一：系統(tǒng)目錄

1.windows

C:\Windows\System32是一個極其重要的文件，下面我們來介紹一下這個文件，
（1）在C:\Windows\System32\config目錄下面有這樣一些文件：
這里存放的都是windows的系統(tǒng)配置文件

（2）在C:\Windows\System32\drivers\etc目錄下面有這樣一些文件：
這里存放的都是與網(wǎng)絡(luò)服務(wù)，端口，域名解析有關(guān)的文件

2.program files

在C:\Windows\Program Files中是程序默認安裝的文件夾

3.用戶

在C:\Windows\用戶這個文件夾中存放著與用戶相關(guān)的文件

4.perflogs

perfLogs是windows的日志信息，如磁盤掃描 錯誤信息，刪掉可以，但不建議刪，刪掉反而會降低系統(tǒng)速度，PerfLogs是系統(tǒng)自動生成的。

二：服務(wù)

1.什么是服務(wù)？

服務(wù)就是為了給用戶提供一種操作功能，不同的服務(wù)提供不同的本功能，只有開啟這些服務(wù)，才能使用這些服務(wù)，如web服務(wù)，ftp服務(wù)

2.常見的網(wǎng)絡(luò)服務(wù)：

web服務(wù)，dns服務(wù)，郵件服務(wù)，
telnet服務(wù)：該服務(wù)是明文傳輸
ssh服務(wù)：該服務(wù)是密文傳輸
ftp服務(wù)：該服務(wù)明文傳輸
smb服務(wù)

3.查看相應(yīng)的服務(wù)：

（1）在Win+R窗口中輸入services.msc，即可看到各種服務(wù)，下面讓我們來看一下這些服務(wù)：

服務(wù)的狀態(tài)分為自動延遲，自動，手動，禁用四種模式：
自動延遲：表示開機后一定時間才能啟動該服務(wù)
自動：開機后自啟動該服務(wù)
手動：需要我們手動開啟該服務(wù)
禁用：禁止使用該服務(wù)
了解這些便于我們后滲透操作階段安裝系統(tǒng)服務(wù)后門

三：端口

1.端口的作用：

端口是區(qū)分服務(wù)的標(biāo)識，只有通過端口在能找到相應(yīng)的服務(wù)，通過掃描端口，能讓我們找到相應(yīng)的端口，如web：80端口，mysql:3306端口

2.端口分類：

端口數(shù)目：1~65535個
端口可分為：
（1）固定端口：1~1024號端口都是固定端口，這些端口分配給固定的服務(wù)：如22端口未SSH服務(wù)，21端口為FTP服務(wù)
（2）動態(tài)端口：1024~65535號端口為動態(tài)端口，這些端口一般分配給不固定的服務(wù)。
不過動態(tài)端口也常常被病毒木馬程序所利用，如冰河默認連接端口為7626，WAY2.4是8011，Netspy 3.0是7306，YAI病毒是1024等等
防火墻能防木馬病毒嗎？
不能，但是能限制一些端口的流量，這樣使得占用常用端口的木馬不能連接，殺毒軟件才是殺病毒的

3.常見的端口：

80，8080，3128，8081，9080:HTTP 常用端口
21：FTP
22:SSH（安全登錄），SCP(文件傳輸)，端口重定向，默認端口號為22/tcp
3389:遠程桌面端口
23:telnet
25:SMTP服務(wù)，（不過一般木馬Antigen,Email Password Sender,Haebu Coceda,Shtrilitz,WinPC，WinSpy都是用這個端口
3306:mysql
1521:Oracle
1433:sqlserver
1080:QQ默認端口

4.黑客能夠通過端口做什么？

信息搜集
系統(tǒng)判斷（33）：如開了22端口則有可能是linux

四：注冊表

注冊表（繁體中文版windows稱之為登錄檔）是windows的重要數(shù)據(jù)庫，用來存儲系統(tǒng)和應(yīng)用程序的設(shè)置信息

1.打開注冊表

WIN+R:輸入regedit即可查看注冊表：

2.注冊表的作用

注冊表是Windows操作系統(tǒng)的核心數(shù)據(jù)庫，可直接控制著windows的啟動，硬件驅(qū)動程序的裝載，程序的運行，以及各種屬性信息，可以通過修改注冊表來修改計算機，不過要慎重。

3.注冊表的結(jié)構(gòu)

注冊表有5個根鍵

（1）.HKEY_CLASSES_ROOT
管理文件系統(tǒng)。根據(jù)在Windows 中安裝的應(yīng)用程序的擴展名,該根鍵指明其文件類型的名稱，相應(yīng)打開該文件所要調(diào)用的程序等等信息。
（2）.HKEY_CURRENT_USER
管理系統(tǒng)當(dāng)前的用戶信息。在這個根鍵中保存了本地計算機中存放的當(dāng)前登錄的用戶信息,包括用戶登錄用戶名和暫存的密碼。在用戶登錄Windows 98時，其信息從HKEY_USERS中相應(yīng)的項拷貝到HKEY_CURRENT_USER中。
（3）.HKEY_LOCAL_MACHINE（我們經(jīng)常使用的鍵）
管理當(dāng)前系統(tǒng)硬件配置。在根鍵這個中保存了本地計算機硬件配置數(shù)據(jù),此根鍵下的子關(guān)鍵字包括在SYSTEM.DAT中,用來提供HKEY_LOCAL_MACHINE所需的信息,或者在遠程計算機中可訪問的一組鍵中。
這個根鍵里面的許多子鍵與System.ini文件中設(shè)置項類似。
（4）.HKEY_USERS
管理系統(tǒng)的用戶信息。在這個根鍵中保存了存放在本地計算機口令列表中的用戶標(biāo)識和密碼列表。同時每個用戶的預(yù)配置信息都存儲在HKEY_USERS根鍵中。HKEY_USERS是遠程計算機中訪問的根鍵之一。
（5）.HKEY_CURRENT_CONFIG
管理當(dāng)前用戶的系統(tǒng)配置。在這個根鍵中保存著定義當(dāng)前用戶桌面配置(如顯示器等等)的數(shù)據(jù),該用戶使用過的文檔列表（MRU），應(yīng)用程序配置和其他有關(guān)當(dāng)前用戶的Windows 98中文版的安裝的信息。

