Windows系统启动过程

这篇博文是开通博客N久后的第一篇，权当学习笔记吧。

1.BIOS固件启动

如果固件是BIOS，先加电自检(Power-on Self-test, POST),确定板载内存大小，对内存进行循环检测，枚举附加在主板上的存储设备并确定它们的状态。接着搜索可引导设备的列表以查找引导扇区，一般来说这个可以进BIOS改的，比如U盘装系统、光盘装系统、网络启动等都是修改的这里的启动顺序。这里有一个利用点，原来在卡饭出来个工具，可以利用网络唤醒从而进入系统直接读取硬盘，通常用于安全取证技术，后来被楼主给删了，没有下载到，有点可惜。当然BIOS本身也是可以被改的，BMW木马就是改了主板固件，从而导致无论怎么重装系统、格盘都杀不掉，不断地死灰复燃。如果搜索到的是硬盘驱动器，那么引导扇区就是主引导记录(Master
Boot Record, MBR)，MBR位于磁盘0柱面0磁道1扇区,大小512 字节，包含 446字节的引导代码，64 字节的硬盘分区表，2 个字节的结束符号，固定为 55AA。MBR引导代码在分区表中查找活动分区(即可引导分区，也被叫做系统卷)，然后把该分区的引导扇区加载到内存，见图1。

以上内容主要摘自于《Rootkit系统灰色地带的潜伏者 2nd Edition》和《深入解析Windows操作系统 6th Edition》。