Windows-Bootvorgang (7, 8, 10)

Windows-Start zum Logon
KomponenteAufgabe
Bios / UEFIinitialisiert Hardware nach Power On Self Test (POST)
Bios / UEFIliest Master Boot Record (MBR) und Partition Boot Record (PBR)  von der primären Bootpartition
Bootsektor (MBR)lädt Bootmgr.exe auf der primären Bootpartition
Bootmgrschaltet die CPU vom 16-Bit-Real-Mode in 32-Bit-Protected Mode
Bootmgrzeigt das Bootmenü zur Auswahl des Systems bei mehreren installierten Windows-Versionen
Bootmgrliest Boot Configuraion Data unter \Boot\BCD (BIOS) oder \EFI\Microsoft\Boot (UEFI)
Bootmgrstartet je nach BCD-Eintrag Winload oder Winresume (Eintrag nach Abschalten in Ruhezustand)
A. Winresumelädt das System aus der Ruhezustandsdatei Hiberfil.sys
B. Winloadlädt Registry HKLM\System
Winloadlädt Windows\System32\hal.dll (Hardware Abstraction Layer)
Winloadlädt Treiber und Dienste mit Autostart-Flag (HKLM\SYSTEM\CurrentControlSet\Services)
Winloadlädt Windows\System32\ntoskrnl.exe
Ntoskrnlzeigt Startanimation
Ntoskrnlstartet eventuelle BootExecute-Aufgaben (HKLM\SYSTEM\CurrentControlSet\Control\SessionManager)
Ntoskrnllädt Kernel-Subsystem, Memory Manager, Process Manager, Session Manager SMSS.exe
SMSSinitialisiert Pending Operations, Auslagerungsdatei
SMSSlädt Registry-Zweig HKLM vollständig
SMSSlädt Win32-Subsysteme Win32k.sys (Kernel-Mode) und Csrss.exe (User-Mode)
SMSSlädt Wininit.exe und Winlogon.exe
Winlogonlädt Userinit.exe und Lsass.exe (Authentifizierungsdienst)
Userinitlädt User-Shell Explorer und zeigt den Logon-Dialog

Der Startvorgang von der BIOS-/UEFI-Firmware bis zum Windows-Anmeldebildschirm ist wesentlich komplexer als die oben abgebildete Liste das skizziert. Die wesentlichen Stationen sind aber genannt: Das minimale Ladeprogramm des Bootsektors findet und lädt am primären Bootlaufwerk die Bootmgr.exe. Damit übernimmt Windows das Kommando über den Rechner und schaltet ihn in den Protected Mode. Im BDC-Speicher findet Bootmgr, ob das einzige vorhandene oder das vom Benutzer ausgewählte Windows zuletzt „Heruntergefahren“ oder in der „Ruhezustand“ versetzt wurde. Im ersten Fall zeigt der BCD-Eintrag die Winload.exe, andernfalls die Winresume.exe.
Winresume kann die Initialisierungsvorgänge allesamt überspringen, insofern es den Zustand der letzten Windows-Sitzung aus der Ruhezustandsdatei Hiberfil.sys übernimmt und in den Speicher schreibt. Winresume stellt auch die User-Session (mit Desktop-Zustand, Programmen, User-Registry) wieder her.
Winload muss den Systemzweig der Registry einlesen, um zu wissen, welche Treiber und Dienste es starten soll. Außerdem lädt es den Hardware Abstraction Layer – die Vermittlungsschicht zwischen der physischen Hardware und der System- und Anwendungssoftware, die nur über die HAL-Abstraktionsschicht auf Hardware zugreifen darf.
Danach lädt Winload die Ntoskrnl.exe, deren Hauptaufgabe im Initialisieren der wichtigsten Systemkomponenten besteht: Kernel, Speichermanagement, Prozessmanagement, Sitzungsmanager, Input/Out-System. Der Session-Manager Smss.exe lädt wiederum die Ring-0-Sitzung für den privilegierten Kernelmode (Win32k.sys) und den User-Mode für die Benutzersitzungen (Csrss.exe). Dann geht’s über die Wininit.exe, Winlogon.exe schließlich zur Userinit.exe, welche die Windows-Shell (Explorer) startet und den Anmeldebildschirm präsentiert.