Как осуществляется и где находится автозагрузка в Windows 10. Где находится журнал загрузки windows 10

как создать, где находится, как правильно читать

Компания Microsoft в ходе обновления своих операционных систем часто меняет способы активации функций, к которым все пользователи привыкли. Зачастую даже опытным пользователям Windows сложно разобраться, где в Windows 10 включить лог загрузки операционной системы, чтобы после его можно было посмотреть и проанализировать. В рамках данной статьи рассмотрим, как в Windows 10 включить лог загрузки.

Оглавление: 1. Зачем нужен лог загрузки 2. Где находится лог загрузки в Windows 10 3. Как включить лог загрузки в Windows 10 4. Как читать лог загрузки Windows 10

Зачем нужен лог загрузки

Многие пользователи вовсе не знают, что такое лог (или журнал) загрузки, и зачем он нужен. Если не вдаваться в детали, то лог загрузки — это простой текстовый файл, который содержит в себе информацию для анализа процесса старта компьютера и операционной системы.

Чаще всего лог загрузки необходим системным администраторам, чтобы понять, какие проблемы препятствуют загрузке операционной системы, вызывают те или иные ошибки при запуске программ или в процессе работы Windows. В логе загрузки отображается полный список загружаемых при старте компьютера драйверов и библиотек.

Где находится лог загрузки в Windows 10

В операционной системе Windows 10 лог загрузки располагается на системном диске в папке Windows. Файл называется ntbtlog.txt.

Обратите внимание: Как можно видеть, это обычный текстовый файл. Его можно открыть при помощи стандартного приложения “Блокнот” или других сторонних программ, которые позволяют работать с txt файлами.

Как включить лог загрузки в Windows 10

Чтобы текстовый файл ntbtlog.txt появился в папке Windows, нужно его сгенерировать. По умолчанию в Windows 10 отключен процесс создания данного файла при загрузке компьютера.

Включить создание файла журнала загрузки можно двумя способами:

• Через настройки конфигурации системы. Чтобы это сделать, необходимо запустить утилиту “Конфигурация системы”. Для запуска этой утилиты нажмите на клавиатуре сочетание Win+R, чтобы открылось окошко “Выполнить”. В нем пропишите команду для запуска утилиты — msconfig. Откроется окно “Конфигурация систему”, где нужно сверху переключиться на вкладку “Загрузка” и далее в разделе “Параметры загрузки” установить галочку у пункта “Журнал загрузки”. После этого нажмите “Применить” и “ОК”, чтобы изменения вступили в силу. Появится сообщение с предложением перезагрузить компьютер. Нажмите “Перезагрузка”, чтобы сразу выполнить создание лога загрузки в папке Windows. В таком случае компьютер перезагрузится. Если нажать “Выход без перезагрузки”, тогда лог загрузки будет создан после следующей перезагрузки компьютера.
• Через командную строку. Второй способ предлагает использование командной строки. Чтобы создать через нее лог загрузки, запустите командную строку от имени администратора и используйте в ней команду bcdedit. После этой команды в окне консоли командной строки появятся сведения обо всех операционных системах, установленных на компьютере, и их загрузочных записях. Если на компьютере установлена одна операционная система Windows 10 (как на примере на скриншоте), тогда будет отображаться два списка элементов — диспетчер загрузки и загрузка Windows. Необходимо обратиться к загрузке Windows, у которой имеется идентификатор current. Пропишите в командной строке следующее: bcdedit /set {current} bootlog Yes

  Важно: Если у вас идентификатор отличный от {current}, необходимо заменить на него часть команды, используемой выше.После выполнения этой команды необходимо перезагрузить компьютер, чтобы лог загрузки был создан в папке Windows.

Как читать лог загрузки Windows 10

Несмотря на то что лог загрузки — это текстовый документ исключительно для системных администраторов, что-то полезное из него может вынести и обычный пользователь.

В журнале загрузки указывается перед каждым из компонентов — был он исполнен или нет:

• BOOTLOG_LOADED — означает, что драйвер был загружен без ошибок.
• BOOTLOG_NOT_LOADED — указывает, что во время загрузки операционной системы старт данного драйвера был пропущен.

На основании этой информации можно сделать выводы о том, с какими драйверами на компьютере могут быть проблемы.

Загрузка...

okeygeek.ru

Диагностика медленной загрузки Windows с помощью журнала событий – Вадим Стеркин

Сегодня в моем блоге авторский дебют участника конференции OSZone Phoenix, чья статья отлично вписалась в серию материалов об ускорении загрузки Windows и ее диагностике.

Иногда мы замечаем, что операционная система стала загружаться дольше обычного. Если это эпизодический случай, повода для беспокойства нет. Но когда данное явление приобретает систематический характер или прогрессирует, тут уже стоит задуматься о причинах такого «странного» поведения системы. В этой статье мы  рассмотрим один из способов диагностики причин длительной загрузки Windows, используя ее штатное средство – журнал «Просмотр событий». Быстрый  доступ к этому инструменту обеспечивает нажатие сочетания клавиш Win+R и последующий ввод команды: eventvwr.msc /s.

На этой странице:

Фильтруем журнал событий

В разделе «Microsoft Windows» имеется подкатегория «Diagnostics-Performance», а в ней — операционный журнал, в котором есть категория задачи «Контроль производительности при загрузке» (рис. 1).

Увеличить рисунокРисунок 1

Коды событий (Event ID ) в этой категории варьируются от 100 до 110. Просмотрев все события с кодом 100, можно выяснить, сколько времени требуется Windows на загрузку, начиная с самого первого запуска после установки. А проанализировав события в диапазоне от 101 до 110, можно узнать, в каких случаях загрузка замедлялась и почему.

Можно, конечно, просматривать журнал «Diagnostics-Performance» вручную (например, отсортировать по возрастанию столбец «Код события»), но гораздо удобнее создать собственное настраиваемое представление. Это фильтр, который можно сохранить и использовать в дальнейшем для облегчения работы.

