[精选]第11讲(操作系统安全机制及启动过程).pptx

《[精选]第11讲(操作系统安全机制及启动过程).pptx》由会员分享，可在线阅读，更多相关《[精选]第11讲(操作系统安全机制及启动过程).pptx（49页珍藏版）》请在淘文阁 - 分享文档赚钱的网站上搜索。

1、第第1010讲讲 操作系统操作系统UNIXUNIX操作系统是操作系统是操作系统。操作系统。n n从资源管理的角度来看，操作系统的主要目的从资源管理的角度来看，操作系统的主要目的之一就是之一就是，更好地为用户效劳。，更好地为用户效劳。课前检查A.单用户单用户 B.多用户多用户按功能特征分按功能特征分，操作系统可分为：，操作系统可分为：批处理操作系统、实时操作系统、分时操作系统批处理操作系统、实时操作系统、分时操作系统帮助用户管理系统资源帮助用户管理系统资源B目前目前SUNSolarisSUNSolaris、IBMAIXIBMAIX和和HPUXHPUX等操作系统，是等操作系统，是的变种，不同变种间

2、的功能、接口、的变种，不同变种间的功能、接口、内部结构与过程基本相同而又各有不同。此外，如内部结构与过程基本相同而又各有不同。此外，如MachMach和和LinuxLinux等操作系统是等操作系统是UNIXUNIX的的。A.UNIXB.WINDOWSC.LINUXAA.克隆系统克隆系统B.变种变种C.复制复制A目前的三大主流操作系统分别是：目前的三大主流操作系统分别是：UNIX.LINUX.WINDOWS计算机软件通常可分为系统软件和应用软件：计算机软件通常可分为系统软件和应用软件：与具体的应用领域无关，它主要用于计算机的与具体的应用领域无关，它主要用于计算机的管理、维护、控制和运行，并对运行

3、的程序进行翻管理、维护、控制和运行，并对运行的程序进行翻译、装载等效劳工作。又可分为三局部，即译、装载等效劳工作。又可分为三局部，即、语言处理程序和、语言处理程序和；是用户是用户为解决某一特定问题而编制的程序。为解决某一特定问题而编制的程序。A.系统软件系统软件B.应用软件应用软件C.操作系统操作系统D.支撑软件支撑软件ACDB1.1.1.1.操作系统安全机制操作系统安全机制操作系统安全机制操作系统安全机制 1 1操作系统安全的重要性操作系统安全的重要性 2 2操作系统安全机制操作系统安全机制2.2.2.2.操作系统启动过程操作系统启动过程操作系统启动过程操作系统启动过程 1 1启动过程文件分

4、析启动过程文件分析 2 2启动过程分析启动过程分析 3 3启动过程现象分析启动过程现象分析第第11讲讲操作系统安全机制操作系统安全机制学习目标技能目标技能目标技能目标技能目标1.正确设置正确设置 windows 和和 linux 操作系统操作系统安全机制安全机制2.根据根据操作系统操作系统启动过程表现判断操作系统问题启动过程表现判断操作系统问题知识目标知识目标知识目标知识目标1.了解操作系统安全的重要性了解操作系统安全的重要性2.熟悉操作系统常用的安全机制熟悉操作系统常用的安全机制 3.知道操作系统的启动过程知道操作系统的启动过程操作系统安全操操作作系系统统是是连连接接硬硬件件与与其其他他应应

5、用用软软件件之之间间的的桥桥梁梁。数数据据库库通通常常是是建建立立在在操操作作系系统统之之上上的的，如如果果没没有有操操作作系系统统安安全全机机制制的的支支持持，就就不不可可能能保保障障数数据据存存取取控控制制的的安安全全性性和和可可信信性性。在在网网络络环环境境中中，网网络络的的安安全全可可信信依依赖赖于于各各个个主主机机系系统统的的安安全全可可信信性性，没没有有操操作作系系统统的的安安全全性性，就就不不会会有有主主机机和和网网络络系统的安全性。系统的安全性。为为什什么么说说没没有有操操作作系系统统的的安安全全，就就不不可可能能有有信信息息系统的安全。系统的安全。操作系统安全安全机制操操操操

