这篇博文是开通博客N久后的第一篇,权当学习笔记吧。
1.BIOS固件启动
如果固件是BIOS,先加电自检(Power-on Self-test, POST),确定板载内存大小,对内存进行循环检测,枚举附加在主板上的存储设备并确定它们的状态。接着搜索可引导设备的列表以查找引导扇区,一般来说这个可以进BIOS改的,比如U盘装系统、光盘装系统、网络启动等都是修改的这里的启动顺序。这里有一个利用点,原来在卡饭出来个工具,可以利用网络唤醒从而进入系统直接读取硬盘,通常用于安全取证技术,后来被楼主给删了,没有下载到,有点可惜。当然BIOS本身也是可以被改的,BMW木马就是改了主板固件,从而导致无论怎么重装系统、格盘都杀不掉,不断地死灰复燃。如果搜索到的是硬盘驱动器,那么引导扇区就是主引导记录(Master Boot Record, MBR),MBR位于磁盘0柱面0磁道1扇区,大小512 字节,包含 446字节的引导代码,64 字节的硬盘分区表,2 个字节的结束符号,固定为 55AA。MBR引导代码在分区表中查找活动分区(即可引导分区,也被叫做系统卷),然后把该分区的引导扇区加载到内存,见图1。
以上内容主要摘自于《Rootkit系统灰色地带的潜伏者 2nd Edition》和《深入解析Windows操作系统 6th Edition》。