一：系統(tǒng)目錄

1.windows

C:\Windows\System32是一個(gè)極其重要的文件，下面我們來介紹一下這個(gè)文件，
（1）在C:\Windows\System32\config目錄下面有這樣一些文件：
這里存放的都是windows的系統(tǒng)配置文件

（2）在C:\Windows\System32\drivers\etc目錄下面有這樣一些文件：
這里存放的都是與網(wǎng)絡(luò)服務(wù)，端口，域名解析有關(guān)的文件

2.program files

在C:\Windows\Program Files中是程序默認(rèn)安裝的文件夾

3.用戶

在C:\Windows\用戶這個(gè)文件夾中存放著與用戶相關(guān)的文件

4.perflogs

perfLogs是windows的日志信息，如磁盤掃描 錯(cuò)誤信息，刪掉可以，但不建議刪，刪掉反而會(huì)降低系統(tǒng)速度，PerfLogs是系統(tǒng)自動(dòng)生成的。

二：服務(wù)

1.什么是服務(wù)？

服務(wù)就是為了給用戶提供一種操作功能，不同的服務(wù)提供不同的本功能，只有開啟這些服務(wù)，才能使用這些服務(wù)，如web服務(wù)，ftp服務(wù)

2.常見的網(wǎng)絡(luò)服務(wù)：

web服務(wù)，dns服務(wù)，郵件服務(wù)，
telnet服務(wù)：該服務(wù)是明文傳輸
ssh服務(wù)：該服務(wù)是密文傳輸
ftp服務(wù)：該服務(wù)明文傳輸
smb服務(wù)

3.查看相應(yīng)的服務(wù)：

（1）在Win+R窗口中輸入services.msc，即可看到各種服務(wù)，下面讓我們來看一下這些服務(wù)：

服務(wù)的狀態(tài)分為自動(dòng)延遲，自動(dòng)，手動(dòng)，禁用四種模式：
自動(dòng)延遲：表示開機(jī)后一定時(shí)間才能啟動(dòng)該服務(wù)
自動(dòng)：開機(jī)后自啟動(dòng)該服務(wù)
手動(dòng)：需要我們手動(dòng)開啟該服務(wù)
禁用：禁止使用該服務(wù)
了解這些便于我們后滲透操作階段安裝系統(tǒng)服務(wù)后門

三：端口

1.端口的作用：

端口是區(qū)分服務(wù)的標(biāo)識(shí)，只有通過端口在能找到相應(yīng)的服務(wù)，通過掃描端口，能讓我們找到相應(yīng)的端口，如web：80端口，mysql:3306端口

2.端口分類：

端口數(shù)目：1~65535個(gè)
端口可分為：
（1）固定端口：1~1024號(hào)端口都是固定端口，這些端口分配給固定的服務(wù)：如22端口未SSH服務(wù)，21端口為FTP服務(wù)
（2）動(dòng)態(tài)端口：1024~65535號(hào)端口為動(dòng)態(tài)端口，這些端口一般分配給不固定的服務(wù)。
不過動(dòng)態(tài)端口也常常被病毒木馬程序所利用，如冰河默認(rèn)連接端口為7626，WAY2.4是8011，Netspy 3.0是7306，YAI病毒是1024等等
防火墻能防木馬病毒嗎？
不能，但是能限制一些端口的流量，這樣使得占用常用端口的木馬不能連接，殺毒軟件才是殺病毒的

3.常見的端口：

80，8080，3128，8081，9080:HTTP 常用端口
21：FTP
22:SSH（安全登錄），SCP(文件傳輸)，端口重定向，默認(rèn)端口號(hào)為22/tcp
3389:遠(yuǎn)程桌面端口
23:telnet
25:SMTP服務(wù)，（不過一般木馬Antigen,Email Password Sender,Haebu Coceda,Shtrilitz,WinPC，WinSpy都是用這個(gè)端口
3306:mysql
1521:Oracle
1433:sqlserver
1080:QQ默認(rèn)端口