6、作作作作系系系系统统统统安安安安全全全全的的的的主主主主要要要要目目目目标标标标是是是是监监监监督督督督保保保保障障障障系系系系统统统统运运运运行行行行的的的的安安安安全全全全性性性性，保保保保障障障障系系系系统统统统自自自自身身身身的的的的安安安安全全全全性性性性，标标标标识识识识系系系系统统统统中中中中的的的的用用用用户户户户，进进进进行行行行身身身身份份份份认认认认证，依据系统安全策略对用户的操作行为进行监控。证，依据系统安全策略对用户的操作行为进行监控。证，依据系统安全策略对用户的操作行为进行监控。证，依据系统安全策略对用户的操作行为进行监控。常用的安全机制包括：常用的安全机制包括：常

7、用的安全机制包括：常用的安全机制包括：硬件安全机制硬件安全机制硬件安全机制硬件安全机制标识与认证机制标识与认证机制标识与认证机制标识与认证机制存取控制机制存取控制机制存取控制机制存取控制机制最小特权管理机制最小特权管理机制最小特权管理机制最小特权管理机制安全审计机制安全审计机制安全审计机制安全审计机制Windows 2000/XP的安全机制1nWindows 2000/XPWindows 2000/XP的前身是的前身是Windows NTWindows NT操作系统操作系统nWindows NTWindows NT操作系统：操作系统：是是MicrosoftMicrosoft公司于公司于1992

8、1992年开发的一个完全年开发的一个完全3232的操作系的操作系统，支持进程、多线程、均衡处理、分布式计算，是一个支统，支持进程、多线程、均衡处理、分布式计算，是一个支持并发的单用户系统。持并发的单用户系统。可以运行在不同的硬件平台上，例如可以运行在不同的硬件平台上，例如Intel 386Intel 386系列，系列，MIPSMIPS和和Alpha AXPAlpha AXP。Windows 2000/XP的安全机制2nWindows NTWindows NT操作系统的结构是层次结构和客户机操作系统的结构是层次结构和客户机/效劳器结构的效劳器结构的混合体，只有与硬件直接相关的局部是由汇编实现的，

9、混合体，只有与硬件直接相关的局部是由汇编实现的，Windows Windows NTNT操作系统主要是用操作系统主要是用C C语言编写完成的。语言编写完成的。nWindows NTWindows NT操作系统是用对象模型管理它的资源，因此，在操作系统是用对象模型管理它的资源，因此，在Windows NTWindows NT操作系统中使用对象而不是资源。操作系统中使用对象而不是资源。nWindows NTWindows NT操作系统的设计目标是操作系统的设计目标是TCSECTCSEC标准的标准的C2C2级，在级，在TCSECTCSEC中，中，一个一个C2C2系统必须在用户级实现自主访问控制、必须

10、提供对客体的系统必须在用户级实现自主访问控制、必须提供对客体的访问审计机制，此外，还必须实现客体重用。访问审计机制，此外，还必须实现客体重用。TCSECTCSEC标准分为几级几类？分别是哪些？每一级有什标准分为几级几类？分别是哪些？每一级有什么特征，并举例说明。么特征，并举例说明。LINUX操作系统安全操作系统安全机制机制问题问题1 1：LinuxLinux的用户名与口令的身份标识和认证的用户名与口令的身份标识和认证机制在安全性上存在的缺乏，主要表现为口令的机制在安全性上存在的缺乏，主要表现为口令的易猜测和容易泄露易猜测和容易泄露保护措施保护措施1 1：密码设置时的脆弱性警告、口令有：密码设置

11、时的脆弱性警告、口令有效期、一次性口令、先进的口令加密算法、使用效期、一次性口令、先进的口令加密算法、使用影子文件影子文件shadow fileshadow file、账户加锁等安全机、账户加锁等安全机制。制。LINUX操作系统安全操作系统安全机制机制n问题问题2 2：LinuxLinux系统中，通过自主访问控制来确系统中，通过自主访问控制来确保主体访问客体的安全性，但这种自主访问控保主体访问客体的安全性，但这种自主访问控制过于简单制过于简单保护措施保护措施2 2：LinuxLinux提供了限制性提供了限制性ShellShell、特殊属、特殊属性、文件系统的加载限制，以及加密文件系统来性、文件

