🗸 Windows ngày nay không còn đơn thuần là một hệ điều hành để chạy ứng dụng. Bên dưới lớp giao diện người dùng là hàng trăm dịch vụ, tác vụ định kỳ, ứng dụng mặc định, cùng vô số cài đặt ẩn trong Registry. Nhiều thành phần trong số đó liên quan đến việc thu thập dữ liệu, đồng bộ với đám mây, hiển thị quảng cáo, theo dõi người dùng.
🗸 Trong nghiên cứu này, mình xây dựng một Script PowerShell để thu thập toàn bộ trạng thái hệ thống mà không thay đổi bất kỳ cấu hình nào, từ đó sẽ tiến hành phân tích cụ thể từng hạng mục. Bắt đầu với phiên bản Windows 10 22H2, là ver mới nhất ở thời điểm hiện tại. Windows 11 sẽ có bài phân tích sau này.
🗸 Nếu bạn muốn sử dụng một phiên bản Windows chuẩn sạch, hiệu năng cao, giảm sự theo dõi của Microsoft thì nghiên cứu này là nền tảng cho các bài viết:
- 📌 Làm chủ Windows, cách tắt theo dõi và tối ưu hiệu năng (Updating)
📌 Build WinPE, bộ cứu hộ đa năng, sử dụng khi gặp sự cố (Updating)
📌 Tiện ích nên có khi cài mới lại Windows (Updating)
🗸 Cơ bản thì hệ thống khởi động từ khi bật máy cho đến khi vào Windows có 7 giai đoạn:
→ Firmware (BIOS/UEFI) → Bootloader → Kernel & Drivers→ System Services → User Session → User Processes → Network Connections & Logs/Telemetry
- 1️⃣ Firmware (BIOS/UEFI): Khởi tạo phần cứng và nạp bootloader.
- 2️⃣ Bootloader: Tải kernel và các driver cơ bản.
- 3️⃣ Kernel & Drivers: Khởi động lõi hệ điều hành và trình điều khiển phần cứng.
- 4️⃣ System Services: Nạp các dịch vụ hệ thống cần thiết.
- 5️⃣ User Session: Đăng nhập người dùng, khởi động GUI và các ứng dụng khởi động.
- 6️⃣ User Processes: Các ứng dụng hoặc tiến trình do người dùng khởi tạo.
- 7️⃣ Network Connections & Logs/Telemetry: Kết nối mạng và ghi log diễn ra liên tục, tùy thuộc vào hoạt động của hệ thống.
1️⃣ Firmware (BIOS/UEFI): Khởi tạo phần cứng và nạp bootloader
🗸 Giai đoạn đầu tiên, diễn ra trước khi hệ điều hành can thiệp. Firmware là phần mềm nhúng trong bo mạch chủ (motherboard), chịu trách nhiệm kiểm tra và khởi tạo phần cứng cơ bản để đảm bảo hệ thống sẵn sàng boot. BIOS (Basic Input/Output System) là phiên bản cũ hơn, trong khi UEFI (Unified Extensible Firmware Interface) là phiên bản hiện đại, hỗ trợ boot nhanh hơn, bảo mật tốt hơn và dung lượng lưu trữ lớn hơn.
📄 Vai trò chính: Thực hiện Power-On Self-Test (POST) để kiểm tra phần cứng, thiết lập cấu hình cơ bản (như clock CPU, RAM), và tìm kiếm thiết bị boot hợp lệ. Sau đó, chuyển quyền điều khiển cho bootloader.
- ✔️ Power-On Self-Test (POST): Khi nhấn nút nguồn, firmware kiểm tra CPU, RAM, card đồ họa, ổ đĩa, và các thiết bị ngoại vi. Nếu phát hiện lỗi (ví dụ: RAM hỏng), hệ thống sẽ phát tiếng beep hoặc hiển thị mã lỗi trên màn hình.
- ✔️ Khởi tạo thiết bị: Thiết lập các thông số cơ bản như bus tốc độ, IRQ (Interrupt Request), và DMA (Direct Memory Access) cho thiết bị.