4.入侵中常用的注冊表

HKEY_LOCAL_MACHINE\software\hzhost\config\settings\mysqlpass
HKEY_LOCAL_MACHINE\software\hzhost\config\settings\mssqlpss：一般用來讀一些端口，可能有一些管理員為了防止入侵修改常用服務(wù)的端口號，這樣我們就通過讀取該文件來查看數(shù)據(jù)庫端口號
HKEY_LOCAL_MACHINE\software\hzhost\config\Settings\mastersvrpass
HKEY_LOCAL_MACHINE\SYSTEM\LIWEIWENSOFT\INSTALLFREEADMIN\11
HKEY_LOCAL_MACHINE\SYSTEM\LIWEIWENSOFT\INSTALLFreeHost\11

五：常用DOS命令

color 改變cmd顏色
ping -t -l 65550 ip 死亡之ping(發(fā)送大于64K的文件并一直ping就成了死亡之ping)
ipconfig 查看ip
ipconfig /release 釋放ip
ipconfig /renew 重新獲得ip
systeminfo 查看系統(tǒng)信息
arp -a
net view 查看局域網(wǎng)內(nèi)其他計算機名稱
shutdown -s -t 180 -c “你被黑了，系統(tǒng)馬上關(guān)機”
dir 查看目錄
cd 切換目錄
start www.cracer.com 打開網(wǎng)頁
start 123.txt 打開123.txt
copy con c:\123.txt 創(chuàng)建123.txt文件
hello cracer
ctrl+z 回車
md　目錄名 創(chuàng)建目錄
rd 123 刪除文件夾
ren 原文件名　新文件名 重命名文件名
del 刪除文件
copy 復(fù)制文件
move 移動文件
tree 樹形列出文件夾結(jié)構(gòu)
telnet
net use k: \192.168.1.1\c$
net use k: \192.168.1.1\c$ /del
net start 查看開啟了哪些服務(wù)
net start 服務(wù)名　 開啟服務(wù)；(如:net start telnet， net start schedule)
net stop 服務(wù)名 停止某服務(wù)
net user 用戶名　密碼　/add 建立用戶
net user guest /active:yes 激活guest用戶
net user 查看有哪些用戶
net user 帳戶名 查看帳戶的屬性
net locaLGroup administrators 用戶名 /add 把“用戶”添加到管理員中使其具有管理員權(quán)限,注意：administrator后加s用復(fù)數(shù)
net user guest 12345 用guest用戶登陸后用將密碼改為12345
net password 密碼 更改系統(tǒng)登陸密碼
net share 查看本地開啟的共享
net share ipc$ 開啟ipc$共享netshareipc$ /del 刪除ipc$共享netsharec$ /del 刪除C：共享
netstat -a 查看開啟了哪些端口,常用netstat -an
netstat -n 查看端口的網(wǎng)絡(luò)連接情況，常用netstat -an
netstat -v 查看正在進行的工作
netsh 網(wǎng)絡(luò)工具
schtasks id號 開啟已注冊的某個計劃任務(wù) msg
schtasks /delete 停止所有計劃任務(wù)，用參數(shù)/yes則不需要確認就直接停止
schtasks id號 /delete 停止某個已注冊的計劃任務(wù)
schtasks 查看所有的計劃任務(wù)
attrib 文件名(目錄名) 查看某文件（目錄）的屬性
attrib 文件名 -A -R -S -H 或 +A +R +S +H 去掉(添加)某文件的 存檔，只讀，系統(tǒng)，隱藏 屬性；用＋則是添加為某屬性
schtasks：設(shè)置任務(wù)
shctasks 1 /del:刪除1號任務(wù)
tasklist:查看進程
taskkill: taskkill /f /in qq.exe:結(jié)束進程（1：22）
msg:用來給用戶發(fā)送信息

六：本節(jié)的實驗內(nèi)容

實驗一：

使用HKEY_LOCAL_MACHINE里面的sam文件將我們的來賓用戶克隆成管理員用戶：
a.先找到管理員的文件夾，找到對應(yīng)的類型0x1f4,然后再找到對應(yīng)的1F4文件，打開

b.將1F4文件中的F內(nèi)容復(fù)制粘貼到來賓用戶中即可

這種克隆方式能便于我們隱藏身份，不過仍不夠好，普通人可能看不出來，不過有經(jīng)驗的取證專家能夠一眼識別出來。

總結(jié)

以上是生活随笔為你收集整理的网络安全学习--002--windows基础知识的全部內(nèi)容，希望文章能夠幫你解決所遇到的問題。

如果覺得生活随笔網(wǎng)站內(nèi)容還不錯，歡迎將生活随笔推薦給好友。