12、系统的加载限制，以及加密文件系统来提高系统的安全性能。提高系统的安全性能。LINUX操作系统安全操作系统安全机制机制n问题问题3 3：LinuxLinux还通过对根用户进行适当的限制，还通过对根用户进行适当的限制，在一定程度上限制了超级用户给系统带来的安在一定程度上限制了超级用户给系统带来的安全隐患全隐患保护措施保护措施3 3：安全：安全ShellShell、入侵检测、防火墙等安、入侵检测、防火墙等安全机制全机制1 1及时备份系统及时备份系统2 2设置系统格式为设置系统格式为 NTFSNTFS3 3加密文件或文件夹加密文件或文件夹4 4取消共享目录的取消共享目录的 EveryOneEveryO

13、ne组组5 5创立紧急修复盘创立紧急修复盘6 6改进登录效劳器改进登录效劳器7 7使用好安全机制使用好安全机制8 8对系统进行跟踪记录对系统进行跟踪记录9 9使用好登录脚本使用好登录脚本1010经常检查系统信息经常检查系统信息1111对病毒的袭击要警惕对病毒的袭击要警惕1212设置好系统的安全参数设置好系统的安全参数Windows系统安全防范对策操作系统启动过程基于基于WinNTWinNT操作系统的启动过程操作系统的启动过程引导启动过程引导启动过程StartUpmoduleStartUpmoduleOSloaderOSloader内核启动过程内核启动过程用户登录阶段用户登录阶段操作系统启动过程

14、基于基于WinNTWinNT操作系统的启动过程操作系统的启动过程 其其操操作作系系统统引引导导程程序序为为 NTLDRNTLDR。引引导导启启动动过过程程如下：如下：1 1x86x86或或x64x64平平台台下下，计计算算机机以以实实模模式式启启动动并并加加载载NTLDRNTLDR。NTLDRNTLDR是是一一个个二二进进制制文文件件，有有两两局局部部组组 成成，StartUpStartUp modulemodule 和和 OSOS loaderloader。操作系统启动过程StartUpStartUpmodulemodule的的主主要要任任务务就就是是将将计计算算机机切切换换到到保护模式。保

15、护模式。OSOSloaderloader主主要要包包括括识识别别访访问问IDEIDE硬硬盘盘的的分分区区文文件件系系统统如如FAT,FAT,NTFSNTFS等等等等的的基基本本功功能能，如如果果是是SCSISCSI硬硬盘盘，还还需需要要加加载载Ntbootdd.sysNtbootdd.sys文文件件，获获取取相相应应的的SCSISCSI驱驱动动。操作系统启动过程 引引导导程程序序接接着着读读取取boot.iniboot.ini配配置置文文件件，并并显显示示用用户户选择操作系统菜单。选择操作系统菜单。如如果果boot.iniboot.ini丧丧失失，系系统统会会缺缺省省选选择择C:Windows

16、C:Windows目目录录。这这个个时时候候，WindowsWindows20002000以以及及后后续续版版本本的的ntldrntldr，会会去去查查找找hiberfil.syshiberfil.sys休休眠眠文文件件，与与内内存存等等同同大大小小，是是上上次次操操作作系系统统休休眠眠时时的的内内存存镜镜象象，将将此此文件读取并加载内存。文件读取并加载内存。操作系统启动过程boot.iniboot.ini文件内容例如：文件内容例如：bootloaderbootloadertimeout=30timeout=30default=multidefault=multi0 0diskdisk0 0r

17、diskrdisk0 0partitionpartition1 1WINDOWSoperatingsystemsWINDOWSoperatingsystemsmultimulti0 0diskdisk0 0rdiskrdisk0 0partitionpartition1 1WINDOWS=MicrosoftWindowsXPProfessionalWINDOWS=MicrosoftWindowsXPProfessional/noexecute=optin/fastdetect/noexecute=optin/fastdetect Boot.iniBoot.ini引导成功界面引导成功界面操作系统