4.黑客能夠通過端口做什么？

信息搜集
系統(tǒng)判斷（33）：如開了22端口則有可能是linux

四：注冊(cè)表

注冊(cè)表（繁體中文版windows稱之為登錄檔）是windows的重要數(shù)據(jù)庫(kù)，用來存儲(chǔ)系統(tǒng)和應(yīng)用程序的設(shè)置信息

1.打開注冊(cè)表

WIN+R:輸入regedit即可查看注冊(cè)表：

2.注冊(cè)表的作用

注冊(cè)表是Windows操作系統(tǒng)的核心數(shù)據(jù)庫(kù)，可直接控制著windows的啟動(dòng)，硬件驅(qū)動(dòng)程序的裝載，程序的運(yùn)行，以及各種屬性信息，可以通過修改注冊(cè)表來修改計(jì)算機(jī)，不過要慎重。

3.注冊(cè)表的結(jié)構(gòu)

注冊(cè)表有5個(gè)根鍵

（1）.HKEY_CLASSES_ROOT
管理文件系統(tǒng)。根據(jù)在Windows 中安裝的應(yīng)用程序的擴(kuò)展名,該根鍵指明其文件類型的名稱，相應(yīng)打開該文件所要調(diào)用的程序等等信息。
（2）.HKEY_CURRENT_USER
管理系統(tǒng)當(dāng)前的用戶信息。在這個(gè)根鍵中保存了本地計(jì)算機(jī)中存放的當(dāng)前登錄的用戶信息,包括用戶登錄用戶名和暫存的密碼。在用戶登錄Windows 98時(shí)，其信息從HKEY_USERS中相應(yīng)的項(xiàng)拷貝到HKEY_CURRENT_USER中。
（3）.HKEY_LOCAL_MACHINE（我們經(jīng)常使用的鍵）
管理當(dāng)前系統(tǒng)硬件配置。在根鍵這個(gè)中保存了本地計(jì)算機(jī)硬件配置數(shù)據(jù),此根鍵下的子關(guān)鍵字包括在SYSTEM.DAT中,用來提供HKEY_LOCAL_MACHINE所需的信息,或者在遠(yuǎn)程計(jì)算機(jī)中可訪問的一組鍵中。
這個(gè)根鍵里面的許多子鍵與System.ini文件中設(shè)置項(xiàng)類似。
（4）.HKEY_USERS
管理系統(tǒng)的用戶信息。在這個(gè)根鍵中保存了存放在本地計(jì)算機(jī)口令列表中的用戶標(biāo)識(shí)和密碼列表。同時(shí)每個(gè)用戶的預(yù)配置信息都存儲(chǔ)在HKEY_USERS根鍵中。HKEY_USERS是遠(yuǎn)程計(jì)算機(jī)中訪問的根鍵之一。
（5）.HKEY_CURRENT_CONFIG
管理當(dāng)前用戶的系統(tǒng)配置。在這個(gè)根鍵中保存著定義當(dāng)前用戶桌面配置(如顯示器等等)的數(shù)據(jù),該用戶使用過的文檔列表（MRU），應(yīng)用程序配置和其他有關(guān)當(dāng)前用戶的Windows 98中文版的安裝的信息。

4.入侵中常用的注冊(cè)表

HKEY_LOCAL_MACHINE\software\hzhost\config\settings\mysqlpass
HKEY_LOCAL_MACHINE\software\hzhost\config\settings\mssqlpss：一般用來讀一些端口，可能有一些管理員為了防止入侵修改常用服務(wù)的端口號(hào)，這樣我們就通過讀取該文件來查看數(shù)據(jù)庫(kù)端口號(hào)
HKEY_LOCAL_MACHINE\software\hzhost\config\Settings\mastersvrpass
HKEY_LOCAL_MACHINE\SYSTEM\LIWEIWENSOFT\INSTALLFREEADMIN\11
HKEY_LOCAL_MACHINE\SYSTEM\LIWEIWENSOFT\INSTALLFreeHost\11