- ✔️ Tìm kiếm boot device: Firmware đọc thứ tự boot từ cài đặt (ví dụ: SSD trước USB). Nó kiểm tra Master Boot Record (MBR) trên BIOS hoặc GUID Partition Table (GPT) trên UEFI.
- ✔️ Secure Boot (chỉ UEFI): Nếu bật, firmware kiểm tra chữ ký số của bootloader để ngăn chặn phần mềm độc hại (như bootkit). Nếu không hợp lệ, boot dừng lại.
- ✔️ Chuyển quyền: Nạp bootloader từ sector đầu tiên của thiết bị boot, tức là sector 0 trên BIOS, hoặc EFI System Partition trên UEFI thường nằm tại ESP (EFI System Partition), định dạng FAT32.
Biến thể BIOS vs. UEFI:
| Đặc điểm | BIOS | UEFI |
|---|---|---|
| Boot speed | Chậm hơn, giới hạn ở 2TB ổ đĩa | Nhanh hơn, hỗ trợ ổ đĩa lớn, giao diện đồ họa |
| Bảo mật | Không có Secure Boot | Hỗ trợ Secure Boot, chống malware |
| Partition | Sử dụng MBR | Sử dụng GPT |
Kết nối với giai đoạn tiếp theo: Nếu tìm thấy thiết bị hợp lệ, firmware tra cứu một file khởi động trên ổ cứng, trong UEFI thường là:
| File bootloader (EFI) | OS |
|---|---|
| \EFI\Microsoft\Boot\bootmgfw.efi | Windows |
| \EFI\ubuntu\grubx64.efi | Linux (Ubuntu) |
| \EFI\fedora\grubx64.efi | Linux (Fedora) |
| \EFI\debian\grubx64.efi | Linux (Debian) |
| \EFI\refind\refind_x64.efi | rEFInd boot manager (đa OS) |
| \EFI\boot\bootx64.efi | Boot mặc định UEFI |
| \EFI\redhat\shimx64.efi | Red Hat / CentOS |
| \EFI\kali\grubx64.efi | Linux (Kali) |
✔️ Nếu thành công, firmware chuyển quyền cho bootloader (ví dụ: Windows Boot Manager).
❌ Nếu thất bại, hiển thị lỗi như "No boot device found".
2️⃣ Bootloader: Tải kernel và các driver cơ bản
🗸 Bootloader là chương trình nhỏ chịu trách nhiệm tải hệ điều hành từ ổ đĩa vào bộ nhớ. Trong Windows, đây là Windows Boot Manager (bootmgr), giúp chọn OS nếu có nhiều hệ thống cài đặt.
🗸 Trước Windows Vista/7, BIOS nạp trực tiếp MBR (Master Boot Record) trên ổ đĩa. MBR chứa 1 chương trình rất nhỏ (~512 byte) trực tiếp gọi NTLDR (NT Loader) để load Windows.
🗸 Với các hệ thống UEFI và Windows hiện đại: Bootloader phức tạp hơn (bootmgr) vì phải xử lý nhiều OS (dual boot), Secure Boot, Phân vùng GPT (GUID Partition Table), Boot configuration (BCD)
🗸 Bootmgr quản lý danh sách OS, gọi kernel Windows (ntoskrnl.exe) và các driver cần thiết, đảm bảo boot đúng và an toàn.
📄 Vai trò chính: Đọc cấu hình boot từ Boot Configuration Data (BCD), hiển thị menu boot nếu cần, và tải kernel cùng các driver thiết yếu để khởi động OS.
- ✔️ Đọc BCD: Bootloader đọc dữ liệu từ BCD store (thường ở \EFI\Microsoft\Boot\BCD trên UEFI hoặc \Boot\BCD trên BIOS) để lấy thông tin về OS, boot options (như Safe Mode).
- ✔️ Hiển thị menu: Nếu có nhiều OS hoặc tùy chọn (ví dụ: Windows Recovery), hiển thị menu cho người dùng chọn (mặc định 30 giây).
- ✔️ Tải OS loader: Chuyển sang winload.exe (hoặc winload.efi trên UEFI) để tải kernel.
- ✔️ Tải driver cơ bản: Tải các driver cần thiết cho kernel, như HAL (Hardware Abstraction Layer) để trừu tượng hóa phần cứng.
