windows 安全 | 易学教程

Windows基础篇

1. 系统目录，服务，端口，，注册表

windows
- program files
  - 用户
    - perflogs
      - perflogs(win7日志信息系统自动生成删除降低系统速度)
服务
- 服务决定计算机的一些功能是否被启用
- 不同服务对应的功能不同
- 通过计算机提供的服务可以有效实现资源共享
  - web服务
  - dns 服务
  - 邮件服务
  - telent服务
  - ssh服务
  - ftp服务
  - smb服务
端口 port(netstat -ano)
- 公认端口Well Known Ports
- 注册端口 Reistered Ports
- 动态/私有端口 Dynsmic snd/or Private Ports
- 知名端口Well_Known Ports
  1-1024
- 动态端口 Dynamic Ports
  - 一般不固定分配给某个服务
- TCP端口
- UDP端口
- HTTP:80/8080/3128/8081/9080
- FTP:21
- Telnet:23
- TFTP:69/UDP
- SSH SCP:22/TCP
- SMTP:25/TCP
- POP3 POST Office:110/TCP
- TOMCAT:8080
- WIN2003:3389
- ORACLE :1521
- MSSQL*SERVER数据库server:1433/tcp 1433/udp
- QQ 11080/udp
- 端口的作用·
  - 信息搜集
  - 目标探测
  - 服务判断
  - 系统判断
  - 系统角色分析
注册表
- 打开注册表 regedit
- 注册表的结构
  - HKEY_CLASSES_ROOT
  　管理文件系统。根据在Windows 中安装的应用程序的扩展名,该根键指明其文件类型的名称，相应打开该文件所要调用的程序等等信息。
  - HKEY_CURRENT_USER
  管理系统当前的用户信息。在这个根键中保存了本地计算机中存放的当前登录的用户信息,包括用户登录用户名和暂存的密码。在用户登录Windows 98时，其信息从HKEY_USERS中相应的项拷贝到HKEY_CURRENT_USER中。
  - HKEY_LOCAL_MACHINE
    管理当前系统硬件配置。在这个根键中保存了本地计算机硬件配置数据,此根键下的子关键字包括在SYSTEM.DAT中,用来提供HKEY_LOCAL_MACHINE所需的信息,或者在远程计算机中可访问的一组键中。
  l这个根键里面的许多子键与System.ini文件中设置项类似。
  - HKEY_USERS
  管理系统的用户信息。在这个根键中保存了存放在本地计算机口令列表中的用户标识和密码列表。同时每个用户的预配置信息都存储在HKEY_USERS根键中。HKEY_USERS是远程计算机中访问的根键之一。
  - HKEY_CURRENT_CONFIG
  管理当前用户的系统配置。在这个根键中保存着定义当前用户桌面配置(如显示器等等)的数据,该用户使用过的文档列表（MRU），应用程序配置和其他有关当前用户的Windows 98中文版的安装的信息。
- 入侵常用的注册表
- 注册表防病毒
  - 不少计算机系统感染了网络病毒后，可能会在这些注册表中做修改
  HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\RunOnce、HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run、HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\RunServices
  - （1）IE起始页的修改
    HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main 右半部分窗口中的Start Page 就是IE主页地址了
    （2）Internet选项按钮灰化&失效
    HKEY_CURRENT_USER\Software\Policies\Microsoft\Internet Explorer\Control Panel 下的DWORD值 “Setting”=dword:1 “Links”=dword:1 “SecAddSites”dword:1 全部改为0之后再将
    HKEY_USERS\DEFAULT\Software\Policies\Microsoft\Internet Explorer\Control Panel 下的DWORD值“homepage”键值改为0 则无法使用“Internet选项”修改IE设置
    （3）“源文件”项不可用
    HKEY_CURRENT_USER\Software\Policies\Microsoft\Internet Explorer\Restrictions 的“NoViewSource”被设置为1了，改为0就可恢复正常
    （4）“运行”按钮被取消&失效
    HKEY_CURRENT_USER\Software\Microsoft\Windows\Current Version\Policies\Explorer 的“NoRun”键值被改为1了，改为0就可恢复
    
