Invisible Man

Firefox 從版本3開始，使用新的文件格式來儲存瀏覽的歷史紀錄，而不是把這些紀錄存於mork文件格式，紀錄改為保存在一個SQLite資料庫

文件位置(File Locations) Windows XP中 C:\Documents and Settings\<username>\Application Data\Mozilla\Firefox\Profiles\<profile folder>\places.sqlite Windows Vista C:\Users\<user>\AppData\Roaming\Mozilla\Firefox\Profiles\<profile folder>\places.sqlite GNU/Linux /home/<user>/.mozilla/firefox/<profile folder>/places.sqlite Mac OS X /Users/<user>/Library/Application Support/Firefox/Profiles/default.lov/places.sqlite

文件標頭(File Header) Firefox 3 history files start with 53 51 4C 69 74 65 20 66 6F 72 6D 61 74 20 33 which represents the ascii string SQLite format 3. This is normal for any Sqlite database file, so it may be more appropriate to verify that the file is a Firefox 3 history file by looking for the database tables within the file. For example, at offset 120701 (0x1D77D) the hex value 43 52 45 41 54 45 20 54 41 42 4C 45 20 6D 6F 7A 5F 62 6F 6F 6B 6D 61 72 6B 73 can be found. This represents the ascii string CREATE TABLE moz_bookmarks. At offset 120973 (0x1D88D) the hex value 43 52 45 41 54 45 20 49 4E 44 45 58 20 6D 6F 7A 5F 62 6F 6F 6B 6D 61 72 6B 73 5F 69 74 65 6D 69 6E 64 65 78 can be found. This represents the ascii string CREATE TABLE moz_bookmarks_itemindex.

資料庫表(Database Tables) The places.sqlite file is essentially a database with multiple tables: moz_anno_attributes moz_annos moz_bookmarks moz_bookmarks_roots moz_favicons moz_historyvisits moz_inputhistory moz_items_annos moz_keywords moz_places
參考來源：wiki

以下以Windows作業系統為例介紹電腦的啟動過程:
1. Power-On Self Test ，接上電源後自我檢測 (1) 當按下電源開關時，電源就開始向主機板及其他裝置供電，電壓穩定後，CPU就從特定的位置開始執行指令 (2) 之後系統BIOS的啟動程式碼進行POST(Power-On Self Test，接上電源後自我檢測)
2. BIOS 初始檢測 (1) 系統BIOS將開始尋找顯示卡及其他裝置的BIOS程式，找到之後呼叫這些BIOS內部的初始化程式碼來初始化相關的裝置。 (2) 尋找完所有其他裝置的BIOS後，系統BIOS將顯示出它自己的啟動畫面，其中包括有系統BIOS的類型、序號及版本號等內容。 (3) 接者系統BIOS將檢測和顯示CPU的類型和工作頻率，然後開始測試所有的RAM，並同時在螢幕上顯示記憶體測試的進度。
3. BIOS 硬體檢測 (1) 記憶體測試之後系統BIOS將開始檢測系統中安裝的一些標準硬體裝置，包括硬碟、CD-ROM、排序埠、平行怖、軟碟機等裝置，另外絕大多數較新版本的系統BIOS在這一過程中還要自動檢測和設置記憶體的定時參數，硬碟參數和存取模式等。 (2) 標準裝置檢測完畢後，系統BIOS內部的支援隨插即用程式碼將開始檢測和設定系統中安裝的隨插即用裝置，每找到一個裝置之後，系統BIOS都會在螢幕上顯示出裝置的名稱和型號等資訊，同時為該裝置分配中斷，DMA通道和I/O埠等資源。 (3) 所有硬體都已經檢測設定完畢後，多數系統BIOS會重新整理螢幕並在上方顯示出一個表格，其中概略的列出了系統中安裝的各種標準硬體裝置，以及它們使用的資源和一些相關的工作參數。
4. 更新ESCD(Extended system Configuration Data，擴充系統組態資料) 接下來系統BIOS將更新ESCD(Extended system Configuration Data，擴充系統組態資料。ESCD示系統BIOS用來與作業系統交換硬體設定資訊的一種手段，這些資料被存放在CMOS之中。
5. 選擇啟動順序 ESCD更新完畢後，系統BIOS的啟動程式碼將進行他的最終一項工作，即根據使用者指定的啟動順序從軟碟、硬碟或光碟機啟動。 以從C碟啟動為例，系統BIOS將讀取並執行硬碟上的主開機記錄，主開機記錄接者從分區表中找到第一個使用中的磁碟分割，然後讀取並執行這個使用中的磁碟分個的分區開機記錄，而分區開機記錄將負責讀取並執行IO.SYS，並進一步開機即啟動磁區。

