Windows关机过程分析与快速关机

原文链接：http://blog.csdn.net/flyoxs/article/details/3710367

Windows开机和关机慢，很多时候慢得令人抓狂。特别是做嵌入式开发时（如XPE和WinCE），任谁都无法忍受开发出来的设备开关机的蜗牛速度。所以我们得为她加速。采用HORM是不错的方案，因为是直接从休眠文件中恢复系统现场，开机速度快了不少。采用HORM方案后，Windows默认的关机过程中，很多步骤对我们的设备来说，是完全不需要的，我们需要直接断电关机。本文将分析Windows的关机过程，然后介绍如何使用Windows未公开的API实现直接断电关机。

 

一 Windows关机过程

简单地说，在Windows关机时，系统做了以下工作：

1. 软保护  首先先结束登录用户打开的所有程序，保存用户的设置和系统设置，然后停止系统服务和操作系统大部分进程。

2. 硬保护 复位硬件，如复位磁盘的磁头、停止硬件驱动程序等。

3. 断电 断开主板给各硬件设备的电源。当然这步需要主板的电源管理模块支持，一般来说，ATX电源和主板都支持软断电。

在整个关机过程中，软保护是最耗时的，少则五六秒，多则上分钟。刚安装的操作系统，因为未安装驱动和开启额外的系统服务，关机非常快。开启服务一多，关机就慢下来了，特别是安装了有Bug的驱动，问题可能更糟。

 

二 软保护

为了保证数据的完整性，软保护是必须的，不管是操作系统本身还是第三方的应用程序。

软保护的步骤有：

1. 用户发起关机指令以后，发起关机指令的程序会通知Windows子系统CSRSS.EXE，CSRSS.EXE收到通知以后会和Winlogon.EXE做一个数据交换，接着由Winlogon.EXE通知CSRSS.EXE开始关闭系统的流程 。

2. CSRSS.EXE收到Winlogon.EXE的通知以后，会依次查询拥有顶层窗口的用户进程，让这些用户进程退出。如果某一个用户进程在一个默认的超时时间5000毫秒(可以通过修改注册表键值HKEY_CURRENT_USER/Cont rol Panel/Desktop/ HungAppTimeout设定超时时间)内没有退出的话，Windows会显示一个结束任务对话框用于询问用户是否结束这个任务。默认情况下将显示这个对话框并一直保持而不会自动关闭。对于控制台程序来说，基本情况类似，只不过Windows使用HK EY_CURRENT_USER/Control Panel/Desktop/ WaitToKillAppTimeout值来设置超时时间。

3. 接着是轮到终止系统进程了。系统进程包括SMSS.EXE、Winlogon.EXE、Lsass.EXE等。Windows在终止系统进程的时候并不像终止用户进程那样如果无法在规定时间内终止则提示用户，而是跳过这个进程，去执行下一个系统 进程的终止操作。使用的超时时间和第2步使用的时间相同。

 

三 硬保护和断电

在完成软保护过程后，Winlogon.EXE调用一个原生API函数ZwShutdownSystem()或NtShutdownSystem()来命令系统执行后面的扫尾工作，包括上面提到的硬保护和ATX断电。

在ZwShutdownSystem函数调用过程中，Windows执行子系统会完成最后的关机操作，例如：设备驱动在这个阶段里面完成一些驱动设定的特殊操作；也是在这个阶段，配置管理系统将被修改过的注册表数据会写道磁盘里面。等除了电源管理以后的全部子系统完成退出以后，电源管理完成最后的操作，如重启、关机等。

 

四  响应关机事件

不管是直接按机箱上的Power按钮，还是点击开始菜单->关闭计算机（注销、关机、重启），我们的应用程序都可以响应这类事件，那就是窗口消息WM_QUERYENDSESSION和WM_ENDSESSION。

系统提供了一个常用的API实现系统的注销、关机和重启，它的声明为：

BOOL ExitWindowsEx(
  UINT uFlags,
  DWORD dwReason
);