- ✔️ Chuyển quyền: Chuyển control cho kernel sau khi tải vào RAM.
🗸 File liên quan: bootmgr/bootmgfw.efi (boot manager), winload.exe/winload.efi (OS loader), BCD store, bootres.dll (tài nguyên boot).
🗸 Biến thể BIOS và UEFI: Trên BIOS, bootmgr đọc MBR, trên UEFI, bootmgfw.efi đọc EFI partition và hỗ trợ Secure Boot kiểm tra chữ ký.
- 🔒 Secure Boot yêu cầu mọi chương trình EFI (bootloader, kernel, driver EFI) phải được ký điện tử bằng chứng chỉ hợp lệ. Với mục đích ngăn phần mềm độc hại (bootkit, rootkit) load trước Windows kernel.
🔒 Microsoft tạo Microsoft UEFI CA Certificate gồm Private Key và Public Key của họ. Trong đó Private key được lưu trữ bí mật tại Microsoft. - 🔒 Ký file EFI: Khi biên dịch Windows, file bootmgfw.efi được tạo. Microsoft dùng Private key ký file này bằng thuật toán điện tử (thường là SHA-256 + RSA). Kết quả là Digital Signature được nhúng vào file EFI hoặc kèm theo file .auth để UEFI đọc.
- 🔒 Chứng chỉ được nhúng trong firmware hoặc DB/KEK (Key Exchange Key): UEFI firmware giữ danh sách khoá đáng tin cậy (db - signature database) và khoá nhà sản xuất KEK.
- → Khi boot, bootmgfw.efi được nạp → firmware dùng public key trong DB/KEK kiểm tra chữ ký.
- 🔒 Kiểm tra trước khi load
- ✔️ Nếu chữ ký hợp lệ → boot tiếp.
- ❌ Nếu chữ ký không hợp lệ → Secure Boot chặn, báo lỗi “Secure Boot Violation” hoặc “Invalid Signature”.
🗸 Kết nối với giai đoạn tiếp theo: Bootloader tải kernel (ntoskrnl.exe) vào bộ nhớ, cho phép kernel tiếp quản và khởi động drivers đầy đủ.
3️⃣ Kernel & Drivers: Khởi động lõi hệ điều hành và trình điều khiển phần cứng
🗸 Kernel là trái tim của OS, quản lý tài nguyên như bộ nhớ, CPU, và I/O. Giai đoạn này tải kernel và drivers để OS có thể giao tiếp với phần cứng.
🗸 Đối với Windows 10 22H2 (2025) thì Kernel là phiên bản NT Kernel 10.0 (vẫn là phiên bản được phát triển qua các thời kỳ của Windows)
| Thành phần | Vai trò chính |
|---|---|
| HAL (Hardware Abstraction Layer) | Trừu tượng hóa phần cứng, giúp kernel hoạt động trên nhiều loại CPU/bo mạch khác nhau mà không cần viết lại toàn bộ. |
| Kernel (Core) | Quản lý luồng (threads), xử lý ngắt, đồng bộ tài nguyên, lập lịch CPU. |
| Executive | Tầng quản lý hệ thống cấp cao, bao gồm: • Process Manager - quản lý tiến trình & luồng • Memory Manager - quản lý RAM, paging, bộ nhớ ảo • I/O Manager - quản lý thiết bị, file system, request I/O • Security Reference Monitor - quản lý quyền, ACL, bảo mật • Object Manager - quản lý đối tượng hệ thống (file, thread, mutex, handle…) |
| Device Drivers (Kernel mode) | Cung cấp giao tiếp với phần cứng: driver thiết bị, file system, network stack, graphics… |
| User Mode Subsystems | • Win32 Subsystem - môi trường API chính cho ứng dụng Windows • WSL / POSIX Subsystem - tương thích UNIX/Linux (trước đây POSIX, nay chủ yếu là WSL). |
📄 Vai trò chính: Khởi động lõi Windows NT, chính là file C:\Windows\System32\ntoskrnl.exe, thường có dung lượng rất nhỏ, khoảng 7 - 8 MB (tùy từng bản Build khác nhau), nó được viết cực kỳ tối ưu và phần lớn chức năng được chia ra các DLL khác, và thiết lập môi trường runtime cơ bản.