五：常用DOS命令

color 改變cmd顏色
ping -t -l 65550 ip 死亡之ping(發(fā)送大于64K的文件并一直ping就成了死亡之ping)
ipconfig 查看ip
ipconfig /release 釋放ip
ipconfig /renew 重新獲得ip
systeminfo 查看系統(tǒng)信息
arp -a
net view 查看局域網(wǎng)內(nèi)其他計(jì)算機(jī)名稱
shutdown -s -t 180 -c “你被黑了，系統(tǒng)馬上關(guān)機(jī)”
dir 查看目錄
cd 切換目錄
start www.cracer.com 打開網(wǎng)頁
start 123.txt 打開123.txt
copy con c:\123.txt 創(chuàng)建123.txt文件
hello cracer
ctrl+z 回車
md　目錄名 創(chuàng)建目錄
rd 123 刪除文件夾
ren 原文件名　新文件名 重命名文件名
del 刪除文件
copy 復(fù)制文件
move 移動(dòng)文件
tree 樹形列出文件夾結(jié)構(gòu)
telnet
net use k: \192.168.1.1\c$
net use k: \192.168.1.1\c$ /del
net start 查看開啟了哪些服務(wù)
net start 服務(wù)名　 開啟服務(wù)；(如:net start telnet， net start schedule)
net stop 服務(wù)名 停止某服務(wù)
net user 用戶名　密碼　/add 建立用戶
net user guest /active:yes 激活guest用戶
net user 查看有哪些用戶
net user 帳戶名 查看帳戶的屬性
net locaLGroup administrators 用戶名 /add 把“用戶”添加到管理員中使其具有管理員權(quán)限,注意：administrator后加s用復(fù)數(shù)
net user guest 12345 用guest用戶登陸后用將密碼改為12345
net password 密碼 更改系統(tǒng)登陸密碼
net share 查看本地開啟的共享
net share ipc$ 開啟ipc$共享netshareipc$ /del 刪除ipc$共享netsharec$ /del 刪除C：共享
netstat -a 查看開啟了哪些端口,常用netstat -an
netstat -n 查看端口的網(wǎng)絡(luò)連接情況，常用netstat -an
netstat -v 查看正在進(jìn)行的工作
netsh 網(wǎng)絡(luò)工具
schtasks id號(hào) 開啟已注冊(cè)的某個(gè)計(jì)劃任務(wù) msg
schtasks /delete 停止所有計(jì)劃任務(wù)，用參數(shù)/yes則不需要確認(rèn)就直接停止
schtasks id號(hào) /delete 停止某個(gè)已注冊(cè)的計(jì)劃任務(wù)
schtasks 查看所有的計(jì)劃任務(wù)
attrib 文件名(目錄名) 查看某文件（目錄）的屬性
attrib 文件名 -A -R -S -H 或 +A +R +S +H 去掉(添加)某文件的 存檔，只讀，系統(tǒng)，隱藏 屬性；用＋則是添加為某屬性
schtasks：設(shè)置任務(wù)
shctasks 1 /del:刪除1號(hào)任務(wù)
tasklist:查看進(jìn)程
taskkill: taskkill /f /in qq.exe:結(jié)束進(jìn)程（1：22）
msg:用來給用戶發(fā)送信息

六：本節(jié)的實(shí)驗(yàn)內(nèi)容

實(shí)驗(yàn)一：

使用HKEY_LOCAL_MACHINE里面的sam文件將我們的來賓用戶克隆成管理員用戶：
a.先找到管理員的文件夾，找到對(duì)應(yīng)的類型0x1f4,然后再找到對(duì)應(yīng)的1F4文件，打開

b.將1F4文件中的F內(nèi)容復(fù)制粘貼到來賓用戶中即可

這種克隆方式能便于我們隱藏身份，不過仍不夠好，普通人可能看不出來，不過有經(jīng)驗(yàn)的取證專家能夠一眼識(shí)別出來。

總結(jié)

以上是生活随笔為你收集整理的网络安全学习--002--windows基础知识的全部?jī)?nèi)容，希望文章能夠幫你解決所遇到的問題。

如果覺得生活随笔網(wǎng)站內(nèi)容還不錯(cuò)，歡迎將生活随笔推薦給好友。