Windows基础篇学习(上)
系統目錄
1、Windows 系統目錄
2、Program files/Program files (x86) ?程序安裝目錄 ?(64/32hit)
3、用戶 存放用戶的配置文件
4、PerfLogs ?是weindows7的日志信息,如磁盤掃描錯誤信息,刪掉可以,但不建議刪,刪掉反而會降低系統速度、Perlogs是系統自動生成的。
5、開機自啟動軟件存放文件夾:
C:\Users\Administrator\(用戶名)\AppData\Roaming\Microsoft\windows\Start Menu\Programs\Startup
開始菜單→所有程序→啟動
7、C:\Windows\System32是存放系統配置文件
8、C:\Windows\System32\config下的SAM文件存放了windows帳號和密碼的文件。注:可以用PE(系統安裝U盤)來將SAM文件拷貝出來,再清理該文件;做完Hacking后還原。
9、C:\Windows\System32\drivers\etc下的hosts文件,是用來解析域名的
10、日志信息的利用
?
?
服務
服務是一種應用程序類型,它在后臺運行、服務應用程序。通常可以在本地和通過網絡為用戶提供一些功能。例如:客戶端/服務端應用程序、web服務器、數據庫服務器以及其他基于服務器的應用程序。
打開服務
右擊我的電腦打開“計算機管理”
Ctrl+r打開運行
輸入services.msc回車打開。
服務的作用
同網段提取共享文件:運行:\\ ip
端口
計算機“端口”是英文port的義譯,可以認為是計算機與外界通訊交流的出口。按端口號可分為3大類:公認端口(Well Known Ports)、注冊端口(Registered {orts)、動態和私有端口(Dynamic and/or Private Ports)
注:端口一共有65536個,其中前1024個已經固定了服務,但是可以被改動。
端口的作用
我們知道,一臺擁有IP地址的主機可以提供許多服務,比如Web服務、ftp服務、SMTP服務等。這些服務完全可以通過一個IP地址來實現。那么主機是怎樣區分不同的網絡服務呢?顯然不能只靠IP地址,因為IP地址與網絡服務的關系是一對多的關系。實際上是通過“IP地址+端口號”來區分不同的服務的
注:端口并不是一一對應的。比如可以從你的3457端口連接服務器的端口。
端口的分類
按端口號分布劃分
知名端口即眾所周知的端口號。范圍從0到10213這些端口號一般固定分配給一些服務。比如21噸啊看分配給ftp服務、25端口分配給SMTP服務(簡單郵件傳輸協議),80端口分配給HTTP服務,135端口分配給RPC(遠程過程調用)服務等等
動態端口的范圍是從1024到65535,這些端口一般不固定分配給某個服務,也就是說許多服務都可以使用這些端口,只要運行的程序向系統提出訪問網絡的申請,那么系統就可以從這些端口號中分配給第一個供該程序使用。比如,1024端口就是分配給第一個向系統發出申請的程序。在關閉系統進程后,就會釋放所占用的端口號。
不過,動態端口也常常被病毒木馬程序所利用。如,冰河默認連接端口是7626,WAY2.4是8011、Netspy3.0是7306、YAI病毒是1024等等。
按協議類型劃分:TCP、UDP、IP、ICMP等
TCP端口,即傳輸控制協議端口,需要在客戶端和服務器之間建立連接,這樣可以提供可靠的數據傳輸、FTP的21端口、Telnet服務的23端口、SMTP服務的25端口,以及HTTP服務的80端口等
UDP端口,即用戶數據包協議端口,無須在客戶端和服務器之間建立連接,安全性得不到保障,常見的有DNS的53端口,SMYP(簡單網絡管理協議)服務的161端口,QQ使用的8000端口和4000端口等等
常見的端口
我們通過端口干什么?