- ✔️ Tải kernel: Winload nạp ntoskrnl.exe (Windows NT Kernel) vào bộ nhớ, khởi tạo Executive Subsystems như Process Manager, Memory Manager, I/O Manager, Security Manager, Object Manager. Đây là nền tảng để Windows quản lý tiến trình, bộ nhớ và thiết bị.
- ✔️ Tải HAL và drivers boot: Kernel gọi hal.dll (Hardware Abstraction Layer) để tách biệt code khỏi phần cứng cụ thể. Đồng thời nạp boot-critical drivers như atapi.sys, disk.sys, storport.sys để có thể truy cập phân vùng hệ điều hành. Nếu thiếu, hệ thống sẽ dừng với lỗi INACCESSIBLE_BOOT_DEVICE (0x7B).
- ✔️ Khởi tạo registry: Kernel đọc hive \Windows\System32\Config\SYSTEM để lấy cấu hình dịch vụ, drivers, hardware profiles. Registry ở mức này hoạt động như “sổ tay cấu hình” cho toàn bộ hệ thống.
- ✔️ Tải drivers thêm: Kernel đọc thông tin từ các file INF trong \Windows\INF, nạp drivers bổ sung cho thiết bị. Ưu tiên signed drivers (WHQL – Windows Hardware Quality Labs) nhằm đảm bảo tính toàn vẹn và an toàn.
🗸 Chuyển control: Kernel khởi chạy Session Manager Subsystem (SMSS.exe) - tiến trình đầu tiên ở user-mode, chịu trách nhiệm khởi tạo Session 0 (services) và Session 1 (user login).
🗸 File liên quan: ntoskrnl.exe gọi các hàm trong hal.dll, kdcom.dll, ci.dll, bootvid.dll, kdusb.dll để sử dụng. Trong đó các file dll có các nhiệm vụ riêng:
| 📂 File | 📝 Vai trò chính |
|---|---|
| hal.dll | Hardware Abstraction Layer: tách kernel khỏi phần cứng cụ thể, hỗ trợ đa nền tảng |
| kdcom.dll | Kernel Debugger Communication: hỗ trợ giao tiếp khi debug kernel |
| ci.dll | Code Integrity: kiểm tra chữ ký số của drivers, ngăn driver chưa xác thực chạy |
| bootvid.dll | Video driver cơ bản trong giai đoạn boot (hiển thị logo, progress bar) |
| kdusb.dll | Hỗ trợ debug kernel qua USB |
🗸 Kết nối với giai đoạn tiếp theo: Kernel thiết lập nền tảng quản lý bộ nhớ, process, I/O; sau đó bàn giao cho SMSS.exe để khởi động Services, Csrss (Client/Server Runtime), Wininit và cuối cùng dẫn tới giao diện người dùng (Explorer.exe).
4️⃣ System Services: Nạp các dịch vụ hệ thống cần thiết
✔️ SMSS.exe khởi động: Kernel gọi Session Manager Subsystem (SMSS.exe) để tạo Session 0 (system session). Đây là session đặc biệt, nơi chạy các tiến trình nền và dịch vụ hệ thống. SMSS cũng nạp environment variables và chuẩn bị môi trường cơ bản.
✔️ Wininit.exe khởi động: SMSS sinh ra tiến trình wininit.exe, chịu trách nhiệm gọi các thành phần khởi động quan trọng, trong đó có Service Control Manager (services.exe) và Local Security Authority Subsystem (lsass.exe).