Для этого:

1. Выберите опцию «Создать настраиваемое представление» из меню «Действие».
2. В открывшемся диалоговом окне оставьте значение «Любое время» в поле «Дата» и отметьте флажками все опции в поле «Уровень события». Выберите опцию «По журналу», если она еще не выбрана, и раскройте список. В дереве разделов найдите категорию «Журналы приложений и служб — Microsoft — Windows – «Diagnostics-Performance» и поставьте флажок «Работает» (рис. 2).

Увеличить рисунокРисунок 2

3. В поле «Включение или исключение кодов событий» введите 100 и нажмите «OK» – (рис. 3). События с кодом 100 показывают, сколько времени уходит на загрузку системы.

Рисунок 3

4. В диалоговом окне «Сохранить фильтр в настраиваемое представление», введите подходящее имя (например, «Boot Time» — Время загрузки) и нажмите «OK» — (см. рисунок 4).

Рисунок 4

5. Далее нам нужно точно таким же образом создать еще одно настраиваемое представление, но в поле «Включение или исключение кодов событий» ввести на этот раз значения 101-110 и сохранить фильтр, например с именем «Замедление загрузки».

Узнаем продолжительность загрузки

Чтобы выяснить, сколько Windows требуется времени на загрузку на вашем компьютере, выберите в левой части окна, созданный ранее фильтр Boot Time (Время загрузки) в разделе «Настраиваемые представления» и отсортируйте столбец «Дата и время» по возрастанию. Так вы сможете посмотреть, как изменялась продолжительность загрузки системы со дня ее установки (рис. 5).

Увеличить рисунокРисунок 5

Из рисунка видно, что длительность самой первой загрузки моей Windows (дата ее установки) по состоянию на 15 марта 2010 года составила 44 498 миллисекунд — или, если разделить на 1000, примерно 45 секунд. Для первого запуска этот показатель нормальный, поскольку после установки система выполняет целый ряд задач: устанавливает драйверы, инициализирует программы в автозагрузке, настраивает профиль пользователя и так далее.

По состоянию на 30 января 2011 года время загрузки возросло, и составило 115652 ms, т.е. почти 2 минуты. Это много.

Настраиваемое представление «Время загрузки» предоставляет информацию обо всех случаях загрузки системы за время ее существования. Иногда загрузка затягивается по вполне объяснимым причинам — из-за установки обновлений, драйверов или программного обеспечения.

На вкладке «Подробности» процесс загрузки описывается во всех деталях, однако для анализа продолжительности загрузки достаточно будет только трех параметров на вкладке «Подробности» (рис 6).

Увеличить рисунокРисунок 6

Рассмотрим суть значений этих параметров подробнее.

• Параметр «MainPathBootTime » обозначает временной интервал между возникновением на экране анимированного логотипа Windows и появлением рабочего стола. В этот момент систему уже можно использовать, но в фоновом режиме продолжается загрузка низкоприоритетных задач.
• Параметр «BootPostBootTime » указывает, через какой промежуток времени после появления рабочего стола системой можно начинать пользоваться в полном объеме.
• Параметр «BootTime » — это та же самая величина, что и на вкладке «Общие» обозначена как «Время загрузки». Она представляет собой сумму параметров «MainPathBootTime» и «BootPostBootTime».

И наконец, мы подошли к самому важному и интересному.

Диагностируем медленную загрузку

Чтобы выяснить причину замедления загрузки Windows, выделите фильтр «Замедление загрузки» в левой части окна в разделе «Настраиваемые представления» и отсортируйте столбец «Код события» (Event ID) по возрастающей. Каждый код соответствует определенному событию, увеличивающему продолжительность загрузки.

Всего существует десять кодов событий такого рода, мы же в этой статье рассмотрим только некоторые из них.

• Код события 101. Событие 101 возникает, когда приложение загружается дольше обычного. Это часто связано с установкой обновлений. Если замедление загрузки наблюдается эпизодически, ничего страшного в этом нет. Но если какое-то приложение всякий раз загружается слишком долго или время замедления оказывается ненормально большим, тут нужно уже задуматься.
• Код события 102. Событие 102 свидетельствует о замедлении инициализации драйвера. Это, опять же, может быть вызвано обновлением, но если ситуация возникает регулярно или замедление оказывается серьезным, стоит установить более свежую версию драйвера. Если таковой не имеется, попробуйте удалить и переустановить драйвер.
• Код события 103. Событие 103 возникает при замедлении загрузки служб. Иногда это случается, но если это происходит регулярно, попробуйте изменить тип запуска службы на «Автоматически отложенный запуск» или «Вручную» в консоли «Службы».
• Код события 106. Событие 106 свидетельствует о том, что выполнение фоновой операции по оптимизации затянулось. Поскольку оптимизация — операция продолжительная, ничего страшного в этом нет.
• Код события 109. Событие 109 возникает при замедлении инициализации устройства. Если это явление редкое, беспокоиться не стоит. Но если инициализация затягивается всякий раз, не забывайте регулярно делать резервное копирование и будьте готовы к замене проблемного устройства.

У меня, например, обнаружились два события. Одно с кодом ID 108 :

 Увеличить рисунокРисунок 7

Другое с кодом 109:

Увеличить рисунокРисунок 8

Столь маленькое время задержки на рисунках 7 и 8 не трагично, они приведены тут лишь для наглядности.

Проведенный таким образом анализ и элементарные навыки пользования поиском в сети Интернет, позволят вам составить представление о причинах увеличения времени загрузки операционной системы.

