What is Cyber Forensics ? Part 29 Hard Disk Forensic . (Part 3) Boot Loader , Boot Sector , Master Boot Record (MBR) & Window System Boot Process
===============================
Boot Loader (Boot manager) ဆုိတာ Program တစ္ခုျဖစ္ၿပီး boot လုပ္တဲ့ အခ်ိန္မွာ Operation system ကုိ Computer Ram ေပၚကုိ ဆြဲတင္ပါတယ္။ Boot loader မွာ အဆင့္အမ်ဳိးမ်ဳိးရွိၿပီး တစ္ခုနဲ႕ တစ္ခု ခ်ိတ္ဆက္အသုံးၿပဳပါတယ္။ ေနာက္ဆုံအဆင့္ကေတာ့ Operation System တက္လာတဲ့ အဆင့္ျဖစ္ပါတယ္။
Boot Loader (Boot manager) ဆုိတာ Program တစ္ခုျဖစ္ၿပီး boot လုပ္တဲ့ အခ်ိန္မွာ Operation system ကုိ Computer Ram ေပၚကုိ ဆြဲတင္ပါတယ္။ Boot loader မွာ အဆင့္အမ်ဳိးမ်ဳိးရွိၿပီး တစ္ခုနဲ႕ တစ္ခု ခ်ိတ္ဆက္အသုံးၿပဳပါတယ္။ ေနာက္ဆုံအဆင့္ကေတာ့ Operation System တက္လာတဲ့ အဆင့္ျဖစ္ပါတယ္။
Boot Sector ဆုိတာကေတာ့ Hard Disk ရဲ့ Memory Sector တစ္ခုျဖစ္ၿပီး Hard Disk ရဲ႕ ပထမဆုံး Track ပထမဆုံး Sector မွာတည္ရွိပါတယ္။
သူ႕မွာ bootstrapping system အတြက္ code ေတြပါရွိပါတယ္။ ဥပမာ အားျဖင့္ ေၿပရမယ္ဆုိရင္e power-on self-test (POST) လုပ္တဲ့ အပုိင္းေတြ ပါ၀င္ပါတယ္။ Boot sector မွာ Two Bytes ရွိပါတယ္။ (POST
hardware ေတြ ေကာင္းမေကာင္း စစ္ေဆးေသာ အပုိင္း)
===============================
Boot Sector မွာ အပုိင္း ၂ ပုိင္းပါ၀င္ပါတယ္။
သူ႕မွာ bootstrapping system အတြက္ code ေတြပါရွိပါတယ္။ ဥပမာ အားျဖင့္ ေၿပရမယ္ဆုိရင္e power-on self-test (POST) လုပ္တဲ့ အပုိင္းေတြ ပါ၀င္ပါတယ္။ Boot sector မွာ Two Bytes ရွိပါတယ္။ (POST
hardware ေတြ ေကာင္းမေကာင္း စစ္ေဆးေသာ အပုိင္း)
===============================
Boot Sector မွာ အပုိင္း ၂ ပုိင္းပါ၀င္ပါတယ္။
Volume Boot Record (VBR)
VBR က HD ရဲ႕ ပထမဆုံး Sector မွာ ဒါမွမဟုတ္ partition တစ္ခုစီရဲ႔ ပထမဆုံး Sector မွာရွိပါတယ္။.Operation System ေတြကုိ loading လုပ္ဖုိ႕အတြက္ code ေတြပါရွိပါတယ္။
===============================
===============================
Master Boot Record (MBR) (512 Bytes)
Storage Device ရဲ႕ ပထမဆုံး Sector မွာရွိၿပီး OS တည္ရွိတဲ့ Partition အပုိင္းကုိ သိႏုိင္ေစဖုိ႕ Code ေတြပါရွိပါတယ္။ VBR ရွိတဲ့ partition ပုိင္းေတြကုိလဲ သိေစဖုိ႕ code ေတြပါရွိပါတယ္။ (multi boot)
MBR ကုိ Master partition table နဲ႕ • Master boot code ဆုိၿပီး ၂ ပုိင္း တည္ေဆာက္ထားပါတယ္။
