiers
approprié (FAT ou NTFS).
7) NTLDR lit le fichier Boot.ini et affiche les sélections à l’écran. Si vous ajoutez le
commutateur /SOS dans le boot.ini, il vous sera possible de voir les pilotes chargés.
8) NTLDR charge l'OS sélectionné. Si NT est sélectionné, NTLDR charge Ntdetect.com
(sinon, Bootsect.dos). Ntdetect.com détectera les périphériques matériels installés.
9) NTLDR charge ensuite Ntoskrnl.exe, Hal.dll (ces deux fichiers sont Windows XP. Ils
doivent être situés dans System32% SystemRoot%) et la ruche "system" située dans la
Base de Registre. La ruche « SYSTEM » du registre en mémoire, sélectionne la
configuration matérielle et autorise les pilotes de périphériques et le control set utilisés
pour ce démarrage dans cet ordre précis.
10) NTOSKRNL charge ensuite tous les pilotes de périphériques qui possèdent une valeur
de démarrage (dans le Registre : HKEY_LOCAL_MACHINE\SYSTEM
\CurrentControlSet\Services) de 0x0.
11) Le noyau monte. A cette étape importante du déroulement, SMSS.exe qui crée les
variables d’environnement, monte le système Win32 en mode noyau, crée les fichiers
de paginations et charge WINLOGON.EXE avec LSASS.EXE, gestionnaire de
sécurité locale.Winlogon.exe affiche l'écran d'ouverture de session afin que vous
puissiez vous connecter. SMSS ouvrira autant de WINLOGON que de sessions
ouvertes.
12) Winlogon réalise l'identification et l'authentification d'un utilisateur via le service
LSASS.EXE qui vérifie sur quelle base l’utilisateur est référencé (Active Directory ou
base SAM locale ou de domaine) et une bibliothèque GINA. Si le processus
LSASS.EXE (système de sécurité) ou WINLOGON.EXE s'arrêtent, SMSS.EXE
provoque le reboot de l'ordinateur. Cela permet de garantir la sécurité.
13) Une fois l’utilisateur authentifié, Windows lance Userinit.exe et Eplorer.exe, le Shell
système de l’utilisateur.
14) Viennent ensuite les Group Policy ( stratégies de groupes) et les différents registres
chargés :
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Runonce
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer\Run
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
HKCU\Software\Microsoft\Windows NT\CurrentVersion\Windows\Run
HKCU\Software\Microsoft\Windows\CurrentVersion\Run
HKCU\Software\Microsoft\Windows\CurrentVersion\RunOnce
pc Page 2 19/01/2010
� Bios : Test la mémoire et lit la MBR sur le premier secteur amorçable.
MBR : charge NTLDR.
NTLDR : Charge l'OS par l’intermédiaire de Ntoskrnl.exe et Hal.dll.
Boot.ini : Construit le menu de sélection.
Bootsect.dos : Chargé par NTLDR en vue d'un autre OS.
Ntdetect.com : Recherche le matériel disponible.
Ntbootdd.sys : Pour amorçage à partir d'un disque SCSI dont le contrôleur n'a pas le bios activé.
Ntoskrnl.exe : Noyau NT (system32).
Hal.dll : Cette couche implémente un certain nombre de fonctions spécifiques au matériel : interfaces d'entrées-
sorties, contrôleur d'interruptions, caches matériels, mécanismes de communication multiprocesseur... Elle isole
ainsi le noyau du système des spécificités des plates-formes matérielles.
win32k.sys : le système Win32 se lance en mode noyau
Smss.exe : Session Manager Subsystem
Lsass.exe : Local Security Authority Subsystem Service
Gina: Graphical Identification And Authentication (ctrl+alt+supp).
II. Séquence de Boot des systèmes 2008, Vista 2 :
Les séquences de boot des systèmes 2008 et Vista sont relativement similaires, mis à part les
secteurs de boot déployés comme suit. L’étape d’authentification GINA a été abandonnée
pour Credential Providers, permettant différentes sources d’identifications avec une sécurité
accrue.
1) Power on – Allumage
2) Le CMOS de la carte mère charge le BIOS
3) Le BIOS effectue un test de la mémoire.
4) Lecture de la MBR – La MBR est aussi située sur le premier secteur du premier
Disque Dur [Master ou Hd0].