參考文獻馬林著「資料重現」

常常遇到作業系統中的Process(程序)不知道是什麼用途的話可以到這些網站查詢查詢~ 1.ProcessLibrary: http://www.processlibrary.com/ 輸入所要查詢的程式名稱後會顯示正常或不正常程式的說明。 2.Process info: http://process-info.org/ 查詢後一樣會列出查詢程式的相關資訊，但是資訊較為雜亂。 另外如果你查的程式不是Process而是File的話可以到這邊~ What the file: http://whatisthatfile.com/index.php

　　Win+Up 最大化
　　Win+Down 還原 / 最小化
　　Win+Left 通過AeroSnap靠左顯示
　　Win+Right 通過AeroSnap靠右顯示
　　Win+Shift+Left 跳轉左邊的顯示器
　　Win+Shift+Right 跳轉右邊的顯示器
　　Win+Home 最小化 / 還原所有其他窗口
　　Win+T 選中任務欄首個項目
　　再次按下則會在任務欄上循環切換
　　Win+Shift+T 則是後退
　　Win+Space 使用Aero Peek顯示桌面
　　Win+G 呼出桌面小工具
　　Win+P 外界顯示器(擴展桌面等)
　　Win+X 移動中心
　　Win+#(# = 數字鍵) 運行任務欄上第N個程序　　
　　比如: Win+1 使用第一個程序, Win+2 使用第二個...　　
　　Win + +
　　Win + -(plus or minus key) 放大/縮小 　　
　　資源管理器　
　　Alt+P 顯示/隱藏 預覽面板 　　
　　任務欄　　
　　Shift + 左鍵單擊某程序圖標 運行
　　中鍵單擊某程序圖標 運行
　　Ctrl + Shift + 左鍵單擊某程序圖標 以管理員身份運行
　　Shift + 右鍵擊某程序圖標 顯示窗口菜單(還原 / 最小化/ 移動 / 等)
　　Note: 通常可以右鍵窗口的任務欄預覽呼出此菜單
　　Shift + 右擊某程序圖標(分組顯示窗口模式下) 呼出還原所有窗口/ 最小化所有窗口/關閉所有窗口等菜單
　　Ctrl + 左鍵單擊某程序圖標(分組顯示窗口模式下) 在窗口或標籤中循環切換