✔️ Service Control Manager (SCM): Tiến trình services.exe là trung tâm quản lý dịch vụ. Nó đọc cấu hình từ registry tại:
- → HKLM\SYSTEM\CurrentControlSet\Services
→ SCM sẽ khởi động các dịch vụ theo từng nhóm chính như sau:
| 🔹 Nhóm | 🛠️ Service | 📂 Tiến trình/DLL | 📝 Vai trò chính |
|---|---|---|---|
| System|Logging | EventLog | svchost.exe -k LocalServiceNetworkRestricted | Nền tảng cho Event Viewer. |
| Schedule | svchost.exe -k netsvcs | Chạy tác vụ định kỳ/trigger | |
| EventSystem | svchost.exe -k LocalService | Hỗ trợ sự kiện COM+, các dịch vụ khác. | |
| Network | Dhcp | svchost.exe -k LocalServiceNetworkRestricted | Nhận IP động từ DHCP server cho LAN/Wi-Fi. |
| DNS Client | svchost.exe -k NetworkService | Phân giải tên miền ↔ IP, cache DNS. | |
| NSI | svchost.exe -k LocalServiceNetworkRestricted | Trạng thái mạng cho stack/network clients. | |
| Network Location Awareness | svchost.exe -k NetworkService | Xác định profile mạng (Domain/Private/Public), ảnh hưởng firewall/policy. | |
| IP Helper | svchost.exe -k NetSvcs | Hỗ trợ IPv6, tunnel, transition (Teredo/ISATAP…), API netsh. | |
| Workstation | svchost.exe -k NetworkService | Kết nối đến shares/máy khác trong mạng (client SMB). | |
| Server | svchost.exe -k netsvcs | Chia sẻ file/máy in (server SMB). | |
| Background Intelligent Transfer Service | svchost.exe -k netsvcs | Truyền tải nền tiết kiệm băng thông (WU, Defender, Store…). | |
| Windows Update | svchost.exe -k netsvcs | Tải/cài cập nhật Windows, driver, bản vá bảo mật. | |
| Security|Account | Remote Procedure Call - RPCSS | svchost.exe -k rpcss | Nền tảng RPC cho inter-process/distributed, rất nhiều dịch vụ phụ thuộc. |
| RPC Endpoint Mapper | svchost.exe -k RPCSS | Ánh xạ endpoint RPC, bắt buộc cho RPC hoạt động. | |
| Security Accounts Manager | lsass.exe | Quản lý CSDL tài khoản cục bộ, tham gia quá trình xác thực. | |
| Windows Time | svchost.exe -k LocalService | Đồng bộ thời gian (quan trọng cho Kerberos, chứng chỉ, TLS). | |
| Cryptographic Services | svchost.exe -k NetworkService | Catalog/chữ ký số, cập nhật chứng chỉ gốc, xác minh integrity. | |
| Firewall|Filter | Base Filtering Engine | svchost.exe -k LocalServiceNoNetwork | Nền tảng lọc gói/Policy cho Firewall & IPsec. |
| Windows Defender Firewall | svchost.exe -k LocalServiceNoNetworkFirewall | Tường lửa Windows dựa trên BFE. | |
| Hardware | Plug and Play | svchost.exe -k DcomLaunch | Phát hiện/cấu hình thiết bị (USB, PCIe…). |
| DCOM Server Process Launcher | svchost.exe -k DcomLaunch | Khởi chạy tiến trình COM/DCOM, nền tảng cho nhiều services. | |
| SystemNotice | System Event Notification Service | svchost.exe -k netsvcs | Theo dõi logon/network/power events, thông báo cho subscribers. |
| OnDemand | Windows Installer | msiexec.exe (khi cần) | Cài đặt/repair MSI. |
👉 Full danh sách các Service sau khi cài Windows 10 22H2 từ stock kèm các mô tả.
✔️ Xử lý dependencies:
Sau khi nạp danh sách dịch vụ theo registry, SCM còn phải đảm bảo thứ tự phụ thuộc để tránh lỗi “dịch vụ A cần B nhưng B chưa chạy”. Ví dụ:
- 🗸 TCP/IP stack (Tcpip) phụ thuộc RPCSS (Remote Procedure Call).
- 🗸 Workstation (LanmanWorkstation) phụ thuộc NSI (Network Store Interface Service).
✔️ Tiến trình liên quan:
- 🗸 services.exe → Service Control Manager.
- 🗸 lsass.exe → Local Security Authority Subsystem (quản lý login, policy bảo mật).
- 🗸 svchost.exe → “container” chạy nhiều dịch vụ (một tiến trình svchost có thể host 5–10 services).
- 🗸 Registry hives → nơi chứa cấu hình dịch vụ, tham số khởi động.