Обсуждение завершено.

www.outsidethebox.ms

Где находится папка Загрузки в Windows 10

Где находится папка Загрузки в Windows 10

Каждый пользователь, активно работающий в операционной системе Windows 10 знает, что абсолютно все загружаемые из Интернета файлы по умолчанию сваливаются в отдельной папке под названием «Загрузки». Ярлычок на неё есть в меню Пуск, на рабочем столе а так же в навигационном меню проводника (менеджера файлов) и многие привыкают заходит в эту директорию именно таким образом. А в итоге, когда в результате сбоя или действий вируса ярлычки пропадают, то пользователи впадают в замешательство, не зная где находится папка «Загрузки» в Windows 10 и не имея доступа к скачанным файлам. Что делать? Если Вы тоже столкнулись с такой ситуацией — знайте, что найти свои файлы вы можете по этому пути:

С:\Users\<имя_пользователя>\Downloads

Если операционная система установлена на другом логическом диске, то буква диска будет соответственно не C:\, а та, что используется у Вас. Я работают под пользователем «Администратор» и меня путь к папке «Загрузки» выглядит так:

Иногда можно столкнуться с тем, что и таким образом эта директория не открывается. Обычно это означает, что в Виндовс 10 похозяйничал вирус и изменил атрибуты файлов. Чтобы вернуть всё как было, надо кликнуть на кнопку «Пуск» и в появившемся меню выбрать пункт «Командная строка (Администратор)». В окне командной консоли надо ввести команду:

attrib –s –h C:\users\<имя_пользователя>\downloads

Вот так:

Нажимаем на клавишу «Enter» и ждём пока команда выполнится. После этого доступ в папку Downloads будет восстановлен.

P.S.: Обязательно проверьте свой компьютер на вирусы, иначе опять рискуете что он отработает и вы снова будете искать где найти папку Загрузки в Виндовс 10 на компьютере или ноутбуке.

Это тоже интересно:

Поделитесть полезным с друзьями:

set-os.ru

Дополнительные варианты загрузки в Windows 10.

Придёт время, когда вам будет необходимо устранить или изменить некоторые параметры компьютера, которые Вы не сможете выполнить, пока Windows не загрузится. Windows 10 похожа на своих предшественников и включает в себя варианты “Параметры запуска Windows” или “Особые варианты загрузки” (ранее известный как “Дополнительные варианты загрузки”) – которые могут помочь вам выявить, диагностировать и исправить ваш ПК практически с любыми проблемами, которые вы можете встретить.Особые варианты загрузки предлагают целый ряд различных способов, с которыми вы можете диагностировать и исправлять ваш ПК, потому что проблемы могут нанести удар в многие различные сценарии, и Microsoft предоставляет несколько методов для доступа к этим параметрам. В этой статье мы рассмотрим параметры запуска Windows 10, или особые варианты загрузки параметров Windows 10, а также увидите, как выполнить изменение загрузки по умолчанию, когда у вас создана двойная загрузка на вашем компьютере. Когда вы имеете ПК с двойной загрузкой для Windows 10 и с предыдущей версии Windows, такой как Windows 8.1 или Windows 7, прежде чем вы входите в систему, Вы увидите окно в котором Вам предлагают все доступные операционные системы на вашем ПК. Здесь Вы выбираете операционную систему которую Вы решите загрузить, или будет загружена через 10 секунд операционная система по умолчанию.

Если вы хотите изменить некоторые свои загрузки по умолчанию и изменить опции и настройки, вы можете нажать на изменить настройки по умолчанию или выбрать другие варианты, которые вы увидите внизу.

Если у вас установлена только одна операционная система, вы можете начать загрузку своего компьютера и затем продолжайте нажимать клавишу F8 до запуска Windows. Вы увидите меню дополнительных настроек.

Изменение в Windows 10 параметров загрузки по умолчанию

Как только вы сделаете это, вы увидите следующие опции экрана. Здесь вы можете изменить настройки таймера, установить операционную систему по умолчанию, чтобы загрузить и установить другие параметры.

Нажав на изменить таймер приведет вас на следующий экран, где можно установить таймер загрузки до 5 секунд, 30 секунд или на 5 минут. Это время вам придется подождать, прежде чем ОС по умолчанию будет загружаться автоматически. По умолчанию загрузка составляет 10 секунд.

Кликнув на выбрать по умолчанию операционную систему позволит Вам установить операционную систему, которую вы хотите автоматически загрузить, после ожидания в течение определенного количества времени. Установка в моём случае это для Windows 10.

Нажав на кнопку Выбрать вариант представит Вам следующие варианты.

Вы можете нажать на продолжить чтобы выйти на ОС по умолчанию.Вы можете использовать другую установленную операционную систему.Вы можете устранить неполадки компьютера путем открытия дополнительных опций.Или вы можете Выключить ваш компьютер.

Дополнительные параметры запуска Windows 10

Если вам нужно запустить ваш ПК для устранения неполадок с вашей ОС Windows, вы можете нажать на устранение неполадок. Когда вы сделаете это, вам предложат:

1. Сброс этой опции ПК.
2. Дополнительные параметры.

Если вы хотите сбросить свой ПК, выберите вариант сброс ПК. Если вам нужно получить доступ к другому диагностическим и для ремонта инструментам, нажмите на дополнительные параметры, чтобы попасть на следующий экран.

Здесь вы увидите:

1. Восстановление системы: полезно, если вы хотите восстановить компьютер под управлением Windows 10.
2. Восстановление образа системы: позволяет восстановить Windows с помощью файла образа системы.
3. Запуск ремонта: исправление проблем с запуском.
4. Командная строка: используя CMD вы можете получить доступ к более продвинутым встроенным средствам отладки Windows.
5. Параметры запуска: позволяет Вам изменить параметры запуска Windows.
6. Вернуться к предыдущей сборке.

Если вы хотите, чтобы непосредственно открыть эти Дополнительные параметры запуска при работе на компьютере с Windows 10, Вы можете сделать это через настройки приложений для Windows 10 > Обновление и безопасность > Восстановление > Особые варианты загрузки и нажмите кнопку перезагрузить сейчас.

Нажав на запуск настроек позволит вам изменить пресет настроек и опций.

Здесь вы сможете выполнить следующее:

1. Включение режима с низким разрешением.
2. Включить режим отладки.
3. Включить протоколирование загрузки.
4. Включить Безопасный режим.
5. Отключить обязательную проверку подписи драйверов.
6. Отключить ранний запуск защиты от вредоносных программ.
7. Отключить автоматическую перезагрузку при отказе системы.