據國外媒體報導，近來炒得沸沸揚揚的上帝模式（GodMode）不僅適用於Windows 7和Windows Vista系統，而且適用於未來的Windows 8系統。
據悉，Windows 7上帝模式首先由國外的一個博客發現。該博客感嘆於此項隱藏功能的神奇，遂將其命名為「GodMode」。你可以用任何名稱創造新的文件夾，再加上特定的字串，就能直接進入各種設定的控制面板。
例如，在桌面新建一個文件夾，命名為 GodMode.{ED7BA470-8E54-465E-825C-99712043E01C}。你會發現：圖標變成了「控制面板」，文件夾裡面有相當豐富的內容。
微軟公司技術專家帕特里克·羅傑斯（Patrick Rogers）透露：「請放心使用這種系統技巧。這只是一種可以使文件系統文件夾進入控制面板的簡便方法。事實上，用戶可以通過各種上帝模式完整地設置Windows系統。從Windows Vista時代開始，每個控制面板項目都有一個便於開發者訪問Windows核心功能的規範名（Canonical Name）。當你創建一個文件夾，並且給予它一個規範名，那麼它的圖標就會變為指向某一任務的控制面板項目。」
Windows部門總裁史蒂文-辛諾夫斯基（Steven Sinofsky）已經公開聲明，Windows 7系統中還存在數個類似存取各種設置的隱藏功能，包括選擇電源設置和指紋識別傳感器。
羅傑斯還公佈了一份完整的控制面板規範名（Control Panel Canonical Name）列表。有趣的是，某些控制面板規範名僅適用於「Windows 7及其以後版本」（Windows 7 and later），這就意味著Windows 8系統也將存在類似的系統設置技巧。
羅傑斯還表示：「微軟MSDN網站已經面向Windows Vista和Windows 7用戶提供規範名列表，你可以隨時享受在文件系統創建控制面板的樂趣。」
下面節選的一些控制面板規範名：
- 行動中心(Windows 7及其以後版本) {BB64F8A7-BEE7-4E1A-AB8D-7D8273F7FDB6}
- 備份和存儲(Windows 7及其以後版本) {B98A2BEA-7D42-4558-8BD1-832F41BAC6FD}
- 識別設備 (Windows 7及其以後版本) {0142e4d0-fb7a-11dc-ba4a-000ffe7ab428}
-憑證管理(Windows 7及其以後版本) {1206F5F1-0569-412C-8FEC-3204630DFB70}
- 桌面工具 (Windows 7及其以後版本) {37efd44d-ef8d-41b1-940d-96973a50e9e0}
- 設備和打印機 (Windows 7及其以後版本) {A8A91A66-3A7D-4424-8D24-04E180695C7A}
- 展示 (Windows 7及其以後版本) {C555438B-3C23-4769-A71F-B6D3D9B6053A}
- 入門 (Windows 7及其以後版本) {CB1B7F8C-C50A-4176-B604-9E24DEE8D4D1}
- 家庭組 (Windows 7及其以後版本) {67CA7650-96E6-4FDD-BB43-A8E774F73A57}
- 紅外線 (Windows 7及其以後版本) {A0275511-0E86-4ECA-97C2-ECD8F1221D08}
- 通知圖標 (Windows 7及其以後版本) {05d7b0f4-2121-4eff-bf6b-ed3f69b894d9}
-多點觸摸手繪板(Windows 7及其以後版本) {F82DF8F7-8B9F-442E-A48C-818EA735FF9B}
- 調製調解器 (Windows 7及其以後版本) {40419485-C444-4567-851A-2DD7BFA1684D}
- 還原 (Windows 7及其以後版本) {9FE63AFD-59CF-4419-9775-ABCC3849F861}
- 地區和語言 (Windows 7及其以後版本) {62D8ED13-C9D0-4CE8-A914-47DD628FB1B0}
- 遠程桌面 Microsoft.RemoteAppAndDesktopConnections (Windows 7 and later only) {241D7C96-F8BF-4F85-B01F-E2B043341A4B}
- 聲音 (Windows 7及其以後版本) {F2DDFC82-8F12-4CDD-B7DC-D4FE1425AA4D}
- 語音識別 (Windows 7及其以後版本) {58E3C745-D971-4081-9034-86E34B30836A}
- 疑難解決 (Windows 7及其以後版本) {C58C4893-3BE0-4B45-ABB5-A63E4B8C8651}