🗸 Kết nối với giai đoạn tiếp theo: Khi các dịch vụ nền ổn định, hệ thống đã có mạng, bảo mật, logging, thiết bị hoạt động, Windows chuyển sang user session, bắt đầu bởi Winlogon.exe để xử lý màn hình đăng nhập người dùng.
5️⃣ User Session: Đăng nhập người dùng, khởi động GUI và các ứng dụng khởi động
🗸 Sau khi Windows hoàn tất giai đoạn khởi động dịch vụ nền, hệ điều hành sẽ chuyển sang User Session, nơi người dùng bắt đầu tương tác trực tiếp với hệ thống thông qua giao diện đồ họa (GUI). Đây là bước then chốt đưa máy tính từ môi trường nền sang trạng thái tương tác đầy đủ.
📄 Vai trò chính:
- 🗸 Xử lý đăng nhập (authentication).
🗸 Tải hồ sơ người dùng (profile).
🗸 Khởi động giao diện đồ họa (desktop, taskbar, start menu).
🗸 Chạy các ứng dụng khởi động (startup items).
✔️ Khởi động Winlogon.exe
- 🗸 Được gọi bởi Wininit.exe, chịu trách nhiệm hiển thị màn hình đăng nhập.
🗸 Quản lý Secure Attention Sequence (Ctrl+Alt+Del).
🗸 Sử dụng Credential Providers (Windows Vista+) để người dùng nhập thông tin đăng nhập.
✔️ Xác thực người dùng (Authentication)
Xử lý bởi LSASS.exe (Local Security Authority Subsystem Service). Sau đó được xác thực bởi:
- 🗸 SAM Database (tài khoản cục bộ).
🗸 Active Directory / Domain Controller (nếu trong domain).
🗸 Kerberos, NTLM, PIN, Biometrics tùy cấu hình.
→ Sau khi xác thực thành công, Access Token được cấp cho user session.
✔️ Userinit.exe được khởi chạy sau đăng nhập thành công. Sau đó thực hiện:
- 🗸 Map network drives (nếu có).
🗸 Chạy logon scripts từ Group Policy hoặc thư mục scripts cục bộ.
🗸 Khởi động shell mặc định (Explorer.exe).
✔️ Tải hồ sơ người dùng (Profile Loading)
- 🗸 Lấy thông tin từ %SystemDrive%\Users<username>\NTUSER.DAT.
🗸 Nếu là lần đầu đăng nhập → copy từ Default User Profile.
🗸 Với tài khoản domain → có thể tải Roaming Profile từ server.
✔️ Ở đây sẽ tiến hành khởi động GUI (Desktop & Shell)
- 🗸 Explorer.exe: shell mặc định (desktop, taskbar, file explorer).
🗸 Dwm.exe (Desktop Window Manager): render giao diện Aero/Fluent. - 🗸 Các thành phần bổ sung trong Windows 10/11 gồm:
- → ShellExperienceHost.exe (hiệu ứng, hình nền, giao diện modern).
→ StartMenuExperienceHost.exe (Start Menu).
✔️ Chạy ứng dụng khởi động (Startup Items), được gọi từ các nguồn:
- 🗸 Registry:
→ HKCU\Software\Microsoft\Windows\CurrentVersion\Run (user).
→ HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run (toàn hệ thống).
🗸 Startup Folder (shell:startup).
🗸 Task Scheduler (tác vụ chạy khi logon).
🗸 Group Policy logon scripts: OneDrive, antivirus, cloud sync, driver tools…
✔️ Tệp tin & tiến trình liên quan
- 🗸 winlogon.exe → quản lý đăng nhập.
🗸 lsass.exe → xác thực.
🗸 userinit.exe → chuẩn bị môi trường người dùng.
🗸 explorer.exe → shell mặc định (desktop).
🗸 dwm.exe → quản lý desktop & hiệu ứng đồ họa.
🗸 shell32.dll → thư viện shell.
🗸 ShellExperienceHost.exe, StartMenuExperienceHost.exe → giao diện Windows 10/11.
✔️ Kết nối với giai đoạn tiếp theo: Khi User Session hoàn tất, hệ thống đã sẵn sàng cho Interactive Session. Người dùng có thể khởi chạy thêm tiến trình, ứng dụng, và tương tác đầy đủ với hệ điều hành.
