[Valeant]

Можно было немного время потратить побольше, тогда фразы:

Цитата:

Визуально этап MainPathBoot начинается с экрана «Загрузка Windows» и завершается при появлении рабочего стола.

Выглядели бы по другому, более точно, если бы анализ был проведен более детально, а не поверхностно. Запуски всех процессов по времени видны в данном ПО, нужно только сопоставить графики, и по пр.кн.мыши развернуть более подробную информацию. Так же можно было поменять картинки входа в систему и потом так же отследить их появление, так как это файлы которые можно было отследить с ключем запуска (... +FILENAME+FILE_IO+FILE_IO_INIT+...)
Так же переход с экрана «Загрузка Windows» до экрана приветствия так же отслеживается, и все действия происходящие, особенно на стационарах инициализация и проверка клавиатуры. Так же можно было бы обратить внимания и на секции автозапуска RUN из реестра (поместив туда просто програмку) и найдя ее запуск. Про C:\Windows\system32\userinit.exe, autochek, wininit и т.д. я молчу.
Да это работа кропотливая и очень долгая.
Так же поможет и пакет системных утилит от Mark Russinovich

Вот дополнительные ключи которые дают более детальную картину происходящего, компонуя их вместе :

Код:

Base -traceFlags
DISK_IO+HARD_FAULTS+LOADER+MEMINFO+PROC_THREAD+PROFILE
Diag -traceFlags
COMPACT_CSWITCH+CSWITCH+DISK_IO+DPC+HARD_FAULTS+INTERRUPT+LOADER+PERF_COUNTER+PROC_THREAD
DiagEasy -traceFlags
CSWITCH+DISK_IO+DPC+HARD_FAULTS+INTERRUPT+LOADER+PERF_COUNTER+PROC_THREAD
Lantency -traceFlags
CSWITCH+DISK_IO+DPC+HARD_FAULTS+INTERRUPT+LOADER+PROC_THREAD+PROFILE
FileIO -traceFlags 
DISK_IO+FILE_IO+FILE_IO_INIT+HARD_FAULTS+LOADER+PROC_THREAD
IOTrace -traceFlags
CSWITCH+DISK_IO+HARD_FAULTS+LOADER+PROC_THREAD
SysProf -traceFlags
LOADER+PROC_THREAD+PROFILE
NetWork -traceFlags
LOADER+NETWORKTRACE+PROC_THREAD

Например:
xperf -on PROC_THREAD + LANTENCY + LOADER + CSWITCH + DISK_IO + DPC + INTERRUPT + NETWORKTRACE + FILENAME + FILE_IO + FILE_IO_INIT + DRIVERS -f kernel.etl

и т.д.