参数uFlags可分为两类，之间可以用“|”合并：

1. 关闭动作，有以下标志：EWX_LOGOFF（注销）、EWX_SHUTDOWN（关闭系统后不切断电源，即使主板支持ATX电源管理）、EWX_POWEROFF（关机，关闭系统后切断电源，需主板支持）、EWX_REBOOT（重启）。

2. 关闭强度，有以下标志：数值0（安全关闭，不使用该类标志时默认为该项）、EWX_FORCEIFHUNG（应用程序挂起一段时间后强行关闭）、EWX_FORCE（强行关闭，不管应用程序有没有挂起）。

如果不使用关闭强度标志（EWX_FORCE或EWX_FORCEIFHUNG），关机是安全的，也就是说，在关机的软保护时，系统将给每个以桌面为顶级的窗口进程发送WM_QUERYENDSESSION消息。如果超过5000毫秒（可以通过修改注册表键值HKEY_CURRENT_USER/Cont rol Panel/Desktop/ HungAppTimeout设定超时时间）仍未有WM_QUERYENDSESSION消息的返回，则弹出结束任务对话框用于询问用户是否结束这个任务。默认情况下将显示这个对话框并一直保持而不会自动关闭；如果设置了自动结束任务（HKEY_CURRENT_USER/Cont rol Panel/Desktop/AutoEndTasks键值改为1），那么超时（HungAppTimeout）后仍未有WM_QUERYENDSESSION消息的返回值时，不再显示结束任务对话框而直接结束这个挂起的任务。如果多个进程响应了WM_QUERYENDSESSION并挂起（如记事本弹出询问是否保存的消息框），那么系统对于每个进程是串行处理的，即等待第一个挂起的进程响应WM_QUERYENDSESSION并返回后（立即发送WM_ENDSESSION通知同一窗口用户的选择<是否确认关闭>），再给下一个进程发送WM_QUERYENDSESSION并等待挂起超时。

需要注意的是，不管是点击系统弹出的结束任务对话框上的确定按钮，还是系统超时自动结束所有任务（已设置AutoEndTasks），那么挂起后的WM_QUERYENDSESSION和WM_ENDSESSION响应代码不会被执行。

 

五  直接断电关机

如上分析，如果您不在乎应用程序的数据丢失和操作系统的系统文件破坏（可能进不了系统），您完全可以把关机的软保护过程省略，来加快关机的速度。网上已经有许多快速关机软件，就是直接调用ntdll.dll中的ZwShutdownSystem()实现的。当然Windows系统本身也提供了这样的功能让您有选择地快速关机：打开任务管理器，按住键盘的Ctrl键，同时点击菜单“关机”-“关闭（或重启）”，即可在一两秒内立即断电关机。

程序实现断电关机的代码如下：

const int SE_SHUTDOWN_PRIVILEGE = 0x13;
typedef int (__stdcall *PFN_RtlAdjustPrivilege)( INT, BOOL, BOOL, INT*);
typedef int (__stdcall *PFN_ZwShutdownSystem)(INT);
HMODULE hModule = ::LoadLibrary(_T("ntdll.dll"));
if( hModule != NULL)
{
    PFN_RtlAdjustPrivilege pfnRtl = (PFN_RtlAdjustPrivilege)GetProcAddress( hModule, "RtlAdjustPrivilege");
    PFN_ZwShutdownSystem pfnShutdown = (PFN_ZwShutdownSystem)GetProcAddress( hModule,"ZwShutdownSystem");
    if( pfnRtl != NULL &
        pfnShutdown != NULL )
    {
        int en = 0;
        int nRet= pfnRtl( SE_SHUTDOWN_PRIVILEGE, TRUE, TRUE, &en);
        if( nRet == 0x0C000007C )
            nRet = pfnRtl(SE_SHUTDOWN_PRIVILEGE, TRUE, FALSE, &en);
        //SH_SHUTDOWN = 0;
        //SH_RESTART = 1;
        //SH_POWEROFF = 2;
        const int SH_POWEROFF = 2;
        nRet = pfnShutdown(POWEROFF);
    }
}