SID 也就是安全標識符（Security Identifiers），是標識用戶、組和計算機帳戶的唯一的號碼。在第一次創建該帳戶時，將給網絡上的每一個帳戶發佈一個唯一的 SID。Windows 2000 中的內部進程將引用帳戶的 SID 而不是帳戶的用戶或組名。如果創建帳戶，再刪除帳戶，然後使用相同的用戶名創建另一個帳戶，則新帳戶將不具有授權給前一個帳戶的權力或權限，原因是該帳戶 具有不同的 SID 號。安全標識符也被稱為安全 ID 或 SID。
SID的作用
用戶通過驗證後，登陸進程會給用戶一個 訪問令牌，該令牌相當於用戶訪問系統資源的票證，當用戶試圖訪問系統資源時，將訪問令牌提供給 Windows NT，然後 Windows NT 檢查用戶試圖訪問對像上的訪問控制列表。如果用戶被允許訪問該對象，Windows NT將會分配給用戶適當的訪問權限。
訪問令牌是用戶在通過驗證的時候有登陸進程所提供的，所以改變用戶的權限需要註銷後重新登陸，重新獲取訪問令牌。
SID號碼的組成
如果存在兩個同樣SID的用戶，這兩個帳戶將被鑒別為同一個帳戶，原理上如果帳戶無限制增加的時候，會產生同樣的SID，在通常的情況下SID是唯一的，他由計算機名、當前時間、當前用戶態線程的CPU耗費時間的總和三個參數決定以保證它的唯一性。
一個完整的SID包括：
‧ 用戶和組的安全描述
‧ 48-bit的ID authority
‧ 修訂版本
‧ 可變的驗證值Variable sub-authority values
例：S-1-5-21-310440588-250036847-580389505-500
我 們來先分析這個重要的SID。第一項S表示該字符串是SID；第二項是SID的版本號，對於2000來說，這個就是1；然後是標誌符的頒發機構 （identifier authority），對於2000內的帳戶，頒發機構就是NT，值是5。然後表示一系列的子頒發機構，前面幾項是標誌域的，最後一個標誌著域內的帳戶和 組。
SID的獲得
開始－運行－regedt32－HKEY_LOCAL_MACHINESAMSAMDomainsBuiltinAliasesMembers，找到本地的域的代碼，展開後，得到的就是本地帳號的所有SID列表。
其中很多值都是固定的，比如第一個000001F4（16進制），換算成十進制是500，說明是系統建立的內置管理員帳號administrator，000001F5換算成10進制是501，也就是GUEST帳號了，詳細的參照後面的列表。
這一項默認是system可以完全控制，這也就是為什麼要獲得這個需要一個System的Cmd的Shell的原因了，當然如果權限足夠的話你可以把你要添加的帳號添加進去。
或者使用Support Tools的Reg工具：
reg query "HKEY_LOCAL_MACHINESOFTWARE_Microsoft_Windows NTCurrentVersionProfileList
還有一種方法可以獲得SID和用戶名稱的對應關係：
1. Regedt32:
HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindows NTCurrentVersion ProfileList
2. 這個時候可以在左側的窗口看到SID的值，可以在右側的窗口中ProfileImagePath看到不同的SID關聯的用戶名，
比如%SystemDrive%Documents and SettingsAdministrator.momo這個對應的就是本地機器的管理員SID
%SystemDrive%Documents and SettingsAdministrator.domain這個就是對應域的管理員的帳戶
另外微軟的ResourceKit裡面也提供了工具getsid，sysinternals的工具包裡面也有Psgetsid，其實感覺原理都是讀取註冊表的值罷了，就是省了一些事情。
SID重複問題的產生
安裝NT／2000系統的時候，產生了一個唯一的SID，但是當你使用類似Ghost的軟件克隆機器的時候，就會產生不同的機器使用一個SID的問題。產生了很嚴重的安全問題。
同樣，如果是重複的SID對於對等網來說也會產生很多安全方面的問題。在對等網中帳號的基礎是SID加上一個相關的標識符（RID），如果所有的工作站都擁有一樣的SID，每個工作站上產生的第一個帳號都是一樣的，這樣就對用戶本身的文件夾和文件的安全產生了隱患。
這個時候某個人在自己的NTFS分區建立了共享，並且設置了自己可以訪問，但是實際上另外一台機器的SID號碼和這個一樣的用戶此時也是可以訪問這個共享的。
SID重複問題的解決
下面的幾個試驗帶有高危險性，慎用，我已經付出了慘痛的代價！