5) La MBR lit le secteur de démarrage où est situé Bootmgr (Windows Boot
Manager),
L’équivalent actuel de NTLDR. Bootmgr se charge et lit les données du magasin BCD
(Boot Configuration Data). Le processus utilise donc le magasin BCD à la place de
Boot.ini. Il est éditable par bcdedit.
6) Bootmgr charge ensuite Winload situé dans (%systemroot%\system32).
Si le système est en mode hibernation, Bootmgr chargera Winresume situé aussi dans
(%systemroot%\system32) à la place de Winload. Winload charge enfin les pilotes et
Ntoskrnl (%systemroot%\system32), le noyau.
2
Windows Server 2008: installation, configuration, gestion et dépannage Par Philippe Freddi
pc Page 3 19/01/2010
� III. Démarrage des librairies et services
Il est possible de visualiser les différentes librairies et services chargés par Windows et leurs
temps d’exécution. Ils sont tributaires, bien entendu, du matériel et du système utilisé. Il
s’agit, ici d’un portable équipé d’un Intel Pentium M cadencé à 1,86 Mhz avec 1,5 Go de
RAM.
Ce poste est équipé aussi, comme on le voit plus bas, d’un antivirus Symantec, Carte
Wireless, Carte Graphique ATI etc…
Started at: 30.11.2009 12:53:40.687
C:\WINDOWS\system32\ntkrnlpa.exe Start: 30.11.2009 12:53:40.687 Duration: 0 sec
System Start: 30.11.2009 12:53:46.430 Duration: 113.653 sec
C:\WINDOWS\system32\ati3duag.dll Start: 30.11.2009 12:54:07.672 Duration: 0.897 sec
C:\WINDOWS\system32\winlogon.exe Start: 30.11.2009 12:54:07.859 Duration: 52.459 sec
C:\WINDOWS\system32\services.exe Start: 30.11.2009 12:54:08.828 Duration: 45.336 sec
C:\WINDOWS\system32\lsass.exe Start: 30.11.2009 12:54:08.828 Duration: 115.908 sec
C:\WINDOWS\system32\ati2evxx.exe Start: 30.11.2009 12:54:12.287 Duration: 1.686 sec
C:\WINDOWS\system32\svchost.exe Start: 30.11.2009 12:54:12.337 Duration: 55.674 sec
C:\WINDOWS\system32\svchost.exe Start: 30.11.2009 12:54:12.893 Duration: 1.213 sec
C:\WINDOWS\system32\svchost.exe Start: 30.11.2009 12:54:13.101 Duration: 95.999 sec
C:\Program Files\Intel\Wireless\Bin\EvtEng.exe Start: 30.11.2009 12:54:13.931 Duration:
0.938 sec
C:\Program Files\Intel\Wireless\Bin\S24EvMon.exe Start: 30.11.2009 12:54:14.174 Duration:
41.634 sec
C:\Program Files\Intel\Wireless\Bin\WLKEEPER.exe Start: 30.11.2009 12:54:14.280
Duration: 6.447 sec
C:\WINDOWS\system32\svchost.exe Start: 30.11.2009 12:54:14.559 Duration: 4.162 sec
C:\WINDOWS\system32\svchost.exe Start: 30.11.2009 12:54:14.658 Duration: 74.988 sec
C:\Program Files\Fichiers communs\Symantec Shared\ccSetMgr.exe Start: 30.11.2009
12:54:15.124 Duration: 89.729 sec
C:\Program Files\Fichiers communs\Symantec Shared\ccEvtMgr.exe Start: 30.11.2009
12:54:15.310 Duration: 0.617 sec
pc Page 4 19/01/2010
�C:\Program Files\Fichiers communs\Symantec Shared\SPBBC\SPBBCSvc.exe Start:
30.11.2009 12:54:15.949 Duration: 94.942 sec
C:\WINDOWS\system32\spoolsv.exe Start: 30.11.2009 12:54:16.271 Duration: 47.464 sec
C:\WINDOWS\system32\svchost.exe Start: 30.11.2009 12:54:18.080 Duration: 0.368 sec
C:\WINDOWS\system32\BAsfIpM.exe Start: 30.11.2009 12:54:18.626 Duration: 36.775 sec