    （5）“关机”按钮被取消&失效
    HKEY_CURRENT_USER\Software\Microsoft\Windows\Current Version\Policies\Explorer 的“NoClose”键值被改为1了，改为0就可恢复
    （6）“注销”按钮被取消&失效
    HKEY_CURRENT_USER\Software\Microsoft\Windows\Current Version\Policies\Explorer 的“NoLogOff”键值被改为1了，改为0就可恢复
    （7）磁盘驱动器被隐藏
    HKEY_CURRENT_USER\Software\Microsoft\Windows\Current Version\Policies\Explorer 的“NoDrives”键值被改为1了，改为0就可恢复

2. 黑客常用的DOS命令及批处理的编写

color
ping -t -i 65550 ip 死亡之ping
ipconfig 查看ip
ipconfig/release 释放ip
ipconfig/renew 重新获得ip
systeminfo 查看系统信息
arp -a
net view 看局域网内其他的计算机名称
shutdown -s -t -c 关机
dir 查看目录
cd 切换目录
start www.baidu.com 打开百度首页
start 123.txt
copy con
hello carcer
ctrl+Z
md 目录名，创建目录
rd 123 删除文件夹
ren 原文件名新文件名重名文件名
del 删除文件
copy 复制文件
move 移动文件
tree 树形列出文件结构
telnet
net use K:\\\ 192.168.1.1\c$
net use K:\\192.168.1.1\c$\del
net start 查看开启了那些服务
net start 服务名开启服务
net stop 服务名停止服务
net user 用户名密码 /add 建立用户
net user guest/active:yes 激活guest用户
net user 查看有哪些用户
net user 账户名查看账户的属性
lnet locaLGroup administrators 用户名 /add 把“用户”添加到管理员中使其具有管理员权限,注意：administrator后加s用复数
lnet user guest 12345 用guest用户登陆后用将密码改为12345
lnet password 密码更改系统登陆密码
lnet share 查看本地开启的共享
lnet share ipc$ 开启ipc$共享
lnet share ipc$ /del 删除ipc$共享
lnet share c$ /del 删除C：共享
lnetstat -a 查看开启了哪些端口,常用netstat -an
lnetstat -n 查看端口的网络连接情况，常用netstat -an
lnetstat -v 查看正在进行的工作
lat id号开启已注册的某个计划任务
lat /delete 停止所有计划任务，用参数/yes则不需要确认就直接停止
lat id号 /delete 停止某个已注册的计划任务
lat 查看所有的计划任务
lattrib 文件名(目录名) 查看某文件（目录）的属性
lattrib 文件名 -A -R -S -H 或 +A +R +S +H 去掉(添加)某文件的存档，只读，系统，隐藏属性；用＋则是添加为某属性
l批处理文件是dos命令的组合文件，写在批处理文件的命令会被逐一执行。
l后缀名名.bat
- 新建批处理文件
- 新建一个文本文档保存时把后缀名改为bat
- 也可以使用命令
- copy con 123.bat
- net user cracer 123123 /add
- net localgroup administrator cracer /add
- Ctrl+z
- 回车

3. POWERSHELL

Windows PowerShell 是一种命令行外壳程序和脚本环境，使命令行用户和脚本编写者可以利用.NET Framework 的强大功能。它引入了许多非常有用的新概念，从而进一步扩展了您在Windows 命令提示符和 Windows Script Host 环境中获得的知识和创建的脚本
get-service 获取服务
get-process 获取进程
stop-process 停止进程
get-date 获取时间
get-alias cls 查看cls别名命令
Get-ChildItem -Path C:\WINDOWS\System32 | Out-Host -Paging 查看c:\widnows\system32 目录并分页显示
get-psdrive 获取驱动器
Get-PSDrive -PSProvider filesystem 获取文件系统
get-help get-service 获取帮助
Rename-Item -Path C:\temp\New.Directory\file1.txt fileOne.txt 重命名
Move-Item -Path C:\temp\New.Directory -Destination C:\ -PassThru 移动文件
Copy-Item -Path C:\New.Directory -Destination C:\temp 复制文件
Remove-Item C:\New.Directory 删除文件
shutdown 关机
get-command -service 查看对服务可以哪些操作
get-service -name se 列服务包含se开头的
start-serice -name spooler 启动服务
stop-service -name spooler 停止服务
Get-WmiObject -Class Win32_NetworkAdapterConfiguration -Filter IPEnabled=TRUE -ComputerName .| Select-Object -Property IPAddress 列ip地址
Get-WmiObject -Class Win32_NetworkAdapterConfiguration -Filter IPEnabled=TRUE -ComputerName .| Get-Member -Name IPAddress 列ip属性