Hiểu về quá trình khởi động của Linux rất quan trọng trong công việc pháp chứng. Quá trình khởi động được mô tả ngắn gọn qua 4 bước như sau:
• Nạp bộ khởi động, tải kernel ở thư mục /boot
• RAM nạp tập tin init.d chứa trình điều khiển thiết bị và module hệ thống tập tin.
• Kernel nạp hệ thống phần cứng. Sau đó, kernel nạp hệ điều hành và bắt đầu tiến trình /sbin/init.
• Khi init khởi động, có 2 cách khởi động để hoàn tất quá trình khởi động: System V và BSD.
System V
• Cách khởi động phổ biến nhất của Linux.
• Kẻ xâm nhập có thể tạo một script để duy trì liên tục truy cập vào một hệ thống bị xâm nhập. Ta nên xem sét cẩn thận tất cả các kịch bản tham gia vào quá trình khởi động được trong các cuộc điều tra xâm nhập.
• VD: Level 3 sẽ cung cấp một môi trường giao diện điều khiển, trong khi level 5 sẽ xuất ra một môi trường đồ họa
• Run level (1,2,3,5): mô tả các nhiệm vụ/ công cụ mà máy tính sẽ thực hiện.
• Đọc file /etc/inittab để xác định run level
System V
• Mỗi mục runlevel thực sự là một liên kết mềm với một kịch bản trong file /etc/init.d, sẽ được bắt đầu hoặc dừng lại tùy thuộc vào tên của liên kết.
• Liên kết tên bắt đầu bằng “S” cho thấy thứ tự khởi động và các liên kết bắt đầu với “K” – kill (kết thúc).
2.2 BSD - Berkeley Software Distribution
• Quá trình BSD có một chút phức tạp hơn. Init BSD đọc kịch bản tại /etc/rc xác định các dịch vụ hệ thống có thể chạy.
• BSD đang được sử dụng bởi Slackware và Arch Linux.
• Trong một số trường hợp đây là mức độ cấu hình init, nhưng vấn đề khác cũng có thể bổ sung ở /etc/rc.d.
• Thông tin cấu hình được đọc /etc/rc.conf và các dịch vụ bổ sung để chạy từ /etc/rc.local.