注:对计算机系统的启动过程的了解有助于我们对相关的领域的了解的促进,例如对恶意代码程序的主导权获取等等。
那么计算机系统的启动过程是如何进行的呢?
这大概分七步:
第一步:首先是主板BIOS系统进行硬件自检
第二步:硬盘主引导程序(MBR)
第三步:活动分区引导程序(DBR)
第四步:操作系统引导(如NTLDR)
第五步:操作系统内核启动
第六步:启动驱动程序及服务
第七步:系统自启动程序
接下来我们对这七步进行解说:
第一步:首先是BIOS,所谓的BIOS,其全称就是Basic Input and Output System,就是“基本输入输出系统”它存储在系统的主板BIOS Flash芯片上,但在比较早期的主板则是在ROM(Read Only Memory:只读存储器)里。BIOS为计算机提供了最底层的,最直接的硬件设置和控制,但目前的BIOS是可以根据软件进行更新的,这同时也为恶意软件提供了很好机会,如BIOS木马,被这种恶意代码感染的情况下,即使用户更换了硬盘,也无法清楚电脑中的恶意程序。
BIOS要做的事情很多,其中很重要的一个便是其自检与初始化,其主要任务就是检测系统中的一些关键设备(如内存和显卡等)是否存在和能否正常工作,进行初始化工作,并将控制权交给后续引导程序。
大概内容就是:
1).显卡及其他相关设备初始化。
2).显示系统BIOS启动画面,其中包括有系统BIOS的类型,序列号和版本号等内容
3).检测CPU的类型和工作频率,内存容量,并将检测结果显示在屏幕上
4).检测系统中安装的一些标准硬件设备及即插即用设备,这些设备包括:硬盘,CD-ROM,软驱,串行接口和并行接口等等
5).根据用户指定的启动顺序从软盘,硬盘或光驱启动
自检之后会将控制权交给硬盘的主引导扇区。
第二步:硬盘的主引导扇区,其位置在硬盘的第一个扇区MBR(Master Boot Record),而硬盘主引导程序是硬盘主引导扇区的一部分,硬盘的主引导扇区还有另一个重要部分就是主分区表,硬盘主引导程序的主要功能就是:
1).通过主分区表中定位活动分区,
2).装载活动分区的引导程序(称为分区引导程序),并移交控制权给分区引导程序
第三步:活动分区引导程序,也称分区引导记录,其位置在分区的第一个扇区,其功能是加载操作系统引导程序(例如Windows XP系统的NTLDR)
第四步,第五步,第六步:操作系统引导:以Windows NTLDR为例
1).将处理器从16为内存模式拓展为32位(64)内存模式
2).启动小型文件系统驱动,以识别FAT32和NTFS文件系统
3).读取boot.ini,进行多操作系统选择(或hiberfil.sys恢复休眠)
4).检测和配置硬件(对NT和XP系统来说,则运NTDETWCT.COM,其将硬件信息提交给NTLDR,写入“HKEY_LOCAL_MACHINE”中的Hardware中),之后NTLDR会加载内核程序NTOSKRNL.EXE以及硬件抽象层HAT.dll等。然后在读取并加载HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet下指定的驱动程序。而NTLDR将把控制权传递给NTOSKRNL.EXE,至此引导过程将结束。
第七步:再往后面就是这个Windows本身的系统装载的过程
1).创建系统环境变量
2).启动win32.sys(Windows子系统的内核模式部分)
3).启动csrss.exe(Windows子系统的用户模式部分)
4).启动winlogon.exe等
然后就是Windows系统装载-登陆阶段
1).启动需要自动启动的Windows服务
2).启动本地安全认证Lsass.exe
3).显示登陆界面
用户登陆之后,系统还会启动当前用户环境下的自启动项程序
1).注册表特定键值
2).特定目录(如startup)等。