信息收集、目標探測、服務判斷、系統判斷、系統角色分析
注冊表
注冊表(Registry,繁體中文版的Windows稱之為登錄檔)是Microsoft Windows中的一個重要數據庫,用于儲存系統和應用程序的設置信息,早在Windows3.0推出OLE技術的時候,注冊表就已經出現、隨后推出的WindowsNT是第一個從系統級別廣泛使用注冊表的操作系統,但是從Microsoft Windows95開始,注冊表才真正成為Windows用戶經常接觸的內容,并在其后的操作系統中繼續沿用至今。
打開注冊表
運行:regedit
注冊表的作用
注冊表是Windows操作系統的一個核心數據庫,其中存放著各種參數,直接控制著Windows的啟動、硬件、驅動程序的裝載以及一些WIndows應用程序的運行,從而在整個系統中起著核心作用。這些作用包括了軟件、硬件的相關配置和狀態信息。比如注冊表中保存有應用程序和資源管理器外殼的初始條件,首選項和卸載數據等,聯網計算機的整個系統的設置和各種許可、文件擴展名與應用程序的關聯,硬件部件的描述、狀態和屬性性能記錄和其他底層的系統狀態信息,以及其他數據等。
▲注冊表結構
管理文件系統,根據在Windows中安裝的應用程序的擴展名,該根鍵指明其文件類型的名稱,相應打開該文件索要調用的程序等等信息
管理系統當前的用戶信息,在這個根鍵中保存了本地計算機中存放的當前登錄的用戶信息,包括用戶登錄用戶名和暫存的密碼,在用戶登錄Windows98時,其信息從HKEY_UERS中相應的項拷貝到HKEY_CURRENT_USER中
管理當前系統硬件配置。在這個根鍵中保存了本地計算機硬件配置數據,次根鍵下的子關鍵字包括在SYSTEM.DAT中,用來提供HKEY_LOCAL_MACHINE所需的信息,或者在遠程計算機中可訪問的一組鍵中。
這個根鍵里面的許多子鍵與SYSTEM.ini文件中設置項類似
管理系統的用戶信息。在這個根鍵中保存了存放在本地計算機口令列表中的用戶標識和密碼列表。同時每個用戶的配置信息都存儲在HKEY_USERS根鍵中,HKEY_USERS是遠程計算機中訪問的根鍵之一。
管理當前用戶的系統配置。在這個根鍵中保存著定義當前用戶桌面配置(如顯示器等等)的數據,該用戶使用過的文檔列表(MRU),應用程序配置和其他有關當前用戶的Windows98中文版的安裝的信息。
利用注冊機防病毒
不少計算機系統感染了網絡病毒后,可能會在這些注冊表中做修改。
HKEY_CURRENT_USER\Software\Microsoft\WIndows\CurrentVersion\RunOnce
HKEY_CURRENT_USER\Software\Microsoft\WIndows\CurrentVersion\Run
HKEY_CURRENT_USER\Software\Microsoft\WIndows\CurrentVersion\Run Services
?
病毒經常修改的注冊表鍵值
HKEY_CURRENT_USER\Software\Microsoft\InternteExplorer\Main
HKEY_CURRENT_USER\Software\Policies\Microsoft\Intnet Explorer\Control Panel下的DWORD值”Setting”?=dword:/”Links”?=dword:1”SecAddSites”dword:1全部改為0之后?再將HKEY_CURRENT_USER\Software\Policies\Microsoft\Intnet Explorer\Control Panel下的DWORD值”homepage”鍵值改為0,則無法使用“Internet選項”修改IE設置。
HKEY_CURRENT_USER\Software\Policies\Microsoft\InternetExplorer\RestrictionsVersion\Po“NoViewSource”被設置為1了,改為0可恢復正常。
HKEY_CURRENT_USER\Software\Microsoft\Windows\Current Version\Policies\Explorer的“NoRun”鍵值被改為1了,改為0可恢復
HKEY_CURRENT_USER\Software\Microsoft\Windows\Current Version\Policies\Explorer的“NoClose”被改為1了,改為0恢復。
HKEY_CURRENT_USER\Software\Microsoft\Windows\Current Version\Policies\Explorer的“NoLogOff”鍵值被改為1了,改為0恢復
HKEY_CURRENT_USER\Software\Microsoft\Windows\Current Version\Policies\Explorer的“NoDrives”鍵值被改為1了,改為0可恢復
入侵中常用的注冊表
總結
以上是生活随笔為你收集整理的Windows基础篇学习(上)的全部內容,希望文章能夠幫你解決所遇到的問題。
- 上一篇: Python Counter函数
- 下一篇: java信息管理系统总结_java实现科