微軟在ResourceKit裡面提供了一個工具，叫做SYSPREP,這個可以用在克隆一台工作站以前產生一個新的SID號碼。 下圖是他的參數
這個工具在DC上是不能運行這個命令的，否則會提示
但是這個工具並不是把所有的帳戶完全的產生新的SID，而是針對兩個主要的帳戶Administrator和Guest，其他的帳號仍然使用原有的SID。
下面做一個試驗，先獲得目前帳號的SID：
S-1-5-21-2000478354-688789844-839522115
然後運行Sysprep，出現提示窗口：
確定以後需要重啟，然後安裝程序需要重新設置計算機名稱、管理員口令等，但是登陸的時候還是需要輸入原帳號的口令。
進入2000以後，再次查詢SID，得到：
S-1-5-21-759461550-145307086-515799519，發現SID號已經得到了改變，查詢註冊表，發現註冊表已經全部修改了，當然全部修改了。
另外sysinternals公司也提供了類似的工具NTSID，這個到後來才發現是針對NT4的產品，界面如下：
他 可不會提示什麼再DC上不能用，接受了就開始，結果導致我的一台DC崩潰，重啟後提示「安全賬號管理器初始化失敗，提供給識別代號頒發機構的值為無效值， 錯誤狀態0XC0000084，請按確定，重啟到目錄服務還原模式...」，即使切換到目錄服務還原模式也再也進不去了！
想想自己膽子也夠大 的啊，好在是一台額外DC，但是自己用的機器，導致重裝系統半天，重裝軟件N天，所以再次提醒大家，做以上試驗的時候一定要慎重，最好在一台無關緊要的 機器上試驗，否則出現問題我不負責哦。另外在Ghost的新版企業版本中的控制台已經加入了修改SID的功能，自己還沒有嘗試，有興趣的朋友可以自己試 驗一下，不過從原理上應該都是一樣的。
文章發表之前，又發現了微軟自己提供的一個工具「Riprep」，這個工具主要用做在遠程安裝的過程 中，想要同時安裝上應用程序。管理員安裝了一個標準的公司桌面操作系統，並配置好應用軟件和一些桌面設置之後，可以使用Riprep從這個標準的公司桌面 系統製作一個Image文件。這個Image文件既包括了客戶化的應用軟件，又把每個桌面系統必須獨佔的安全ID、計算機賬號等刪除了。管理員可以它放到 遠程安裝服務器上，供客戶端遠程啟動進行安裝時選用。但是要注意的是這個工具只能在單硬盤、單分區而且是Professional的機器上面用。
下面是SID末尾RID值的列表，括號內為16進制：
Built-In Users
DOMAINNAMEADMINISTRATOR
S-1-5-21-917267712-1342860078-1792151419-500 (=0x1F4)
DOMAINNAMEGUEST
S-1-5-21-917267712-1342860078-1792151419-501 (=0x1F5)
Built-In Global Groups
DOMAINNAMEDOMAIN ADMINS
S-1-5-21-917267712-1342860078-1792151419-512 (=0x200)
DOMAINNAMEDOMAIN USERS
S-1-5-21-917267712-1342860078-1792151419-513 (=0x201)
DOMAINNAMEDOMAIN GUESTS
S-1-5-21-917267712-1342860078-1792151419-514 (=0x202)
Built-In Local Groups
BUILTINADMINISTRATORS S-1-5-32-544 (=0x220)
BUILTINUSERS S-1-5-32-545 (=0x221)
BUILTINGUESTS S-1-5-32-546 (=0x222)
BUILTINACCOUNT OPERATORS S-1-5-32-548 (=0x224)
BUILTINSERVER OPERATORS S-1-5-32-549 (=0x225)
BUILTINPRINT OPERATORS S-1-5-32-550 (=0x226)
BUILTINBACKUP OPERATORS S-1-5-32-551 (=0x227)
BUILTINREPLICATOR S-1-5-32-552 (=0x228)
Special Groups
CREATOR OWNER S-1-3-0
EVERYONE S-1-1-0
NT AUTHORITYNETWORK S-1-5-2
NT AUTHORITYINTERACTIVE S-1-5-4
NT AUTHORITYSYSTEM S-1-5-18
NT AUTHORITYauthenticated users S-1-5-11 *.(over),

