Windows基础篇学习（上）

系统目录

1、Windows 系统目录

2、Program files/Program files (x86)  程序安装目录  （64/32hit）

3、用户 存放用户的配置文件

4、PerfLogs  是weindows7的日志信息，如磁盘扫描错误信息，删掉可以，但不建议删，删掉反而会降低系统速度、Perlogs是系统自动生成的。

5、开机自启动软件存放文件夹：

C:\Users\Administrator\(用户名)\AppData\Roaming\Microsoft\windows\Start Menu\Programs\Startup

开始菜单→所有程序→启动

7、C:\Windows\System32是存放系统配置文件

8、C:\Windows\System32\config下的SAM文件存放了windows帐号和密码的文件。注：可以用PE（系统安装U盘）来将SAM文件拷贝出来，再清理该文件；做完Hacking后还原。

9、C:\Windows\System32\drivers\etc下的hosts文件，是用来解析域名的

10、日志信息的利用

 

 

服务

服务是一种应用程序类型，它在后台运行、服务应用程序。通常可以在本地和通过网络为用户提供一些功能。例如：客户端/服务端应用程序、web服务器、数据库服务器以及其他基于服务器的应用程序。

打开服务

右击我的电脑打开“计算机管理”

Ctrl+r打开运行

输入services.msc回车打开。

服务的作用

1. 服务决定了计算机的一些功能是否被启用。
2. 不同的服务对应的功能不同
3. 通过计算机提供的服务可以有效实现资源共享视角服务
4. Web服务
5. Dns服务（域名解析服务）
6. Dhcp服务  用于给客户端分发ip（自动获取ip）
7. 邮件服务
8. Telnet服务 telnet在windows 03或xp中可以在服务中改动，但是在windows7中需要在控制面板→程序→windows功能中改动。
9. Ssh服务 和telnet类似，但是有加密
10. ftp服务 上传与下载
11. Smb服务 文件共享服务

同网段提取共享文件：运行：\\ ip

端口

计算机“端口”是英文port的义译，可以认为是计算机与外界通讯交流的出口。按端口号可分为3大类：公认端口（Well Known Ports）、注册端口（Registered {orts）、动态和私有端口（Dynamic and/or Private Ports）

注：端口一共有65536个，其中前1024个已经固定了服务，但是可以被改动。

端口的作用

我们知道，一台拥有IP地址的主机可以提供许多服务，比如Web服务、ftp服务、SMTP服务等。这些服务完全可以通过一个IP地址来实现。那么主机是怎样区分不同的网络服务呢？显然不能只靠IP地址，因为IP地址与网络服务的关系是一对多的关系。实际上是通过“IP地址+端口号”来区分不同的服务的

注：端口并不是一一对应的。比如可以从你的3457端口连接服务器的端口。

端口的分类

按端口号分布划分

1. 知名端口（Well-Known Ports）

知名端口即众所周知的端口号。范围从0到10213这些端口号一般固定分配给一些服务。比如21吨啊看分配给ftp服务、25端口分配给SMTP服务（简单邮件传输协议），80端口分配给HTTP服务，135端口分配给RPC（远程过程调用）服务等等

1. 动态端口（Pynamic Ports）

动态端口的范围是从1024到65535，这些端口一般不固定分配给某个服务，也就是说许多服务都可以使用这些端口，只要运行的程序向系统提出访问网络的申请，那么系统就可以从这些端口号中分配给第一个供该程序使用。比如，1024端口就是分配给第一个向系统发出申请的程序。在关闭系统进程后，就会释放所占用的端口号。

不过，动态端口也常常被病毒木马程序所利用。如，冰河默认连接端口是7626，WAY2.4是8011、Netspy3.0是7306、YAI病毒是1024等等。

按协议类型划分：TCP、UDP、IP、ICMP等

1. TCP端口

TCP端口，即传输控制协议端口，需要在客户端和服务器之间建立连接，这样可以提供可靠的数据传输、FTP的21端口、Telnet服务的23端口、SMTP服务的25端口，以及HTTP服务的80端口等

1. UDP端口

UDP端口，即用户数据包协议端口，无须在客户端和服务器之间建立连接，安全性得不到保障，常见的有DNS的53端口，SMYP（简单网络管理协议）服务的161端口，QQ使用的8000端口和4000端口等等

常见的端口

1. HTTP协议代理服务器常用端口号：80/8080/3128/8081/9080
2. FTP（文件传输）协议代理服务器常用端口：21
3. Telnet（远程登录）协议代理服务器常用端口：23
4. TFTP（Trivial File Transfer Protocol）,默认的端口号：22/tcp
5. SSh（安全登录）、SCP（文件传输）、端口重定向默认的端口号为25/tcp（木马Antigen、Email Password Sender、Haeba Coceda、Shtrilitz Stealth、WinPc、WinSpy、都开放这个端口）
6. POP3 Post Office Protocol(E-mail),默认的端口号为110/tcp
7. TOMCAT默认端口号为3389
8. Oracle数据库，默认的端口号为1521
9. MS SQLSERVER数据库Server默认端口号为1433/tcp  1433/udp
10. QQ默认端口号为1080/udp

我们通过端口干什么?