Для пользователей Windows 10 могу особо отметить, что это то место, где вы можете включить безопасный режим.

Нажав на кнопку перезагрузить приведёт вас к следующему экрану с параметрами загрузки:

Вы должны нажать клавиши на ключ для вызова параметров. Нажав на клавишу F10 покажет вам некоторые другие варианты, включая запуск среды восстановления.

Нажатие Enter и это вернёт вас к вашей операционной системе.

Эти настройки будут полезны, так как Вы не только можете изменить свою загрузку ОС по умолчанию, но они также могут быть очень полезными для вас, если ваш компьютер не запускается или вам нужно устранить неполадки и исправить другие проблемы с Windows.

mega-obzor.ru

Где находится автозагрузка в Windows 10: как с ней работать

Автозагрузка в Windows 10, как и в более ранних версиях операционной системы (ОС), является инструментом единовременного запуска с компьютером выбранного программного обеспечения (ПО). Этим ПО может оказаться антивирус, Skype, сервис облачного хранения данных и, к сожалению, нечто совсем ненужное, бесполезное и даже вредоносное. Специфика выбора ПО порой не предусматривает прямого согласия пользователя, который иногда даже не догадывается о наличии некоторых программ. Как правило, вопрос относительно того, где находится автозагрузка в Windows 10, возникает, когда компьютер начинает медленно загружаться и выполнять простые операции. Действительно, ее переполненный реестр, отнимая время и ресурсы, затягивает процесс работы.

Графически автозагрузка в Windows 10 представляет собой папку, где располагаются выбранные программы, а весь порядок добавления и исключения ПО сводится к ее поиску и редактированию. Узнав, где находится автозагрузка в Windows 10, можно повысить производительность компьютера, и избавиться от программного балласта. Об этом и о том, как добавить программу в автозагрузку Windows 10, в продолжение этой статьи.

Кроме различных способов нахождения автоматически запускаемого ПО, также есть пара бесплатных IT-продуктов которые позволяют удобно всем этим управлять.

Содержание страницы

Перечень автозагрузки в диспетчере задач

Диспетчер задач — наиболее популярный ресурс для изучения автоматически запускаемого ПО на Windows 10. Он легко отыскивается через меню «Пуск», привычно открывающееся с помощью мыши. В нижней части появляющегося окна нужно выбрать «Все приложения», а потом кликнуть вкладку «Служебные-Windows».

Результат этих несложных операций — наглядный пользовательский список автоматически запускаемого ПО, который состоит из элементов реестра и системной папки «Автозагрузка». Функционал этого ресурса позволяет, пользуясь мышью, управлять ими: включать и отключать запуск программ, открывать путь к интересующему файлу или находить данные в интернете.

Здесь же, в столбце «Влияние на запуск» представлены параметры воздействия каждого ПО на общую продолжительность загрузки системы. Достоверность этих сведений, к сожалению, нечасто отвечает обычным требованиям, поскольку «Высокое» влияние необязательно больше других тормозит систему, и, наоборот, «Низкое» может иметь решающее значение.

Папка с ПО автозагрузки в Windows 10

Некогда острый вопрос о расположении папки автозагрузки в новой версии ОС Windows 10 теперь не так актуален.  Она находится на C:\ Users\ Имя_пользователя\ AppData\ Roaming\ Microsoft\ Windows\ Start Menu\ Programs\ Startup.

Есть даже более легкий путь ее нахождения:

1. Последовательно нажимаются и непродолжительное время удерживаются клавиши Win и R.
2. Далее в окно «Выполнить» вводится shell:startup.
3. Нажатием Ok действие подтверждается.

После этого, как правило, появляется папка с ярлыками программ для автозапуска.

Для дополнения автозагрузки нужным ПО можно просто создать новый ярлык и перетащить его в представленную папку. На тот случай, когда этот способ по каким-то причинам не действует, остается проверенный порядок добавления ПО через раздел автозагрузки реестра ОС.

Автоматически запускаемое ПО в реестре Windows 10

Редактор реестра запускается таким образом:

1. Вновь нажимаются и удерживаются клавиши Win и R.
2. В поле «Выполнить» вводится команда regedit.
3. Далее осуществляется переход к папке HKEY_CURRENT_USER\ SOFTWARE\ Microsoft\ Windows\ CurrentVersion\ Run.

В правом сегменте открывшегося меню редактора реестра находится пользовательское ПО, которое запускается при загрузке системы. Туда также можно внести или удалить из него какой-нибудь IT-продукт, для чего есть свой порядок несложных действий:

1. Необходимо кликнуть мышью по пустому правому сегменту редактора.
2. В открывающемся меню выбирается «Создать», далее «Строковой параметр».
3. Назначается любое выбранное имя параметра.
4. После двойного клика по нему необходимо обозначить путь к ПО, которое впредь будет запускаться единовременно с загрузкой ОС.

В похожем разделе HKEY_LOCAL_MACHINE тоже есть список автозагрузки Windows 10. Заходя в него, пользователь получает возможность редактировать список ПО так же, как в предыдущем примере.

Планировщик заданий Windows 10

Планировщик заданий — очередная, менее популярная локация, откуда автоматически запускается выбранное ПО. Оно открывается нажатием кнопки поиска в панели задач и началом введения наименования утилиты.

Особое внимание рекомендуется уделить библиотеке планировщика заданий, поскольку там располагаются команды и IT-продукты, запускаемые автоматически при наступлении заявленных событий, среди которых и включение компьютера. В ней пользователь может изучить перечень ПО, изменить или добавить какое-либо свое задание.

Более детальные инструкции по применению данного инструмента располагаются в открытом доступе, и широко распространены во всемирной сети.

Альтернативные способы управления IT-продуктами в автозагрузке

В настоящее время есть множество разнообразных утилит, безвозмездно предоставляемых, для управления программами в автозагрузке, их просмотра и удаления. Наиболее популярная среди прочих — Autoruns от Microsoft Sysinternals. Как и ее аналоги, она бесплатна, находится на официальной странице https://technet.microsoft.com/ru-ru/sysinternals/bb963902.aspx.