MBR ကုိ Master partition table နဲ႕ • Master boot code ဆုိၿပီး ၂ ပုိင္း တည္ေဆာက္ထားပါတယ္။
Master partition table
Storage မွာ ခြဲထားတဲ့ Partition ေတြကုိ သိေစဖုိ႕အတြက္ small bit ပမာဏရွိတဲ့ code ေတြပါရွိပါတယ္။
Master Boot Code
Boot Process စတင္ႏိုင္ရန္ အတြက္ BIOS ကုိ ဆြဲေခၚေပးပါတယ္။ small bit ပမာဏရွိတဲ့ code ေတြပါရွိပါတယ္။
===============================
HEX Editor ေတြနဲ့ MBR , Boot Sector ေတြကုိ ၾကည့္ႏုိင္ပါတယ္။
===============================
HEX Editor ေတြနဲ့ MBR , Boot Sector ေတြကုိ ၾကည့္ႏုိင္ပါတယ္။
===============================
Window System Boot Process
===============================
1. Power Supply ကေန Voltage ရတာ့နဲ့ CPU ကစတင္အလုပ္လုပ္ပါတယ္။
===============================
1. Power Supply ကေန Voltage ရတာ့နဲ့ CPU ကစတင္အလုပ္လုပ္ပါတယ္။
2. CPU ကေန ပထမဆုံး BIOS (ROM) ထဲမွာရွိတဲ့ System start up Program ေတြကုိ ၾကည့္ပါတယ္။
3. ပထမဆုံ System start up Program အေနနဲ႕ the power-on self-test (POST) ကုိလုပ္ေဆာင္ပါတယ္။
4. POST က ပထမဆုံးူးthe BIOS chip ကုိ စစ္ေဆးၿပီး CMOS( system date, time, and setup parameters) အပုိင္းကုိ ထပ္မံစစ္ေဆးပါတယ္။
5. Battery သုိ႕ Power Fail မျဖစ္ဖူးဆုိရင္ , POST ကေန the Computer Hardware Device ေတြကုိ စစ္ေဆးပါတယ္။ DVD,keysboard , Mouse ,extended Harddisk , etc .....
6. POST စစ္တာ အားလုံးေကာင္း မေကာင္ း CPU က အတည္ၿပဳပါတယ္။
7. The BIOS က CMOS chip ထဲမွာ OS က ဘယ္ေနရာမွာ Install ထားတယ္ ဆုိတာ ၾကည့္ပါတယ္။
8. ၿပီးတာနဲံ The BIOS ကေန boot record ကုိၾကည့္ၿပီး Operation System စတင္ဖုိ႕ OS install လုပ္ထားတဲ့ device နဲ့ OS တက္ဖုိ႕ အတြက္ ဆက္စပ္ေနတဲ့ Program ေတြကုိ စစ္ေဆးပါတယ္။
9. OS စတက္ဖုိ႕လုပ္လာတဲ့န႕ဲ The BIOS က OS ဆက္တက္ဖုိ႕ လုိအပ္တဲ့ Program ေတြကုိ Memory ေပၚကုိ ဆြဲတင္ပါတယ္။
10. Memory ေပၚကေန တစ္ဆင့္ OS ဆက္လက္တက္ဖုိ႕ လုိအပ္တဲ့
program ေတြကုိ Control ဆက္လုပ္ပါတယ္။
program ေတြကုိ Control ဆက္လုပ္ပါတယ္။
11. Operation System ကေန Ram memory အေျခအေနကုိ ၾကည့္ၿပီး Operation System ေကာင္းမြန္စြာ Run ႏုိင္ဖုိ႕ လုိအပ္တဲ့ Device Driver ေတြကုိ Run ပါတယ္။
===============================
OS ေတြမွာ ရိွတဲ့ File system ေတြ အေၾကာင္းကေတာ့ မ်ားၿပားတဲ့ အတြက္ ခ်န္လွ်ပ္ထားခဲ့ပါတယ္။
Thanks
Comments