第11讲操作系统安全机制及启动过程.ppt

* * 操作系统启动过程 boot.ini文件内容示例：[boot loader]?timeout=30?default=multi(0)disk(0)rdisk(0)partition(1)\WINDOWS?[operating systems]?multi(0)disk(0)rdisk(0)partition(1)\WINDOWS=Microsoft Windows XP Professional /noexecute=optin /fastdetect ? Boot.ini引导成功界面 操作系统启动过程 ?multi(a)disk(b)rdisk(c)partition(d)这部分内容是关键，是采用ARC命名规则。 ARC第一部分用于标识硬件适配卡(磁盘控制器)，即为multi或者scsi选项，这里使用的是multi。multi表示一个非scsi硬盘或一个由scsi bios访问的scsi硬盘，而scsi则表示一个scsi bios禁止的scsi硬盘。?(a)表示磁盘控制器的序号，从0开始。? 操作系统启动过程 ??rdisk(c)，仅对scsi项有意义，表示磁盘控制器的硬盘序号，从0开始。?partition(d)，表示对应硬盘分区号，从1开始。 ?注意，当只有一个操作系统选择项时，启动菜单不会显示。 用户选择操作系统，如果不是基于NT的操作系统，NTLDR会读取bootsect.dos，并交付计算机的控制权。如果选择的是基于NT的操作系统，接下来NTLDR会执行，收集硬件信息。 操作系统启动过程 ??此时，NTLDR清屏并显示Windows启动进度条，这时如果按下F8，会显示高级启动菜单，包括安全模式选项。??收集完所有相关硬件信息后，接着启动NToskrnl.exe(NT 操作系统内核文件), 并读取加载硬件抽象层文件(hal.dll)。如果有文件丢失，系统会提示 Windows could not start because the following file was missing or corrupt，并终止启动。这时系统控制权交由内核，显示Windows Logo。 ? 操作系统启动过程 ???加载内核时，启动的硬件设备信息保存在 HKLM\SYSTEM，可以看到一系列键值组成Control Set，如ControlSet001,ControlSet003,ControlSet004, CurrentControlSet等。 Windows使用CurrentControlSet读取存取当前信息。Windows在启动过程中使用HKLM\SYSTEM\Select确定对应的键值。? 操作系统启动过程 ????Default NTLDR的默认选择，Failed 值如果等于 Default值，NTLDR会显示错误信息，并提示菜单是否以最后一次正确配置信息启动(LastKnownGood)，如果用户选择LastKnownGood，Default值也被修改为LastKnownGood的值。 ? ?内核启动过程：?ntoskrnl.exe 内核?hal.dll 硬件抽象层?kdcom.dll 内核调试扩展dll?bootvid.dll? windows logo 以及进度条显示?配置信息注册表位置? HKLM\SYSTEM\CurrentControlSet\Control\Session Manager\BootExecute ?以相应顺序 HKLM\SYSTEM\CurrentControlSet\Control\ServiceGroupOrder 启动服务，这时会显示进度条，Windows 2000以前版本进度条能反映服务加载，Server 2003和XP的服务加载是异步的。 ? ? 操作系统启动过程 ?所有的设备驱动加载好了以后，NToskrnl.exe启动Session Manager Subsystem (smss.exe)。?在所有文件打开之前，smss.exe启动Autochk。Autochk 挂载(mount)所有的驱动，检查是否正常，上一次关闭是否彻底，否则会启动chkdsk进行扫描修复，即我们常见的Check Disk。 Session Manager Subsystem配置信息位置：HKLM\SYSTEM\CurrentControlSet\Control\Session Manager。?? 操作系统启动过程 ??启动时，smss.exe处理过程：?创建环境变量 HKLM\SYSTEM\CurrentControlSet\Control\Session Manager\Environment?启动内核态Win32子系统(win32k.s