6️⃣ User Processes: Các ứng dụng hoặc tiến trình do người dùng khởi tạo
Sau khi desktop và môi trường GUI sẵn sàng, người dùng bắt đầu khởi chạy các ứng dụng hoặc tiến trình của riêng mình. Đây là giai đoạn quan trọng vì nó phản ánh tương tác thực sự giữa người dùng và hệ thống - mọi app từ nhẹ (Notepad, Calculator) đến nặng (Chrome, Photoshop, IDE) đều nằm trong phạm vi này.
📄 Vai trò chính: Quản lý và thực thi các ứng dụng do người dùng mở.
🗸 Chạy trong user context (dựa trên quyền tài khoản đăng nhập), tách biệt với các tiến trình hệ thống.
🗸 Cho phép người dùng khai thác tài nguyên hệ điều hành: file, mạng, thiết bị, dịch vụ nền.
✔️ Tạo tiến trình (Process Creation)
- 🗸 Khi người dùng mở ứng dụng (ví dụ: chrome.exe), Windows loader gọi kernel để tạo tiến trình mới.
🗸 Kernel gán PID (Process ID), khởi tạo vùng nhớ riêng (virtual address space), và ánh xạ các DLL cần thiết.
🗸 File .exe được load kèm các dependencies như kernel32.dll, user32.dll, gdi32.dll.
✔️ Quản lý luồng (Thread Management)
- 🗸 Mỗi tiến trình có ít nhất một thread chính (Main Thread).
🗸 Windows Scheduler trong kernel phân bổ CPU cho các threads, xử lý đa nhiệm (multitasking).
🗸 Các ứng dụng hiện đại có thể tạo nhiều threads để xử lý song song (ví dụ: UI, network, rendering).
✔️ Tương tác với hệ thống & dịch vụ
- 🗸 User processes thường gọi Windows API hoặc COM interfaces để truy cập tài nguyên hệ thống. Ví dụ: Chrome gọi WinInet hoặc Winsock API để kết nối Internet; Word gọi API in ấn qua Print Spooler Service.
🗸 Một số tiến trình cũng liên lạc với Windows Services để tận dụng tính năng nền (antivirus, indexing, networking…).
✔️ Quản lý tài nguyên & sandboxing
- 🗸 Mỗi process được cấp Handle để truy cập file, registry, hoặc đối tượng hệ thống.
🗸 Quyền truy cập phụ thuộc vào User Token (user thường, admin, system).
🗸 Cơ chế UAC (User Account Control) giúp hạn chế process vượt quyền nếu chưa được cho phép.
✔️ Kết thúc tiến trình (Process Termination)
- 🗸 Khi người dùng đóng app hoặc tiến trình tự kết thúc, kernel giải phóng bộ nhớ, handle, và các tài nguyên liên quan.
🗸 Nếu tiến trình treo, người dùng có thể buộc dừng qua Task Manager (taskmgr.exe) hoặc taskkill.
✔️ Tệp tin & thành phần liên quan
- .exe files: Ứng dụng người dùng (chrome.exe, winword.exe, code.exe...).
.dll files: Thư viện động hỗ trợ (kernel32.dll, user32.dll, shell32.dll...).
Task Manager (taskmgr.exe): Công cụ trực quan để giám sát CPU, RAM, I/O và tiến trình.
Explorer.exe: Ngoài vai trò shell, cũng quản lý việc khởi chạy hầu hết ứng dụng người dùng.
✔️ Kết nối với giai đoạn tiếp theo
- 🗸 User processes có thể khởi tạo network sessions, ghi logs, hoặc sinh ra tiến trình con.
🗸 Đây là trạng thái ổn định của Windows: hệ thống tiếp tục vận hành song song giữa services (dịch vụ) và processes (ứng dụng người dùng).
7️⃣ Network Connections & Logs/Telemetry: Kết nối mạng và ghi log diễn ra liên tục, tùy thuộc vào hoạt động của hệ thống
🗸 Không giống như các giai đoạn boot hay đăng nhập, hoạt động network và logging/telemetry không diễn ra một lần mà tồn tại xuyên suốt vòng đời của hệ điều hành. Ngay từ khi các dịch vụ hệ thống khởi động, cho đến lúc người dùng chạy ứng dụng, Windows luôn duy trì kết nối mạng và ghi nhận sự kiện để phục vụ quản trị, bảo mật và chẩn đoán.