18、启动过程multimultia adiskdiskb brdiskrdiskc cpartitionpartitiond d这这局部内容是关键，是采用局部内容是关键，是采用ARCARC命名规则。命名规则。ARCARC第一局部用于标识硬件适配卡第一局部用于标识硬件适配卡磁盘控制器磁盘控制器，即为，即为multimulti或者或者scsiscsi选项，这里使用的是选项，这里使用的是multimulti。multimulti表示一个非表示一个非scsiscsi硬盘或一个由硬盘或一个由scsibiosscsibios访问访问的的scsiscsi硬盘，而硬盘，而scsiscsi则表示一个则表示一个scs

19、ibiosscsibios禁止的禁止的scsiscsi硬盘。硬盘。a a表示磁盘控制器的序号，从表示磁盘控制器的序号，从0 0开始。开始。操作系统启动过程 rdiskrdiskc c，仅对，仅对scsiscsi项有意义，表示磁盘控制项有意义，表示磁盘控制器的硬盘序号，从器的硬盘序号，从0 0开始。开始。partitionpartitiond d，表示对应硬盘分区号，从，表示对应硬盘分区号，从1 1开始。开始。注注意意，当当只只有有一一个个操操作作系系统统选选择择项项时时，启启动动菜菜单单不会显示。不会显示。用用户户选选择择操操作作系系统统，如如果果不不是是基基于于NTNT的的操操作作系系统统，

20、NTLDRNTLDR会会读读取取bootsect.dosbootsect.dos，并并交交付付计计算算 机机 的的 控控 制制 权权。如如 果果 选选 择择 的的 是是 基基 于于 NTNT的的操操作作系系统统，接接下下来来NTLDRNTLDR会会执执行行ntdetect.ntdetect.，收收集集硬硬件件信息。信息。操作系统启动过程 此时，此时，NTLDRNTLDR清屏并显示清屏并显示WindowsWindows启动进度条，启动进度条，这时如果按下这时如果按下F8F8，会显示高级启动菜单，包括安，会显示高级启动菜单，包括安全模式选项。全模式选项。收集完所有相关硬件信息后，接着启动收集完所有

21、相关硬件信息后，接着启动NToskrnl.exeNToskrnl.exeNTNT操作系统内核文件操作系统内核文件,并读取并读取加载硬件抽象层文件加载硬件抽象层文件hal.dllhal.dll。如果有文件丧失，。如果有文件丧失，系统会提示系统会提示 WindowscouldnotstartbecauseWindowscouldnotstartbecausethefollowingfilewasmissingorcorruptthefollowingfilewasmissingorcorrupt，并终，并终止启动。这时系统控制权交由内核，显示止启动。这时系统控制权交由内核，显示WindowsLog

22、oWindowsLogo。操作系统启动过程 加载内核时，启动的硬件设备信息保存在加载内核时，启动的硬件设备信息保存在 HKLMSYSTEMHKLMSYSTEM，可以看到一系列键值组成，可以看到一系列键值组成ControlSetControlSet，如如ControlSet001,ControlSet003,ControlSet004,ControlSet001,ControlSet003,ControlSet004,CurrentControlSetCurrentControlSet等。等。WindowsWindows使用使用CurrentControlSetCurrentControlSet

23、读取存取当前信读取存取当前信息。息。WindowsWindows在启动过程中使用在启动过程中使用HKLMSYSTEMSelectHKLMSYSTEMSelect确定对应的键值。确定对应的键值。操作系统启动过程 DefaultNTLDRDefaultNTLDR的默认选择，的默认选择，FailedFailed值如果等于值如果等于 DefaultDefault值，值，NTLDRNTLDR会显示错误信息，并提示会显示错误信息，并提示菜单是否以最后一次正确配置信息启动菜单是否以最后一次正确配置信息启动LastKnownGoodLastKnownGood，如果用户选择，如果用户选择LastKnownGoo

24、dLastKnownGood，DefaultDefault值也被修改为值也被修改为LastKnownGoodLastKnownGood的值。的值。内核启动过程：内核启动过程：ntoskrnl.exentoskrnl.exe内核内核 hal.dllhal.dll硬件抽象层硬件抽象层 kd.dllkd.dll内核调试扩展内核调试扩展dlldllbootvid.dllwindowslogobootvid.dllwindowslogo以及进度条显示以及进度条显示 配置信息注册表位置配置信息注册表位置 HKLMSYSTEMCurrentControlSetControlSessionHKLMSYSTEM