Она совместима с любыми версиями ОС Windows, включая последнюю, не требует внедрения в систему, и не занимает много места. При ее работе высвечивается исчерпывающий перечень того, что запускается вместе с Windows 10: задания планировщика, ПО, библиотека, службы и многое другое.

Утилита обеспечивает реализацию следующих функциональных возможностей:

• антивирусное обследование IT-разработкой VirusTotal,
• удаление программы из автозагрузки,
• нахождение места прописки ПО для обеспечения настройки параметров ее автозапуска (Jump to Entry),
• поиск сведений во всемирной сети
• выявление места расположения ПО (Jump to image).

IT-продукт может оказаться сложным для неопытного пользователя. Однако в дальнейшем все становится на свои места, и этот действительно полезный инструмент проявит свою надежность и незаменимость.

Существует более привычный российскому пользователю аналог — бесплатная утилита для очистки системы CCleaner. Этот вариант на понятном российскому пользователю языке, поэтому проще. В ее разделе «Сервис» есть пункт «Автозагрузка», выбрав который можно просмотреть и отредактировать ПО в открывшемся перечне. Там же задания планировщика и прочие элементы, запускаемые при включении компьютера. Детальнее о ней по ссылке: CCleaner 5.

windows10i.ru

Процесс загрузки Windows или что спрятано под стартовым логотипом

А вы никогда не задумывались над тем, что же происходит с операционной системой в тот момент, когда она рисует свой логотип и говорит «Starting Windows»? И вообще, почему она долго загружается? Ведь при старте системы уж точно не решаются никакие задачи, сложные с вычислительной точки зрения!

Что тогда подразумевает под собой загрузка операционной системы? По большей части это проецирование в память исполняемых модулей и инициализация служебных структур данных. Структуры данных живут в памяти, поэтому операции с ними по идее должны быть быстрыми. Все наталкивает на мысль о том, что время съедается именно процессом загрузки исполняемых модулей в память.

Давайте интереса ради разберемся, какие модули, в каком количестве и в каком порядке загружаются при старте ОС. Чтобы выяснить это, можно, например, получить лог загрузки системы. Подопытная ОС в моем случае — Windows 7 Enterprise x64. Логировать процесс загрузки будем при помощи отладчика ядра. Существует несколько вариантов отладчиков ядра, лично я предпочитаю WinDbg. Также нам понадобятся некоторые вспомогательные средства для волшебного превращения лога в нечто более приятное глазу.

Mining and crafting

Настройка отладки хорошо гуглится, поэтому описывать подробно этот процесс я не буду. Поскольку нас интересует все происходящее с момента старта системы, нам нужно отметить пункт «Cycle Initial Break», с помощью чего отладчик остановится, как только в отлаживаемой системе будет загружена подсистема отладки ядра. Дублирование вывода в файл можно осуществить при помощи команд ".logopen" и ".logclose", это просто. Другая полезная команда — ".cls". Она очищает экран команд, и да, только экран команд.

Интересующая нас функция — «MiCreateImageFileMap». Это внутренняя функция менеджера памяти, проецирующая исполняемый файл в память. Проецирование в память происходит при создании секции, например, при запуске исполняемого файла. Однако учтите, что если исполняемый файл проецируется в память, это не гарантия того, что будет выполнен его код! Эта функция просто создает проекцию, чаще всего «про запас», чтобы, если кто-то надумает запустить модуль на исполнение, можно было сэкономить время его загрузки. На эту функцию поставим логирующую точку останова.

Если у вас достаточно маны, вводите следующую команду:

bu nt!MiCreateImageFileMap "dt nt!_EPROCESS -d ImageFileName @$proc; dt nt!_FILE_OBJECT -d FileName @rcx; g" Магическая строчка буквально означает следующее:

• bu (Set Unresolved Breakpoint) — установить неразрешенную точку останова. Не то чтобы кто-то или что-то не разрешал, просто для ее установки необходимо определиться, по какому адресу ее ставить. Дело в том, что заранее не известно, по какому адресу она должна располагаться. При загрузке любого модуля проверяется присутствие в нем необходимой функции, и если такая функция найдена, точка останова устанавливается автоматически. Такой способ установки незаменим при включенном ASLR — рандомизации адресного пространства, поскольку модули будут загружаться каждый раз по разным адресам, и точка останова, установленная по фиксированному адресу, с большой вероятностью окажется не у дел.
• nt!MiCreateImageFileMap — символ, на котором нужно останавливаться. В WinDbg принята запись в форме 'module_name!function_name'. В данном случае nt является предопределенным псевдонимом для ntoskrnl.exe.
• далее следует часть WinDbg-скрипта, которая будет выполняться каждый раз при остановке на этой функции. «dt nt!_EPROCESS -d ImageFileName @$proc» по-русски означает «отобразить поле ImageFileName структуры _EPROCESS из модуля nt при условии ее отображения по адресу, определенному в псевдорегистре «текущий процесс»». Следующая после разделителя ";" команда означает примерно то же самое, только адрес структуры берется из регистра rcx, в котором в Microsoft x64 ABI передается первый параметр функции. «g» означает «go», т.е. продолжить исполнение.

Небольшая рекомендация по использованию логирующих точек останова: старайтесь не использовать расширения отладчика (команды, начинающиеся с "!"), поскольку в таком случае логирование будет выполняться на порядок медленнее.

Поехали! Отжимаем тормоз точки останова и ждем. Я ждал, пока не прогрузится рабочий стол, т.е. я залогинился. Полученный «урожай» немного редактируется, обрезается все лишнее для удобства дальнейшей обработки и скармливается дружище питону. Не будем заострять внимание на парсинге лога. Отметим только, что граф укладывался в форму спирали Архимеда с дальнейшей коррекцией вручную, поскольку происходило наложение узлов друг на друга. В полученном графе учитывается порядок загрузки библиотек. К сожалению, пришлось пожертвовать учетом порядка загрузки исполняемых файлов относительно библиотек в угоду удобочитаемости графа.