信息收集、目标探测、服务判断、系统判断、系统角色分析

注册表

注册表（Registry，繁体中文版的Windows称之为登录档）是Microsoft Windows中的一个重要数据库，用于储存系统和应用程序的设置信息，早在Windows3.0推出OLE技术的时候，注册表就已经出现、随后推出的WindowsNT是第一个从系统级别广泛使用注册表的操作系统，但是从Microsoft Windows95开始，注册表才真正成为Windows用户经常接触的内容，并在其后的操作系统中继续沿用至今。

打开注册表

运行：regedit

注册表的作用

注册表是Windows操作系统的一个核心数据库，其中存放着各种参数，直接控制着Windows的启动、硬件、驱动程序的装载以及一些WIndows应用程序的运行，从而在整个系统中起着核心作用。这些作用包括了软件、硬件的相关配置和状态信息。比如注册表中保存有应用程序和资源管理器外壳的初始条件，首选项和卸载数据等，联网计算机的整个系统的设置和各种许可、文件扩展名与应用程序的关联，硬件部件的描述、状态和属性性能记录和其他底层的系统状态信息，以及其他数据等。

▲注册表结构

1. HKEY_CLASSES_ROOT

管理文件系统，根据在Windows中安装的应用程序的扩展名，该根键指明其文件类型的名称，相应打开该文件索要调用的程序等等信息

1. HKEY_LOCAL_USER

管理系统当前的用户信息，在这个根键中保存了本地计算机中存放的当前登录的用户信息，包括用户登录用户名和暂存的密码，在用户登录Windows98时，其信息从HKEY_UERS中相应的项拷贝到HKEY_CURRENT_USER中

1. HKEY_LOCAL_MACHINE

管理当前系统硬件配置。在这个根键中保存了本地计算机硬件配置数据，次根键下的子关键字包括在SYSTEM.DAT中，用来提供HKEY_LOCAL_MACHINE所需的信息，或者在远程计算机中可访问的一组键中。

这个根键里面的许多子键与SYSTEM.ini文件中设置项类似

1. HKEY_USERS

管理系统的用户信息。在这个根键中保存了存放在本地计算机口令列表中的用户标识和密码列表。同时每个用户的配置信息都存储在HKEY_USERS根键中，HKEY_USERS是远程计算机中访问的根键之一。

1. HKEY_CURRENT_CONFIG

管理当前用户的系统配置。在这个根键中保存着定义当前用户桌面配置（如显示器等等）的数据，该用户使用过的文档列表（MRU），应用程序配置和其他有关当前用户的Windows98中文版的安装的信息。

利用注册机防病毒

不少计算机系统感染了网络病毒后，可能会在这些注册表中做修改。

HKEY_CURRENT_USER\Software\Microsoft\WIndows\CurrentVersion\RunOnce

HKEY_CURRENT_USER\Software\Microsoft\WIndows\CurrentVersion\Run

HKEY_CURRENT_USER\Software\Microsoft\WIndows\CurrentVersion\Run Services

 

病毒经常修改的注册表键值

1. IE起始页的修改

HKEY_CURRENT_USER\Software\Microsoft\InternteExplorer\Main

1. INternet选项按钮灰化&失败

HKEY_CURRENT_USER\Software\Policies\Microsoft\Intnet Explorer\Control Panel下的DWORD值”Setting” =dword:/”Links” =dword:1”SecAddSites”dword:1全部改为0之后 再将HKEY_CURRENT_USER\Software\Policies\Microsoft\Intnet Explorer\Control Panel下的DWORD值”homepage”键值改为0，则无法使用“Internet选项”修改IE设置。

1. 源文件不可用

HKEY_CURRENT_USER\Software\Policies\Microsoft\InternetExplorer\RestrictionsVersion\Po“NoViewSource”被设置为1了，改为0可恢复正常。

1. “运行”按钮被取消&失效

HKEY_CURRENT_USER\Software\Microsoft\Windows\Current Version\Policies\Explorer的“NoRun”键值被改为1了，改为0可恢复

1. “关机”按钮被取消&失效

HKEY_CURRENT_USER\Software\Microsoft\Windows\Current Version\Policies\Explorer的“NoClose”被改为1了，改为0恢复。

1. “注销”按钮被取消&失效

HKEY_CURRENT_USER\Software\Microsoft\Windows\Current Version\Policies\Explorer的“NoLogOff”键值被改为1了，改为0恢复

1. 磁盘驱动器被隐藏

HKEY_CURRENT_USER\Software\Microsoft\Windows\Current Version\Policies\Explorer的“NoDrives”键值被改为1了，改为0可恢复

入侵中常用的注册表

1. HKEY_LOCAL_MACHINE\Software\hzhost\config\settinbgs\mysqlpass
2. HKEY_LOCAL_MACHINE\Software\hzhost\config\settinbgs\mysqlpss
3. HKEY_LOCAL_MACHINE\Software\hzhost\config\settinbgs\mastersvrpass
4. HKEY_LOCAL_MACHINE\SYSTEM\LIWEIWENSOFT\INSTALLFREEADMIN\11
5. HKEY_LOCAL_MACHINE\SYSTEM\LIWEIWENSOFT\INSTALLFreeHost\11