25、CurrentControlSetControlSessionManagerBootExecuteManagerBootExecute 以相应顺序以相应顺序 HKLMSYSTEMCurrentControlSetControlServiceGroupOrdHKLMSYSTEMCurrentControlSetControlServiceGroupOrderer启动效劳，这时会显示进度条，启动效劳，这时会显示进度条，Windows2000Windows2000以前版本以前版本进度条能反映效劳加载，进度条能反映效劳加载，Server2003Server2003和和XPXP的效劳加载是异步的效劳加载

26、是异步的。的。操作系统启动过程 所有的设备驱动加载好了以后，所有的设备驱动加载好了以后，NToskrnl.exeNToskrnl.exe启动启动SessionManagerSubsystemSessionManagerSubsystemsmss.exesmss.exe。在所有文件翻开之前，在所有文件翻开之前，smss.exesmss.exe启动启动AutochkAutochk。AutochkAutochk挂载挂载mountmount所有的驱动，检查是否正所有的驱动，检查是否正常，常，上一次关闭是否彻底，否则会启动上一次关闭是否彻底，否则会启动chkdskchkdsk进行扫描进行扫描修复，即我们

27、常见的修复，即我们常见的CheckDiskCheckDisk。SessionManagerSubsystemSessionManagerSubsystem配置信息位置：配置信息位置：HKLMSYSTEMCurrentControlSetControlSessionHKLMSYSTEMCurrentControlSetControlSessionManagerManager。操作系统启动过程 启动时，启动时，smss.exesmss.exe处理过程：处理过程：创立环境变量创立环境变量 HKLMSYSTEMCurrentControlSetControlSessionHKLMSYSTEMCurre

28、ntControlSetControlSessionManagerEnvironmentManagerEnvironment 启动内核态启动内核态Win32Win32子系统子系统win32k.syswin32k.sys，允许，允许windowswindows切切换到图形化换到图形化 启动用户态启动用户态Win32Win32子系统子系统Client/ServerRuntimeServerClient/ServerRuntimeServerSubsystemSubsystemcsrss.execsrss.exe 创立虚拟内存页创立虚拟内存页 HKLMSYSTEMCurrentControlSetC

29、ontrolSessionHKLMSYSTEMCurrentControlSetControlSessionManagerMemoryManagementManagerMemoryManagement 操作系统启动过程 启动启动winlogon.exewinlogon.exe，加裁加裁 GraphicalIdentificationAndGraphicalIdentificationAndAuthenticationAuthenticationGINAGINA，提供用户登录支持，提供用户登录支持 WinlogonWinlogon启动过程：启动过程：WinlogonWinlogon调用调用 GI

30、NAGINA，出现登录提示框，用户输入用户名，出现登录提示框，用户输入用户名密码密码 WinlogonWinlogon启动启动 LocalSecurityAuthoritySubsystemServiceLocalSecurityAuthoritySubsystemServicelsass.exelsass.exe 验证登录验证登录 WinlogonWinlogon启动启动 ServiceControlManagerServiceControlManagerSCMSCM，SCMSCM依依此启动设置为自动启动的效劳此启动设置为自动启动的效劳 WinlogonWinlogon之后的阶段就是用户登录

31、阶段了。之后的阶段就是用户登录阶段了。操作系统启动过程 用户登录阶段：用户登录阶段：更新更新ControlSetsControlSets的的LastKnownGoodLastKnownGood用户计算机的组策略被应用用户计算机的组策略被应用 启动如下位置的应用启动如下位置的应用 HKLMSOFTWAREMicrosoftWindowsCurrentVersionRunOnceHKLMSOFTWAREMicrosoftWindowsCurrentVersionRunOnceHKLMSOFTWAREMicrosoftWindowsCurrentVersionpoliciesExplorerHKLM

32、SOFTWAREMicrosoftWindowsCurrentVersionpoliciesExplorerRunRunHKLMSOFTWAREMicrosoftWindowsCurrentVersionRunHKLMSOFTWAREMicrosoftWindowsCurrentVersionRunHKCUSoftwareMicrosoftWindowsNTCurrentVersionWindowsRunHKCUSoftwareMicrosoftWindowsNTCurrentVersionWindowsRunHKCUSoftwareMicrosoftWindowsCurrentVersion

