Windows 启动用户态登陆过程简述

内核都加载完毕后，创建第一个用户态进程 smss.exe（回话管理子系统）。
smss再创建 Windows 子系统服务进程 csrss 和负责登陆的 WinLogon进程。
当用户输入用户名和密码后，负责登陆的系统进程 WinLogon 将用户名和密码发送给负责安全认证的LSASS进程。
LSASS 调用验证模块对用户名和密码进行验证，如果通过则创建一个访问令牌对象。
WinLogon 启动 HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon 的UserInit表键下指定的程序（默认为 userinit.exe）。
UserInit 进程执行登陆和初始化脚本，然后启动shell表键的定义的shell程序，默认即是 Explorer.exe。

--摘自《格蠹汇编》