信息安全基础第11讲（操作系统安全机制及启动过程）.pptVIP

操作系统启动过程 基于Win NT 操作系统的启动过程 ?其操作系统引导程序为 NTLDR。引导启动过程如下： （1）x86或x64平台下，计算机以实模式启动并加载NTLDR。NTLDR是一个二进制文件，有两部分组成，StartUp module 和 OS loader 。 操作系统启动过程 StartUp module 的主要任务就是将计算机切换到保护模式。 ?OS loader 主要包括识别访问IDE硬盘的分区文件系统(如FAT, NTFS等等)的基本功能，如果是SCSI硬盘，还需要加载Ntbootdd.sys文件，获取相应的SCSI驱动。? 操作系统启动过程 ?引导程序接着读取boot.ini配置文件，并显示用户选择操作系统菜单。 如果boot.ini丢失，系统会缺省选择C:\Windows目录。?这个时候，Windows 2000以及后续版本的ntldr，会去查找hiberfil.sys(休眠文件，与内存等同大小，是上次操作系统休眠时的内存镜象)，将此文件读取并加载内存。 ? 操作系统启动过程 boot.ini文件内容示例：[boot loader]?timeout=30?default=multi(0)disk(0)rdisk(0)partition(1)\WINDOWS?[operating systems]?multi(0)disk(0)rdisk(0)partition(1)\WINDOWS=Microsoft Windows XP Professional /noexecute=optin /fastdetect ? Boot.ini引导成功界面 操作系统启动过程 ?multi(a)disk(b)rdisk(c)partition(d)这部分内容是关键，是采用ARC命名规则。 ARC第一部分用于标识硬件适配卡(磁盘控制器)，即为multi或者scsi选项，这里使用的是multi。multi表示一个非scsi硬盘或一个由scsi bios访问的scsi硬盘，而scsi则表示一个scsi bios禁止的scsi硬盘。?(a)表示磁盘控制器的序号，从0开始。? 操作系统启动过程 ??rdisk(c)，仅对scsi项有意义，表示磁盘控制器的硬盘序号，从0开始。?partition(d)，表示对应硬盘分区号，从1开始。 ?注意，当只有一个操作系统选择项时，启动菜单不会显示。 用户选择操作系统，如果不是基于NT的操作系统，NTLDR会读取bootsect.dos，并交付计算机的控制权。如果选择的是基于NT的操作系统，接下来NTLDR会执行，收集硬件信息。 操作系统启动过程 ??此时，NTLDR清屏并显示Windows启动进度条，这时如果按下F8，会显示高级启动菜单，包括安全模式选项。??收集完所有相关硬件信息后，接着启动NToskrnl.exe(NT 操作系统内核文件), 并读取加载硬件抽象层文件(hal.dll)。如果有文件丢失，系统会提示 Windows could not start because the following file was missing or corrupt，并终止启动。这时系统控制权交由内核，显示Windows Logo。 ? 操作系统启动过程 ???加载内核时，启动的硬件设备信息保存在 HKLM\SYSTEM，可以看到一系列键值组成Control Set，如ControlSet001,ControlSet003,ControlSet004, CurrentControlSet等。 Windows使用CurrentControlSet读取存取当前信息。Windows在启动过程中使用HKLM\SYSTEM\Select确定对应的键值。? 操作系统启动过程 ????Default NTLDR的默认选择，Failed 值如果等于 Default值，NTLDR会显示错误信息，并提示菜单是否以最后一次正确配置信息启动(LastKnownGood)，如果用户选择LastKnownGood，Default值也被修改为LastKnownGood的值。 ? ?内核启动过程：?ntoskrnl.exe 内核?hal.dll 硬件抽象层?kdcom.dll 内核调试扩展dll?bootvid.dll? windows logo 以及进度条显示?配置信息注册表位置? HKLM\SYSTEM\CurrentControlSet\Control\Session Manager\BootExecute ?以相应顺序 HKLM\SYSTEM\CurrentControlSet\Control\ServiceGroupOrder 启动服务，这时会显示进度条，Win