В настоящее время меня интересует, где в Windows (XP, Vista, 7) хранится такая информация, как "Windows работает" и так далее. Я имею в виду, почему-то Windows знает, когда вы просто выключаете компьютер, на котором он работал раньше. Загрузчик почему-то также знает, что в hiberfil.sys есть образ памяти, а не просто пустой garbarage.
Я бы догадался о его реестре, но где именно?
Это необходимо прочитать: Процесс запуска Windows NT (Википедия)
Также это: Подробная информация о процессе запуска Windows
При принудительном отключении (например, удерживайте кнопку питания в течение 5 секунд), Windows не получает возможности сохранить информацию о своем состоянии. Когда Windows пытается снова загрузиться, она может увидеть это в реестре и запросить загрузку в безопасном режиме.
Вероятно, в файле hiberfil.sys есть какой-то заголовок или флаг, указывающий, является ли это действительный образ памяти.
