Tweet
⚙️ Quá Trình Khởi Động Windows (Windows Boot Process)
Quá trình khởi động Windows diễn ra qua 3 giai đoạn chính:
🔹 1. BIOS Initialization
🔹 2. OS Loader Phase
📌 UEFI khác với BIOS Legacy:
🔹 3. OS Initialization Phase
🔑 Registry và dịch vụ khởi động cùng Windows
Các Registry Hive ảnh hưởng đến dịch vụ và ứng dụng tự động chạy:
👉 Đây cũng là nơi cần kiểm tra nếu nghi ngờ có ứng dụng không mong muốn/malware tự động chạy khi boot hoặc login.
📌 Ví dụ:
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\Curr entVersion\Run]
Chứa danh sách các dịch vụ/ứng dụng tự khởi động (VD: VMware Tools).
Trên Windows 64-bit còn có:
[HKEY_LOCAL_MACHINE\Software\WOW6432Node\Microsoft\ Windows\CurrentVersion\Run]
Dành cho ứng dụng 32-bit.
📝 Câu hỏi ôn tập
1. Trong Windows, chức năng quan trọng của Winload.exe là gì?
✅ Đảm bảo driver mà nó nạp vào phải có chữ ký số để duy trì an ninh hệ thống.
2. Registry hive nào toàn hệ thống có thể bị attacker sửa để khởi động malware cùng Windows?
✅ HKEY_LOCAL_MACHINE
Quá trình khởi động Windows diễn ra qua 3 giai đoạn chính:
- BIOS Initialization
- OS Loader
- OS Initialization
🔹 1. BIOS Initialization
- Firmware nhận diện và khởi tạo phần cứng.
- Thực hiện Power-On Self-Test (POST).
- Khi phát hiện đĩa hệ thống hợp lệ, BIOS đọc Master Boot Record (MBR) và khởi chạy Bootmgr.exe.
- Bootmgr.exe tìm và khởi chạy Winload.exe trong phân vùng boot → bắt đầu giai đoạn Loader.
🔹 2. OS Loader Phase
- Winload.exe nạp driver hệ thống tối thiểu để có thể đọc dữ liệu từ đĩa.
- Khởi tạo hệ thống để kernel có thể chạy.
- Winload.exe:
- Lấy thông tin thiết bị từ BIOS → ghi vào Registry.
- Nạp file hệ thống & driver thiết bị cần thiết.
- Thực thi cơ chế Kernel Mode Code Signing (KMCS) để đảm bảo driver và thành phần hệ thống phải có chữ ký số hợp lệ.
- Cuối cùng gọi Ntoskrnl.exe để khởi tạo kernel và Hardware Abstraction Layer (HAL).
📌 UEFI khác với BIOS Legacy:
- Không chạy ở “real mode” mà đi thẳng vào protected mode → tăng bảo mật.
🔹 3. OS Initialization Phase
- Kernel được khởi tạo.
- SMSS (Session Manager Subsystem) khởi tạo môi trường người dùng, đọc giá trị từ Registry.
- Winlogon chạy, chờ người dùng đăng nhập.
- Sau khi login, Winlogon đọc Registry để chuẩn bị môi trường Desktop cho người dùng.
- Các dịch vụ hệ thống và dịch vụ ứng dụng được nạp theo cấu hình trong Registry.
🔑 Registry và dịch vụ khởi động cùng Windows
Các Registry Hive ảnh hưởng đến dịch vụ và ứng dụng tự động chạy:
- HKEY_LOCAL_MACHINE
- Lưu thông tin toàn hệ thống.
- Dịch vụ trong hive này khởi chạy mỗi lần boot.
- HKEY_CURRENT_USER
- Lưu thông tin của người dùng hiện đăng nhập.
- Dịch vụ khởi chạy khi người dùng login.
- Run
- RunOnce
- RunServices
- RunServicesOnce
- Userinit
👉 Đây cũng là nơi cần kiểm tra nếu nghi ngờ có ứng dụng không mong muốn/malware tự động chạy khi boot hoặc login.
📌 Ví dụ:
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\Curr entVersion\Run]
Chứa danh sách các dịch vụ/ứng dụng tự khởi động (VD: VMware Tools).
Trên Windows 64-bit còn có:
[HKEY_LOCAL_MACHINE\Software\WOW6432Node\Microsoft\ Windows\CurrentVersion\Run]
Dành cho ứng dụng 32-bit.
📝 Câu hỏi ôn tập
1. Trong Windows, chức năng quan trọng của Winload.exe là gì?
✅ Đảm bảo driver mà nó nạp vào phải có chữ ký số để duy trì an ninh hệ thống.
2. Registry hive nào toàn hệ thống có thể bị attacker sửa để khởi động malware cùng Windows?
✅ HKEY_LOCAL_MACHINE
Attached Files