ntfs.sys 驱动程序何时加载？

Question

我正在学习 Windows 7 如何启动，并尝试确保 bootmgr 不使用 ntfs 来实现其目的（例如搜索 winload.exe 文件）。

虽然我对分析 bootmgr 的代码有一点了解，但我正在尝试确定驱动程序 ntfs.sys 何时加载。

为此，我正在查看 HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\Ntfs 键，其中有值为“启动文件系统”的组键，然后我正在寻找此键到 HKEY_LOCAL_MACHINE\SYSTEM\ CurrentControlSet\Control\GroupOrderList 键。

但是没有“引导文件系统”键（但我发现在 HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot 键的子键中提到了它）。

我正在查看 HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\ServiceGroupOrder 键中的 List 键，并且存在此键。

我也运行 Sysinternals LoadOrder 实用程序来查看它，但一般没有提到 ntfs 驱动程序，但在“文件系统”组中提到了 fs_rec 键，但在注册表中没有“文件系统”组GroupOrderList（但我在 HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\FileSystem 键中找到它）。

显然，它更难理解。

我能否做出正确的结论来确定 ntfs.sys 驱动程序何时加载或我在哪里可以阅读有关它的信息？

Answer 1

使用Windows WPT 并运行以下命令：

xbootmgr -trace 引导 -traceFlags BASE+LATENCY+DISK_IO_INIT+DISPATCHER+FILE_IO+FILENAME+REGISTRY -stackwalk profile+CSwitch+ReadyThread+DiskReadInit+DiskWriteInit+ImageLoad+ImageUnload+RegQueryKey+RegEnumerateKey+RegEnumerateValueKey+RegDeleteKey+RegCreateKey+RegOpenKey+RegSetValue+RegDeleteValue+RegQueryValue+RegQueryMultipleValue+RegSetInformation+RegFlush+RegVirtualize+RegCloseKey+RegHiveInit+RegHiveDestroy+RegHiveLink+ RegHiveDirty -resultPath C:\TEMP

重启后停止倒计时，将ETL加载到WPA.exe，load the debug symbols，将“Images”图形从Graph explorer拖放到右侧（Analysis tab）并激活堆栈列。现在你看看内核的哪些函数加载了驱动程序。

该命令还捕获注册表访问，因此您可以查看启动期间正在访问哪些键。