Карта звездного неба

Условно выделим несколько групп загрузки.

Начинается работа OC в модуле ntoskrnl.exe, являющимся ядром ОС. А если еще конкретнее — с функции KiSystemStartup(). Вместе с загружаемыми системными компонентами она формирует фундамент ОС: разделение режимов работы, базовые сервисы для пользовательских приложений и т.п. В эту же группу входят драйверы, отмеченные для загрузки во время старта системы. В двух словах, в этой ракушке зарождается ОС Windows.

Следующий узел — менеджер сессий (session manager). Его представляет первый после системного процесс, стартующий в Windows — smss.exe. Процесс примечателен тем, что является родным (native) процессом Windows, то есть он не использует подсистему Win32, которая в общем-то еще не загружена. Этот процесс использует только нативные сервисы операционной системы посредством ntdll.dll, представляющей собой интерфейс режима пользователя для сервисов ОС. Также этот процесс является доверенным компонентом операционной системы и обладает исключительными правами, например, он может создавать маркеры безопасности (security tokens). Но главное его предназначение — создание сеансов и инициализация подсистем, как графической, так и различных исполняемых (Windows, POSIX). Эта ракушка воздает каждому по потребностям.

Группа входа в систему (logon) состоит из нескольких процессов. В целом они отвечают за инициализацию сеансов. Это включает в себя отображение экрана приветствия, создание рабочих столов, запуск процессов автозагрузки и инициализацию подсистемы безопасности и т.п. Этот веник отметает всех посторонних.

Самой массивной оказалась группа сервисов. Во многом она обязана своим объемом службе SuperFetch. Эта та самая, про которую говорят, что она по выходным заранее прогружает офисный пакет, а в начале рабочей недели — Steam с игрушками. Superfetch прогружает огромное количество модулей при старте системы, чтобы потом «все быстрее работало». Да и кроме него в системе хватает сервисных приложений и автозапускающихся драйверов. Думаю, все видели оснастку «Службы и приложения». Эта звезда жизни заводит в системе все, что нужно и не очень.

Последним отмечу любимый всеми explorer.exe. Примечательно, что к моменту его запуска все используемые им модули уже загружены в память. В скриншот также попал некий vcredist_x64.exe — бедолага лежал на рабочем столе подопытной виртуальной машины и был прогружен в память проводником.

Вообще способов оказаться загруженным в память у модуля много. Например, достаточно запросить информацию из ресурсов исполняемого файла, в том числе его иконку. Конкретно в данном примере проводник проверял, является ли эта программа требующей повышенных привилегий, т.е. стоит ли дорисовывать к иконке соответствующий рисуночек с желто-голубым щитом. Еще раз отмечу, что загрузка модуля в память не означает выполнение его кода!

Лично я держу получившуюся картинку под боком. По ней хорошо прослеживаются зависимости, например, драйверов. Также в паре с утилитой Sysinternals Autoruns можно увидеть, на каком этапе загрузки подтягиваются те или иные модули.

Граф загрузки был построен для ОС Windows 7 Enterprise x64, установленной на виртуальной машине VMware. Ниже приведены векторное изображение графа и непосредственно файл в формате gml, с которым можно поиграться в любом редакторе графов.Граф в формате GMLВекторное изображение графа

Внимание! Бонус! Граф загрузки для чистой ОС Windows 8 Enterprise x64 на живой машине ;)Граф в формате GMLВекторное изображение графа

Ингредиенты: WinDbg @ msdn.microsoft.com/en-us/windows/hardware/gg463009.aspx Python @ www.python.org NetworkX @ networkx.lanl.gov yEd Graph Editor @ www.yworks.com/en/products_yed_about.html Руки @ Плечи

habr.com

Защита процесса загрузки Windows 10

• 10/13/2017
• Время чтения: 8 мин
• Соавторы

В этой статье

Применимо к:

Операционная система Windows имеет множество функций для защиты от вредоносных программ, и очень хорошо справляется с этой задачей. За исключением приложений, разрабатываемых организациями самостоятельно для внутреннего использования, все приложения Microsoft Store должны соответствовать ряду требований, чтобы пройти сертификацию и быть представленными в Microsoft Store. В процессе сертификации проверяется несколько критериев, включая безопасность. Этот процесс является эффективным средством защиты Microsoft Store от вредоносных программ. Даже если вредоносное приложение преодолеет защиту и попадет в Store, Windows 10 включает ряд функций безопасности, способных уменьшить последствия. Например, приложения Microsoft Store изолированы и не имеют разрешений, необходимых для доступа к данным пользователя или изменения параметров системы.

Кроме того, Windows 10 имеет несколько уровней защиты для классических приложений и данных. Защитник Windows использует подписи для обнаружения и помещения в карантин приложений, которые были определены как вредоносные. Фильтр SmartScreen предупреждает пользователя, прежде чем разрешить запуск ненадежного приложения, даже если оно распознается как вредоносное ПО. Прежде чем приложение сможет изменить параметры системы, пользователю необходимо предоставить приложению права администратора с помощью контроля учетных записей.

Это всего лишь некоторые из способов которыми Windows 10 обеспечивает защиту от вредоносных программ. Однако эти компоненты безопасности защищают вас только после запуска Windows 10. Современных вредоносных программ — в особенности буткиты — способны запускаться до запуска Windows, полностью обходя защиту операционной системы и оставаясь полностью скрытыми.

При запуске Windows 10 на компьютерах или любых компьютеров, которые поддерживают Единый расширяемый микропрограммный интерфейс (UEFI) надежная загрузка защищает компьютер от вредоносных программ с момента включения компьютера до запуска защиты от вредоносных программ. В случае заражения компьютера вредоносным ПО оно не сможет оставаться скрытым; надежная загрузка сможет подтвердить целостность системы вашей инфраструктуры таким образом, который вредоносное программное обеспечение не сможет скрыть. Даже на компьютерах без UEFI Windows 10 предоставляет еще более надежное обеспечение безопасности, чем предыдущие версии Windows.