C:\WINDOWS\system32\cisvc.exe Start: 30.11.2009 12:54:18.819 Duration: 0.514 sec
C:\WINDOWS\system32\dllhost.exe Start: 30.11.2009 12:54:19.368 Duration: 35.143 sec
C:\Program Files\Symantec AntiVirus\DefWatch.exe Start: 30.11.2009 12:54:19.755
Duration: 1.002 sec
C:\PROGRA~1\Intel\Wireless\Bin\1XConfig.exe Start: 30.11.2009 12:54:20.073 Duration:
0.637 sec
C:\WINDOWS\system32\PMService.exe Start: 30.11.2009 12:54:20.221 Duration: 0.125 sec
C:\Program Files\FolderSize\FolderSizeSvc.exe Start: 30.11.2009 12:54:20.709 Duration:
0.906 sec
C:\Program Files\Java\jre6\bin\jqs.exe Start: 30.11.2009 12:54:21.865 Duration: 141.593 sec
C:\WINDOWS\system32\lkads.exe Start: 30.11.2009 12:54:22.243 Duration: 2.702 sec
C:\WINDOWS\system32\lktsrv.exe Start: 30.11.2009 12:54:24.144 Duration: 0.771 sec
C:\Program Files\Fichiers communs\Microsoft Shared\VS7DEBUG\MDM.EXE Start:
30.11.2009 12:54:24.280 Duration: 0.223 sec
E:\logiciel\National Instruments\MAX\nimxs.exe Start: 30.11.2009 12:54:24.833 Duration:
4.305 sec
E:\logiciel\National Instruments\Shared\Security\nidmsrv.exe Start: 30.11.2009 12:54:25.183
Duration: 0.585 sec
C:\WINDOWS\system32\nisvcloc.exe Start: 30.11.2009 12:54:25.414 Duration: 0.057 sec
C:\Program Files\Intel\Wireless\Bin\RegSrvc.exe Start: 30.11.2009 12:54:25.466 Duration:
0.054 sec
C:\WINDOWS\system32\locator.exe Start: 30.11.2009 12:54:25.848 Duration: 0.01 sec
C:\Program Files\Symantec AntiVirus\SavRoam.exe Start: 30.11.2009 12:54:26.785
Duration: 2.591 sec
C:\WINDOWS\system32\svchost.exe Start: 30.11.2009 12:54:27.302 Duration: 20.979 sec
pc Page 5 19/01/2010
�C:\Program Files\Symantec AntiVirus\Rtvscan.exe Start: 30.11.2009 12:54:27.813 Duration:
170.599 sec
C:\WINDOWS\system32\wuauclt.exe Start: 30.11.2009 12:54:30.195 Duration: 1.646 sec
C:\Program Files\Intel\Wireless\Bin\ZCfgSvc.exe Start: 30.11.2009 12:54:30.745 Duration:
3.244 sec
C:\WINDOWS\system32\ati2evxx.exe Start: 30.11.2009 12:54:32.295 Duration: 2.572 sec
C:\WINDOWS\system32\userinit.exe Start: 30.11.2009 12:54:32.748 Duration: 2.971 sec
C:\WINDOWS\explorer.exe Start: 30.11.2009 12:54:35.049 Duration: 80.329 sec
C:\WINDOWS\system32\wbem\wmiprvse.exe Start: 30.11.2009 12:54:37.246 Duration:
63.386 sec
C:\PROGRA~1\Intel\Wireless\Bin\1XConfig.exe Start: 30.11.2009 12:54:37.617 Duration:
20.694 sec
C:\WINDOWS\system32\alg.exe Start: 30.11.2009 12:54:59.839 Duration: 0.468 sec
C:\WINDOWS\system32\userinit.exe Start: 30.11.2009 12:55:02.993 Duration: 9.526 sec
C:\WINDOWS\system32\userinit.exe Start: 30.11.2009 12:55:03.817 Duration: 17.387 sec
C:\PROGRA~1\FICHIE~1\MICROS~1\DW\DWTRIG20.EXE Start: 30.11.2009
12:55:10.096 Duration: 3.308 sec
C:\WINDOWS\system32\wbem\wmiapsrv.exe Start: 30.11.2009 12:55:12.842 Duration:
11.071 sec
\Device\WinDfs\Root\crhea.cnrs.fr\SysVol\crhea.cnrs.fr\Policies\{C7CD1371-530C-4E32-
A316-AC8DC4DD3C90}\Machine\Scripts\Startup\pushprinterconnections.exe Start:
30.11.2009 12:55:14.048 Duration: 35.364 sec
C:\WINDOWS\system32\wbem\wmiprvse.exe Start: 30.11.2009 12:55:19.402 Duration:
46.664 sec
C:\WINDOWS\vsnp2std.exe Start: 30.11.2009 12:55:26.684 Duration: 8.75 sec