在民事和刑事調查中，讀取或分析硬盤或其他移動存儲中的數據時，保留原始文件內容和時間戳是非常關鍵的，這也是保持證據原始性的一個要求。但很多人沒有意 識到，將硬盤或移動存儲設備連接到計算機上使用時，會造成硬盤中的數據更改。因此要保證證據的原始性，必須要使用寫保護設備。
律師行、調查公司或其他電子證據服務機構，應該和專業計算機法證機構一樣，更應該注意這一點。大家都知道，讀取刻錄在光盤中的證據數據時不會發生數據更改的情況。但是，應該注意的是，在將證據文件刻錄到光盤的時候，卻會改變原始證據文件的時間戳。
現在市場上有很多硬件設備可以實現硬件寫保護功能。更有一些新開發出的軟件的軟件寫保護方案能夠提供更有效、更易用、更快速的解決方法。
如果需要使用硬件寫保護設備，目前市場上有：Tableau 、WeibeTech、ICS Drive Lock、Disk Jockey PRO Forensic Edition 等。
軟件寫保護工具，可以選用 Safe Block XP。
當選購硬件寫保護設備時，你可能會發現你不得不考慮到各種存儲介質，比如不同類型的硬盤接口，USB閃存（優盤）、閃存卡、火線硬盤等等。這些加在一起需要上萬元了。
相 比起來，我認為選用軟件寫保護方法，如 Safe Block XP ，可能會更加理想。Safe Block XP這種軟件方式價格相比便宜很多，可以運行於 Windows XP 中，允許用戶對各種存儲介質添加只讀保護。此外，Safe Block XP 可以明顯增強數據拷貝、鏡像和哈希校驗的速度。
軟件方式可以使用計算機本身的各種接口，而硬件寫保護設備目前主要侷限於USB和火線接口。
轉自計算機取證技術