33、RunHKCUSoftwareMicrosoftWindowsCurrentVersionRunHKCUSoftwareMicrosoftWindowsCurrentVersionRunOnceHKCUSoftwareMicrosoftWindowsCurrentVersionRunOnceAllUsersProfilePathStartMenuProgramsStartupAllUsersProfilePathStartMenuProgramsStartupCurrentUserProfilePathStartMenuProgramsStartupCurrentUserProfilePath

34、StartMenuProgramsStartup 用户登录成功用户登录成功操作系统启动过程 WindowsNTformatWindowsNTformat命令会将命令会将 VolumeBootRecordVolumeBootRecord写入磁盘，主要是写入磁盘，主要是为了运行为了运行 NTLDRNTLDR程序。程序。在在 WindowsVistaWindowsVista和和 WindowsServer2008WindowsServer2008，NTLDRNTLDR不再使用，其被不再使用，其被 winload.exewinload.exe和和 WindowsBootManagerWindowsBo

35、otManager所替代。所替代。问题分析1 1、现现 象象：系系 统统 启启 动动 中中 提提 示示 错错 误误 信信 息息“NTLDRismissingNTLDRismissing原因：原因：读取不到读取不到NTLDR文件文件问题分析2 2、现象：、现象：原因原因1：DefaultNTLDR的的默默认认选选择择，Failed值值如如果果等等于于Default值值，NTLDR会会显显示示错错误误信信息息，并并提提示示菜单是否以最后一次正确配置信息启动菜单是否以最后一次正确配置信息启动3 3、“最后一次正确的配置能起什么作用？最后一次正确的配置能起什么作用？英英文文全全称称为为：LastLas

36、tKnownKnownGoodGoodConfigurationConfiguration，不不能能解解决决由由于于驱驱动动程程序序或或文文件件被被损损坏坏或或丧丧失失，注注册册表表文件文件损坏或注册表内容错误而导致的问题。损坏或注册表内容错误而导致的问题。只只是是复复原原注注册册表表项项HKEY_LOCAL_MACHINEHKEY_LOCAL_MACHINE/SYSTEM/CurrentControlSe/SYSTEM/CurrentControlSet t中中的的信信息息。其其他他任任何何在在注注册册表表项项中中所所作作的的更更改改均均保持不变。保持不变。4 4、如何启动、如何启动“最后一

37、次正确的配置最后一次正确的配置？1.1.启动您的计算机。启动您的计算机。2.2.当当看看到到“请请选选择择要要启启动动的的操操作作系系统统 时时更更准准确确的描述应该为：的描述应该为：WINDOWSWINDOWS系统启动前，按系统启动前，按 F8F8。3.3.显显示示 WindowsWindows高高级级选选项项菜菜单单时时，使使用用箭箭头头键键选选中中“最最近近一一次次正正确确的的配配置置您您的的起起作作用用的的最最近近设设置置，然后按，然后按 EnterEnter键。键。案例11 1如如果果您您安安装装了了新新的的视视频频适适配配器器驱驱动动程程序序后后无无法法启启动动 WindowsWi

38、ndowsXPXP，或或者者安安装装了了错错误误的的驱驱动动程程序序，且尚未重新启动您的计算机，您则可以使用此功能且尚未重新启动您的计算机，您则可以使用此功能2 2当当电电脑脑中中了了一一些些较较顽顽固固的的病病毒毒时时，电电脑脑注注册册表表的的一一些些键键值值会会被被病病毒毒破破坏坏，导导致致安安全全模模式式蓝蓝屏屏无无法法进进入入。此此时时进进入入“最最后后一一次次正正确确配配置置可可以以修修复复被被破坏的安全模式，进而可以进入安全模式查杀病毒破坏的安全模式，进而可以进入安全模式查杀病毒案例2 网网吧吧通通常常需需要要安安装装复复原原类类软软件件，如如冰冰点点复复原原等等。使使用用“最最后