C:\Program Files\Fichiers communs\Symantec Shared\ccApp.exe Start: 30.11.2009
12:55:27.729 Duration: 11.827 sec
C:\PROGRA~1\SYMANT~1\VPTray.exe Start: 30.11.2009 12:55:29.064 Duration: 16.106
sec
C:\WINDOWS\system32\wuauclt.exe Start: 30.11.2009 12:55:29.163 Duration: 7.265 sec
C:\WINDOWS\system32\ctfmon.exe Start: 30.11.2009 12:55:29.540 Duration: 6.816 sec
pc Page 6 19/01/2010
�E:\utilitaire\tools\BootLog XP\BootLogXP.exe Start: 30.11.2009 12:55:35.791 Duration:
126.618 sec
C:\WINDOWS\system32\wuauclt.exe Start: 30.11.2009 12:55:44.471 Duration: 1.5 sec
C:\WINDOWS\WinSxS\x86_Microsoft.Windows.Common-
Controls_6595b64144ccf1df_6.0.2600.5512_x-ww_35d4ce83\comctl32.dll Start: 30.11.2009
12:55:46.102 Duration: 1.141 sec
C:\WINDOWS\WinSxS\x86_Microsoft.Windows.Common-
Controls_6595b64144ccf1df_6.0.2600.5512_x-ww_35d4ce83\comctl32.dll Start: 30.11.2009
12:55:51.724 Duration: 0.146 sec
C:\WINDOWS\system32\userinit.exe Start: 30.11.2009 12:55:52.715 Duration: 0.211 sec
C:\WINDOWS\system32\wuauclt.exe Start: 30.11.2009 12:55:53.179 Duration: 0.251 sec
C:\WINDOWS\system32\wuauclt.exe Start: 30.11.2009 12:55:56.613 Duration: 0.626 sec
C:\WINDOWS\system32\kernel32.dll Start: 30.11.2009 12:56:01.563 Duration: 0.294 sec
C:\WINDOWS\system32\wuauclt.exe Start: 30.11.2009 12:56:02.697 Duration: 0.456 sec
C:\WINDOWS\system32\wuauclt.exe Start: 30.11.2009 12:56:06.675 Duration: 0.369 sec
C:\WINDOWS\system32\wuauclt.exe Start: 30.11.2009 12:56:07.959 Duration: 0.351 sec
C:\WINDOWS\system32\wuauclt.exe Start: 30.11.2009 12:56:09.099 Duration: 0.477 sec
C:\WINDOWS\system32\wuauclt.exe Start: 30.11.2009 12:56:11.238 Duration: 1.009 sec
C:\WINDOWS\system32\wuauclt.exe Start: 30.11.2009 12:56:13.143 Duration: 0.433 sec
C:\WINDOWS\system32\wuauclt.exe Start: 30.11.2009 12:56:14.317 Duration: 0.494 sec
C:\WINDOWS\system32\wbem\wmiadap.exe Start: 30.11.2009 12:56:28.476 Duration:
0.141 sec
E:\utilitaire\tools\BootLog XP\TraceLog.exe Start: 30.11.2009 12:57:42.354 Duration: 0 sec
Monitoring stopped at: 30.11.2009 12:57:42.409
Duration: 241.721 sec.
Ce qui donne ici en mode graphique :
pc Page 7 19/01/2010
�pc Page 8 19/01/2010
�On voit donc les divers services et DLL chargés, leurs ordres de lancement et le temps utilisés.
De nouvelles figures donnants des graphes d’utilisation I/O et chargement des différents processus, drivers
et services sont présentées ci-dessous. La dernière donne un aperçu du chargement de ces processus en
fonction de la charge CPU et I/O des disques. Avec dessous, un récapitulatif de ces courbes.
Utilitaires :
Les Premiers tests ont étés effectués avec un utilitaire nommé BootLog XP téléchargeable :
http://www.greatis.com/utilities/bootlogxp/
Les seconds tests ont étés effectués par BootVis ; utilitaire développé puis abandonné par microsoft :
http://www.microsoft.com/whdc/system/sysperf/fastboot/default.mspx
Téléchargeable ici : http://www.ordi-netfr.com/bootvis.php
[email protected]
P.CHALBET
pc Page 9 19/01/2010
�pc Page 10 19/01/2010
�pc Page 11 19/01/2010
�pc Page 12 19/01/2010
�pc Page 13 19/01/2010
