一、计算机系统引导过程:
1、主板BIOS系统进行硬件自检
BIOS:基本输入输出系统,存储在主板BIOS Flash(或者ROM)芯片,为计算机提供最底层的最直接的硬件设置。
BIOS的自检和初始化:检测系统中的关键设备(内存、显卡等)是否存在和能否正常工作,进行初始化并将控制权交给后续引导程序。
2、硬盘主引导程序(MBR)
硬盘主引导扇区:位于硬盘第一个扇区(0面0道1扇区)
主引导程序是主引导扇区中的一部分,主分区表也位于主引导扇区中。
功能:通过主分区表定位活动分区、装载活动分区引导程序并移交控制权。
3、活动分区引导程序(DBR)
所在位置:分区的第一个扇区
功能:加载操作系统引导程序,如widows xp系统的NTLDR
4、操作系统引导(如NTLDR)
(1)将处理器从16位内存模式拓展为32/64位
(2)启动小型文件系统驱动,以识别FAT32和NTFS文件系统
(3)读取boot.ini,进行多操作系统选择(或者hierfil.sys恢复休眠)
(4)检测和配置硬件
(5)NTLDR加载内核程序NTOSKRNL.EXE和HEL.dll(硬件抽象层)等
(6)读取并加载HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet下指定的驱动程序
(7)NTLDR将控制权交给NTOSKRNL.exe,引导过程结束
5、操作系统装载
(1)创建系统环境变量
(2)启动win32.sys(Windows子系统的内核部分)
(3)启动csrss.exe (Windows子系统的用户模式部分)
(4)起点winlogon.exe等
登陆阶段:启动需要自动启动的windows服务、本地安全认证Lsass.exe、显示登陆界面等
6、驱动程序及服务
7、系统自启动程序
注册表特定键值、特定目录、用户触发和执行的各类应用程序。
二、系统引导与恶意软件的关联
1、恶意软件如何获得控制权
(1)在计算机系统引导阶段获得控制权
Bootkit:BIOS木马、MBR木马等;早期dos引导区病毒等
CIH病毒(破坏硬件)
(2)在操作系统启动阶段获得控制权
多见于独立的恶意软件程序
(3)在应用程序执行阶段
最常见文件感染型病毒启动方法
扫一扫
564
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