1、預引導(Pre-Boot)階段

2、引導階段

3、加載內核階段

4、初始化內核階段

5、登陸

一、預引導階段 在按下計算機電源使計算機啟動，

並且在Windows XP操作系統啟動之前這段時間，

我們稱之為預引導（Pre-Boot）階段，

在這個階段裡，計算機首先運行Power On Self Test（POST），

POST檢測系統的總內存以及其他硬件設備的現狀。

如果計算機系統的BIOS(基礎輸入/輸出系統)是即插即用的，

那麼計算機硬件設備將經過檢驗以及完成配置。

計算機的基礎輸入/輸出系統（BIOS）定位計算機的引導設備，

然後MBR(Master Boot Record)被加載並運行。

在預引導階段，計算機要加載Windows XP的NTLDR文件。

二、引導階段 Windows XP Professional引導階段包含4個小的階段。

首先，計算機要經過初始引導加載器階段（Initial Boot Loader），

在這個階段裡，NTLDR將計算機微處理器從實模式轉換為32位平面內存模式。

在實模式中，系統為MS-DOS保留640kb內存，其餘內存視為擴展內存，

而在32位平面內存模式中，系統（Windows XP Professional）視所有內存為可用內存。

接著，NTLDR啟動內建的mini-file system drivers，

通過這個步驟，使NTLDR可以識別每一個用NTFS或者FAT文件系統格式化的分區，

以便發現以及加載Windows XP Professional，

到這裡，初始引導加載器階段就結束了。

接著系統來到了操作系統選擇階段，

如果計算機安裝了不止一個操作系統（也就是多系統），

而且正確設置了boot.ini使系統提供操作系統選擇的條件下，

計算機顯示器會顯示一個操作系統選單，

這是NTLDR讀取boot.ini的結果。

三、加載內核階段 在加載內核階段，ntldr加載稱為Windows XP內核的ntokrnl.exe。

系統加載了Windows XP內核但是沒有將它初始化。

接著ntldr加載硬件抽象層（HAL，hal.dll），然後，

系統繼續加載HKEY_LOCAL_MACHINE\system鍵，

NTLDR讀取select鍵來決定哪一個Control Set將被加載。

控制集中包含設備的驅動程序以及需要加載的服務。

NTLDR加載HKEY_LOCAL_MACHINE\system\service\...下start鍵值為0的最底層設備驅動。

當作為Control Set的鏡像的Current Control Set被加載時，

ntldr傳遞控制給內核，初始化內核階段就開始了。

四、初始化內核階段 在初始化內核階段開始的時候，

彩色的Windows XP的logo以及進度條顯示在屏幕中央，

在這個階段，系統完成了啟動的4項任務：

內核使用在硬件檢測時收集到的數據來創建了HKEY_LOCAL_MACHINE\HARDWARE鍵。

內核通過引用HKEY_LOCAL_MACHINE\system\Current的默認值複製Control Set來創建了Clone Control Set。

Clone Control Set配置是計算機數據的備份，不包括啟動中的改變，也不會被修改。

系統完成初始化以及加載設備驅動程序，內核初始化那些在加載內核階段被加載的底層驅動程序，

然後內核掃瞄HKEY_LOCAL_MACHINE\system\CurrentControlSet\service\...下start鍵值為1的設備驅動程序。

這些設備驅動程序在加載的時候便完成初始化，如果有錯誤發生，內核使用ErrorControl鍵值來決定如何處理，

值為3時，錯誤標誌為危機/關鍵，系統初次遇到錯誤會以LastKnownGood Control Set重新啟動，

如果使用LastKnownGood Control Set啟動仍然產生錯誤，系統報告啟動失敗，錯誤信息將被顯示，

系統停止啟動；值為2時錯誤情況為嚴重，系統啟動失敗並且以LastKnownGood Control Set重新啟動，

如果系統啟動已經在使用LastKnownGood值，它會忽略錯誤並且繼續啟動；

當值是1的時候錯誤為普通，系統會產生一個錯誤信息，

但是仍然會忽略這個錯誤並且繼續啟動；當值是0的時候忽略，系統不會顯示任何錯誤信息而繼續運行

Session Manager啟動了Windows XP高級子系統以及服務，

Session Manager啟動控制所有輸入、輸出設備以及訪問顯示器屏幕的Win32子系統以及Winlogon進程，

初始化內核完畢。

五、登陸 Winlogon.exe啟動Local Security Authority，

同時Windows XP Professional歡迎屏幕或者登陸對話框顯示，

這時候，系統還可能在後台繼續初始化剛才沒有完成的驅動程序。

提示輸入有效的用戶名或密碼。

Service Controller最後執行以及掃瞄HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Servives來檢查是否還有服務需要加載，

Service Controller查找start鍵值為2或更高的服務，

服務按照start的值以及DependOnGroup和DepandOnService的值來加載。

只有用戶成功登陸到計算機後，Windows XP的啟動才被認為是完成，

在成功登陸後，系統拷貝Clone Control Set到LastKnownGood Control Set，完成這一步驟後，

系統才意味著已經成功引導了

轉貼至網路