📄 Vai trò chính:
- 🗸 Thiết lập và duy trì kết nối mạng (LAN, Wi-Fi, VPN, Proxy).
🗸 Ghi dữ liệu log và telemetry nhằm giám sát, debug, và cải thiện hệ điều hành.
🗸 Hỗ trợ quản trị hệ thống (system admins, enterprise IT) và phản hồi dữ liệu cho Microsoft (nếu bật).
✔️ Khởi động dịch vụ mạng (Network Services Initialization)
- 🗸 Các service cốt lõi: Netlogon, DHCP Client, DNS Client.
🗸 Tác dụng: lấy địa chỉ IP, phân giải DNS, xác thực domain.
🗸 Hỗ trợ kết nối Wi-Fi/Ethernet ngay sau khi user đăng nhập.
✔️ Thiết lập kết nối (Connection Establishment)
- 🗸 Khi ứng dụng yêu cầu (ví dụ: trình duyệt mở website), kernel sử dụng NDIS drivers (ndis.sys) để gửi/nhận gói tin.
🗸 Giao thức chính: TCP/IP (tcpip.sys) xử lý tầng transport/network.
✔️ Firewall & Security Filtering
- 🗸 Windows Defender Firewall (firewallapi.dll) kiểm tra inbound/outbound traffic.
🗸 Có thể áp dụng chính sách Group Policy hoặc rule cá nhân (Allow/Deny apps).
✔️ VPN / Proxy / Remote Access
- 🗸 Nếu được cấu hình, dịch vụ như RasMan (Remote Access Connection Manager) đảm nhiệm VPN hoặc Dial-up.
🗸 Proxy settings áp dụng cho HTTP/HTTPS traffic theo user hoặc system.
✔️ Event Logs (Windows Event Logging Service)
- 🗸 Ghi sự kiện hệ thống, bảo mật, ứng dụng vào .evtx files tại: C:\Windows\System32\winevt\Logs
🗸 Dùng Event Viewer (eventvwr.exe) hoặc lệnh wevtutil.exe để kiểm tra.
🗸 Bao gồm: lỗi driver kernel, logon attempts, app crashes.
✔️ Telemetry & Diagnostic Data
- 🗸 Diagnostic Data Viewer ghi nhận usage data, app activity, system performance.
🗸 Nếu bật (Settings → Privacy), dữ liệu được gửi về Microsoft để cải thiện sản phẩm.
🗸 Dựa trên ETW (Event Tracing for Windows) framework.
✔️ Performance Monitoring: Sử dụng công cụ PerfMon hoặc Performance Logs ghi nhận CPU, RAM, Disk, Network usage. Hữu ích cho tuning hoặc điều tra bottlenecks.
✔️ Crash Dumps & Error Reporting: Khi hệ thống gặp lỗi nghiêm trọng (BSOD, app crash), kernel tạo minidump file (.dmp) trong: C:\Windows\Minidump
📌 Tệp tin & thành phần liên quan:
- 🗸 netio.sys - Network I/O subsystem.
🗸 tcpip.sys - TCP/IP protocol stack.
🗸 ndis.sys - Network Driver Interface Specification.
🗸 wevtutil.exe - Quản lý và export event logs.
🗸 diagtrack.dll - Diagnostic Tracking (telemetry).
✔️ Quá trình này diễn ra liên tục và song song:
- 🗸 Network kích hoạt ngay khi services lên và duy trì cho đến khi tắt máy.
🗸 Logging/Telemetry ghi sự kiện từ firmware, kernel, cho đến các tiến trình người dùng.
💡 Đây chính là cơ chế nền tảng của Windows mà khi tiến hành nghiên cứu bảo mật cần chú ý và đưa ra nhận định khách quan ở phần này, vì phần này vừa vận hành, vừa giám sát, vừa bảo mật. Là nền tảng cho việc audit, hardening và tối ưu hiệu năng Windows.
