ntfs.sys 驱动程序何时加载？

Posted 2023-02-19

【中文标题】ntfs.sys 驱动程序何时加载？

【英文标题】：When ntfs.sys driver is loading?

【发布时间】：2015-12-08 14:22:14

【问题描述】：

我正在学习 Windows 7 如何启动，并尝试确保 bootmgr 不使用 ntfs 来实现其目的（例如搜索 winload.exe 文件）。

虽然我对分析 bootmgr 的代码有一点了解，但我正在尝试确定驱动程序 ntfs.sys 何时加载。

为此，我正在查看 HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\Ntfs 键，其中有值为“启动文件系统”的组键，然后我正在寻找此键到 HKEY_LOCAL_MACHINE\SYSTEM\ CurrentControlSet\Control\GroupOrderList 键。

但是没有“引导文件系统”键（但我发现在 HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot 键的子键中提到了它）。

我正在查看 HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\ServiceGroupOrder 键中的 List 键，并且存在此键。

我也运行 Sysinternals LoadOrder 实用程序来查看它，但一般没有提到 ntfs 驱动程序，但在“文件系统”组中提到了 fs_rec 键，但在注册表中没有“文件系统”组GroupOrderList（但我在 HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\FileSystem 键中找到它）。

显然，它更难理解。

我能否做出正确的结论来确定 ntfs.sys 驱动程序何时加载或我在哪里可以阅读有关它的信息？

【参考方案1】：

使用Windows WPT 并运行以下命令：

xbootmgr -trace 引导 -traceFlags BASE+LATENCY+DISK_IO_INIT+DISPATCHER+FILE_IO+FILENAME+REGISTRY -stackwalk profile+CSwitch+ReadyThread+DiskReadInit+DiskWriteInit+ImageLoad+ImageUnload+RegQueryKey+RegEnumerateKey+RegEnumerateValueKey+RegDeleteKey+RegCreateKey+RegOpenKey+RegSetValue+RegDeleteValue+RegQueryValue+RegQueryMultipleValue+RegSetInformation+RegFlush+RegVirtualize+RegCloseKey+RegHiveInit+RegHiveDestroy+RegHiveLink+ RegHiveDirty -resultPath C:\TEMP

重启后停止倒计时，将ETL加载到WPA.exe，load the debug symbols，将“Images”图形从Graph explorer拖放到右侧（Analysis tab）并激活堆栈列。现在你看看内核的哪些函数加载了驱动程序。

该命令还捕获注册表访问，因此您可以查看启动期间正在访问哪些键。

【讨论】：

我开始测试，据我了解，wpt for windows 8/10 中的 wpa.exe 是 windows 7 中 wpt 中的 xperfview.exe（我从这里安装了 wpt ver. 4.8.7701 microsoft.com/en-us/download/details.aspx?id=8442），直到我找到你描述的信息，但确实有很多数据要研究，谢谢