Давайте сначала рассмотрим программы rootkit и то, как они работают. Затем мы покажем, как Windows 10 обеспечивает защиту от них.

Угроза: программы rootkit

Программы rootkit — это сложный и опасный тип вредоносных программ, которые выполняются в режиме ядра с теми же правами, что и операционная система. Так как программы rootkit обладают теми же правами, что и операционная система, и запускаются до нее, они могут полностью скрывать себя и другие приложения. Зачастую программы rootkit входят в набор вредоносных программ, которые могут обходить процедуры входа, записывать пароли и нажатия клавиш, перемещать конфиденциальные файлы и получать зашифрованные данные.

Различные типы программ rootkit загружаются на различных этапах процесса запуска:

• Программы rootkit встроенного ПО. Такие программы перезаписывают встроенное ПО BIOS компьютера и другого оборудования для запуска программ rootkit перед Windows.
• Буткиты. Такие программы заменяют собой загрузчик операционной системы (небольшую программу, которая запускает операционную систему), чтобы компьютер загружал буткит перед загрузкой операционной системы.
• Программы rootkit, работающие на уровне ядра. Эти программы заменяют собой часть ядра операционной системы, чтобы программа rootkit запускалась автоматически при загрузке операционной системы.
• Драйверные программы rootkit. Эти программы выдают себя за один из надежных драйверов, используемых Windows для взаимодействия с оборудованием компьютера.

Меры противодействия

Windows 10 поддерживает четыре функции, предназначенные для блокирования программ rootkit и bootkit в процессе запуска.

• Безопасная загрузка. Компьютеры со встроенным ПО UEFI и доверенным платформенным модулем можно настроить на загрузку только надежных загрузчиков операционной системы.
• Надежная загрузка. Windows проверяет целостность всех компонентов процесса запуска перед их загрузкой.
• Ранний запуск защиты от вредоносных программ (ELAM). ELAM проверяет все драйверы перед их загрузкой и блокирует загрузку неутвержденных драйверов.
• Измеряемая загрузка Встроенное ПО компьютера записывает в журнал процесс загрузки, и Windows 10 может отправлять этот журнал надежному серверу, который способен объективно оценить работоспособность компьютера.

Рисунок 1 демонстрирует процесс запуска Windows 10.

Рисунок 1. Безопасная загрузка, надежная загрузка и измеряемая загрузка блокируют вредоносные программы на каждом этапе

Безопасная загрузка и измеряемая загрузка возможны только на компьютерах с UEFI 2.3.1 и микросхемой доверенного платформенного модуля. К счастью, на всех компьютерах с Windows 10, которые соответствуют требованиям программы совместимости оборудования Windows, эти компоненты есть, так же как и на многие компьютерах, предназначенных для более ранних версий Windows.

В следующих разделах описаны безопасная загрузка, надежная загрузка, ELAM и измеряемая загрузка.

Безопасная загрузка

При запуске компьютер сначала находит загрузчик операционной системы. Компьютеры без безопасной загрузки просто запускают любой загрузчик, который находится на жестком диске компьютера. Компьютер не может определить, загружается ли доверенная операционная система или программа rootkit.

При запуске компьютера, оснащенного UEFI, компьютер сначала проверяет наличие цифровой подписи у встроенного ПО, что снижает риск запуска программ rootkit встроенного ПО. Если включена безопасная загрузка, встроенное ПО проверяет цифровую подпись загрузчика, чтобы убедиться, что он не был изменен. Если загрузчику не изменен, встроенное ПО запускает загрузчик, только если выполняется одно из следующих условий.

• Загрузчик был подписан с использованием доверенного сертификата. В случае компьютеров, сертифицированных для Windows 10, доверенным является сертификат Microsoft®.
• Пользователь вручную утвердил цифровую подпись загрузчика. Это позволяет пользователю загружать сторонние операционные системы.

Все ПК на базе архитектуры x86, сертифицированные для работы под управлением Windows 8, должны удовлетворять нескольким требованиям, связанным с безопасной загрузкой.

• Безопасная загрузка должна быть включена по умолчанию.
• Они должны доверять сертификату Майкрософт (а значит, и любому загрузчику, подписанному корпорацией Майкрософт).
• Они должны разрешать пользователю настраивать безопасную загрузку для доверия другим загрузчикам.
• ПК должны разрешать пользователю полностью отключить безопасную загрузку.

Эти требования обеспечивают защиту от программ rootkit и позволяют запустить любую операционную систему по своему выбору. Существует три варианта запуска сторонних операционных систем.

• Использование ОС с сертифицированным загрузчиком. Так как все компьютеры, сертифицированные для Windows 10, должны доверять сертификату Майкрософт, корпорация Майкрософт предлагает службу анализа и подписания любых загрузчиков сторонних разработчиков, чтобы они являлись доверенными для всех компьютеров, сертифицированных для Windows 10. Собственно, загрузчик с открытым исходным кодом, поддерживающий загрузку Linux, уже доступен. Чтобы начать процесс получения сертификата, посетите сайт http://sysdev.microsoft.com.
• Настройка UEFI на доверие пользовательскому загрузчику. Все компьютеры, сертифицированные для Windows 10, позволяют доверять несертифицированному загрузчику путем добавления подписи в базу данных UEFI, что позволит запустить любую операционную систему, включая собственные операционные системы.
• Отключение безопасной загрузки. Все компьютеры, сертифицированные для Windows 10, позволяют отключить безопасную загрузку, чтобы обеспечить возможность выполнения любого программного обеспечения. Однако это не поможет защититься от буткитов.

Во избежание использования уязвимостей, свойственных этим вариантам, вредоносными программами, настройте встроенное ПО UEFI для доверия несертифицированному загрузчику или отключите безопасную загрузку. Программное обеспечение не может изменить параметры безопасной загрузки. Дополнительные сведения о безопасной загрузке и UEFI см. в статье Защита среды, выполняемой до ОС, с помощью UEFI.