39、后一一次次正正确确的的配配置置功功能能可可去去除除复复原原功功能能。网吧管理员该怎么办？网吧管理员该怎么办？禁用该功能禁用该功能如何禁用该功能？如何禁用该功能？如何禁用“最后一次正确的配置功能最后一次正确的配置功能方法一方法一第一步：把第一步：把HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsNTCurrentVersionWinlogonReportBootOK的值设为的值设为0禁禁止写入止写入LastKnownGood配置文件。配置文件。第二步：查看第二步：查看HKEY_LOCAL_MACHINESYSTEMSelect里面的里面的Current和和De

40、fault健值是多少，一般情况下两个键值一样。把健值是多少，一般情况下两个键值一样。把LastKnownGood设定成一样的值。如果设定成一样的值。如果Current和和Default的值的值不一样的话，优先选不一样的话，优先选Default的值，当的值，当NTLDR读取读取LastKnownGood的值时是读取现在使用的配置值，不再使用旧的的值时是读取现在使用的配置值，不再使用旧的配置文件启动了，使得最后一次配置就失去作用了。配置文件启动了，使得最后一次配置就失去作用了。第三步：重新启动第三步：重新启动Windows以使更改生效。以使更改生效。如何禁用“最后一次正确的配置功能最后一次正确的配

41、置功能方法二方法二复制以下内容，另外存为复制以下内容，另外存为.reg文件并运行，重启电脑即生效。文件并运行，重启电脑即生效。echooff:禁止最后一次正确配置禁止最后一次正确配置regaddHKEY_LOCAL_MACHINESYSTEMSelect/vLastKnownGood/tREG_DWORD/d00000001/fregaddHKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsNTCurrentVersionWinlogon/vReportBootOk/tREG_SZ/d0/fexit 读读取取NTLDRNTLDR文文件件的的信信息息后后，wind

42、owswindows开开始始把把 加载到内存中。加载到内存中。windowswindows把把内内核核文文件件加加载载到到内内存存后后，先先确确定定 然然后后读读取取 文文件件，根根据据 设设置置进进行行硬硬件件检检测测，最最后后读读取取 以以显显示示启启动动菜菜单单，即提示有哪些操作系统。即提示有哪些操作系统。执行执行ntdetect.ntdetect.的作用是的作用是 初初始始系系统统驱驱动动程程序序加加载载完完成成后后，会会设设置置CPUCPU的的存存放放器器 的的 值值 等等，然然 后后 ntldrntldr把把 系系 统统 控控 制制 权权 交交 给给 进进 程程 NTOSKerne

43、lNTOSKernel课堂检测内核文件内核文件页面大小页面大小ntdetect.BIOSboot.ini收集硬件信息收集硬件信息ntoskrnl.exe看到如下界面，是哪个进程在起作用？看到如下界面，是哪个进程在起作用？NTOSKRNL是主要负责启动是主要负责启动OS效劳效劳看到如下界面，是哪个进程在起作用？看到如下界面，是哪个进程在起作用？smss进程执行进程执行检查磁盘检查磁盘disccheck的任务的任务根根据据图图示示标标识识说说明明系系统统启启动动过过程程中中从从哪哪儿儿读读取取NTLDRNTLDR文文件件信信息？息？MBRMBR MasterBootRecordMasterBoot

44、Record操操作作系系统统主主引引导导扇扇区区，其大小为多少？其大小为多少？分区表入口的第一个字节值为分区表入口的第一个字节值为0 x800 x80系系统统启启动动分分区区第第一一个个磁磁盘盘簇簇的的值值存存储储在在启启动动代代码码的的8th-12th8th-12th字字节节。上上图图中中这这个个值值为为3f0000003f000000，读读取取其其值为值为0000003f0000003f，即第，即第63rd63rd扇区扇区启启动动入入口口第第63rd63rd扇扇区区又又称称为为启启动动扇扇区区，从从这这里里开开始始可可以以读读取取到到文文件件读读取取根根磁磁盘盘c:c:的的文文件件ntldrntldrNTloaderNTloader。512=446+64+2计算为什么是第计算为什么是第63扇区？扇区？课后作业课题：说明课题：说明LinuxLinux操作系统的启动过程操作系统的启动过程要求：要求：1 1以以小小组组为为单单位位制制作作pptppt或或动动画画或或视视频频或或其其他他形形式的作品，于下周一上交式的作品，于下周一上交2 2图文并茂、表述清晰图文并茂、表述清晰