Как и большинство мобильных устройств, устройства на базе ARM, сертифицированные для Windows RT, такие как Microsoft Surface RT, предназначены только для запуска Windows 8.1. Следовательно, невозможно отключить безопасную загрузку и загрузить другую операционную систему. К счастью, существует большое количество устройств ARM, предназначенных для запуска других операционных систем.

Надежная загрузка

Надежная загрузка начинает работать, когда заканчивается безопасная загрузка. Загрузчик проверяет цифровую подпись ядра Windows перед его загрузкой. Ядро Windows, в свою очередь, проверяет все прочие компоненты процесса запуска Windows, включая драйверы загрузки, файлы запуска и компонент ELAM. Если файл был изменен, загрузчик обнаруживает проблему и не загружает поврежденный компонент. Часто Windows 10 может автоматически исправлять поврежденные компоненты, восстанавливая целостность Windows и позволяя компьютеру работать исправно.

Ранний запуск антивредоносной программы

Так как безопасная загрузка защитила загрузчик, а надежная загрузка защитила ядро Windows, следующей возможностью для запуска вредоносной программы является инфицирование драйвера загрузки стороннего производителя. Традиционные антивредоносные приложения не запускаются до тех пор, пока не будут загружены драйверы загрузки, что позволяет сработать руткиту, замаскированному под драйвер.

Ранний запуск антивредоносной программы (ELAM) может загрузить драйвер антивредоносного ПО Майкрософт или сторонних разработчиков перед загрузкой всех драйверов и приложений загрузки, отличных от Майкрософт, сохраняя таким образом цепочку доверия, установленную безопасной загрузкой и надежной загрузкой. Поскольку операционная система еще не запущена и ОС Windows необходимо загрузиться максимально быстро, у ELAM простая задача: изучить каждый драйвер загрузки и определить, входит ли он в список надежных драйверов. Если он не считается доверенным, Windows его не загружает.

Драйвер ELAM не является полнофункциональным решением для защиты от вредоносных программ; оно загружается позже в процессе загрузки. Защитник Windows в Windows 10 поддерживает ELAM. Эту технологию также поддерживает Microsoft System Center 2012 Endpoint Protection и несколько сторонних приложений для защиты от вредоносного ПО.

Измеряемая загрузка

Если компьютер в вашей организации заражается программой rootkit, вам необходимо об этом знать. Корпоративные приложения для защиты от вредоносных программ могут сообщать о заражений вредоносным ПО ИТ-отделу, но это не работает с программами rootkit, скрывающими свое присутствие. Другими словами, нельзя доверять клиенту задачу определения того, находится ли он в работоспособном состоянии.

В результате компьютеры, зараженные программами rootkit, кажутся здоровыми даже с запущенным антивредоносным ПО. Зараженные компьютеры по-прежнему подключаются к корпоративной сети, предоставляя программам rootkit доступ к большим объемам конфиденциальных данных и потенциально позволяя программам rootkit распространяться по внутренней сети.

Измеряемая загрузка в Windows 10 работает с доверенными платформенными модулями и ПО сторонних производителей и позволяет доверенному серверу в сети проверять целостность процесса загрузки Windows. Измеряемая загрузка использует следующий процесс.

1. Встроенное ПО UEFI компьютера хранит в доверенном платформенном модуле хэш встроенного ПО, загрузчик, загрузочные драйверы и все, что должно быть загружено до приложения для защиты от вредоносных программ.
2. В конце процесса запуска Windows запускается клиент удаленной аттестации сторонних разработчиков. Сервер удаленной аттестации отправляет клиенту уникальный ключ.
3. Доверенный платформенный модуль использует уникальный ключ для цифровой подписи журнала, записанного UEFI.
4. Клиент отправляет журнал на сервер, иногда вместе с другими сведениями о безопасности.

В зависимости от реализации и конфигурации сервер управления может определить состояние клиента и предоставить ему ограниченный карантинный или полноценный доступ к сети.

На рисунке 2 продемонстрирован процесс измеряемой загрузки и удаленной аттестации.

Рисунок 2. Измеряемая загрузка демонстрирует работоспособность компьютера удаленному серверу

Windows 10 включает интерфейсы программирования приложений для поддержки измеряемой загрузки, однако вам потребуется средства сторонних разработчиков для реализации клиента удаленной аттестации и доверенного сервера аттестации, чтобы воспользоваться ее преимуществами. В качестве примера такого инструмента можно скачать TPM Platform Crypto-Provider Toolkit от Microsoft Research или Measured Boot Tool от MVP Microsoft Enterprise Security Дэна Гриффина.

Измеряемая загрузка использует возможности UEFI, доверенного платформенного модуля и Windows 10, чтобы дать вам возможность с уверенностью оценивать надежность клиентского компьютера по сети.

Резюме

Безопасная загрузка, надежная загрузка и измеряемая загрузка создают архитектуру, которая существенно защищена от программ bootkit и rootkit. В Windows 10 эти компоненты способны исключить вредоносное ПО на уровне ядра из вашей сети. Это максимально инновационное решение для защиты от вредоносных программ, когда-либо имевшееся в Windows, опережающее все остальные решения благодаря ряду ключевых усовершенствований. В Windows 10 вы действительно можете рассчитывать на целостность операционной системы.

Дополнительные сведения

Дополнительные ресурсы

docs.microsoft.com

---

• 
  Официальный сайт журнал между нами женщинами
• 
  Журнал зберігання та обліку засобів захисту
• 
  Электронный журнал 167 школы города зеленогорска
• 
  Журналы по кулинарии смотреть онлайн бесплатно
• 
  За рулем журнал февраль 2016 читать
• 
  Счастливые родители журнал официальный сайт конкурсы
• 
  Журнал зарубежное военное обозрение 1 2016
• 
  Журнал вог читать онлайн последний номер
• 
  Юбка связанная спицами из китайских журналов
• 
  Алтайский юридический вестник журнал официальный сайт
• 
  Форма вахтенного журнала крановщика нового образца