0


Windows操作系统知识合集

Windows操作系统的权限:

Guest权限

User权限 人类可用普通权限

Administrator 人类可用最高权限的用户

System 系统/机器可用最高权限(比人类权限高更多)

TrustInstaller 操作系统的最高权限 比System权限更高

CPU权限:

OS(操作系统)

ring0(驱动程序) -->windows ddk编程 主要是驱动编程

ring3(大多数软件)

拥有ring0权限的木马甚至可以读取硬盘 把硬盘弄坏了。 usb接口插入usb的瞬间也会调用权限

可以通过usb接口做很多事情
(硬件编程)

硬件黑客降维打击软件黑客

eg:五角大楼官员的u盘被掉包了 内部加了芯片,一旦插入电脑后,会在一瞬间调用usb权限去做事

windows的命令执行顺序(cmd)

& 按照顺序执行多条命令 不管命令是否成功
ipconfig & dir
xxxxassa & dir

&&  按照顺序执行多条命令 如果出错就不继续执行 从出错的位置开始终止执行
ipconfig && dir
ipconfig && dfsf    //ipconfig成功执行  
sddfsdf && dir    //dir没有被执行

find "ha" c:\a.txt && echo 'success'   //在c的a.txt中能否找到ha 如果不能就会终止 如果可以 &&会执行下一条一句 也就是输出success  当前find的内容也会被输出

||   按顺序执行多条命令 当遇到执行正确的语句 就不去执行后续语句了
find "123" c:\a.txt || echo 'success'
find "ha" c:\a.txt || echo 'success'

|  管道命令  将前一条命令的结果给下一条命令去使用
dir *.* /s /a 2>&1 | find /c ".exe"   输出当前文件夹中所有的子文件夹中exe文件的个数
>  将当前命令输出的内容进行覆盖  重定向
tasklist //查看电脑所有的进程
tasklist > 1.txt    //将查询的信息重定向到当前目录下的1.txt文件中
echo 'hahanihao' > 2.txt

>> 追加型重定向 不会进行覆盖 而是追加在后面
echo haha > 1.txt
echo nihao >> 1.txt

< 从文件中获取信息  1.txt文本中内容是1999-12-23  获取1.txt的信息作为date的输入 将右边的输出作为坐标的输入
date < 1.txt  

@ 命令修饰符  执行命令 如果命令错误 不显示错误信息  执行命令的同时不打印其内容
@cd /d c:\new

,  可以代替空格  可以绕过防火墙限制
cd ..
cd new
cd,..
cd,new
cd,c:\
;  执行命令相同的时候,分离目标
dir c:\haha;c:\new

1.快捷键

CTRL+E:快速打开资源管理器

CTRL+S:快速保存

CTRL+N:新建

win+D:显示桌面

win+R:打开"运行"

win+TAB:项目切换


2.系统目录:

 1>> 用户目录:用来存放创建的目录登录后配置的文件的,如果想要把程序开机就启动可以在启动目录下放置,在win+R后输入shell:startup就可以了。


 2>> Windows:系统的安装目录,需要记住System32这个目录,


       1>>>在System32/config里有一个SAM文件,用来存放账户和密码的文件。


       SAM文件:Security account manager:安全账户管理器。用户账户数据库,所有用户的登录名和相关信息都是保存在这个文件下的。


       一般来说,只有系统权限,才能够访问。


       在密码哈希的基础上再次使用了RC4算法对密文进行了二次加密。


       win7之后都是NTLM算法加密的。


  删除密码的方法:


          1.PE系统,把它的SAM文件给剪切走,然后正常登录后再放回去就行。


          2.买一个U盘,下载Kali -linux 的live镜像系统,在Linux系统下,windows的安全访问机制是失效的。


          SAM.


       mimikatz 猕猴桃破解SAM


       2>>>在C:/Windows/System32/drivers/etc/里的hosts文件,是用来解析域名的。


            3>> Program Files(x86):64位操作系统都会有,    ···64位操作系统会把32位的文件安装在这个目录下


            4>> Program Files:64位系统文件存放.


            5>> PerfLogs:日志信息,日志存在时间查看。删除会导致电脑性能下降。


                        在Windows日志(cmd:eventvwr)会给提示,并且网站存在分析日志的程序。


                       有时候日志会在C:\Windows\System32\winevt\Logs里存在

3.注册表(windows系统的神经系统):

注册表:注册表是Windows的一个非常重要的数据库,用于存储系统和应用程序的设置信息。它是Windows操作系统的经络,写后门的时候可以插注册表。注册表存放的各种参数,直接控制着windows的启动、硬件程序的装载以及一些应用软件的运行,从而在整个系统中起着核心作用,包括了软、硬件的配置信息,比如注册表中保存有应用程序和资源管理器外壳的初始条件、首选项和卸载数据等,联网计算机的整个系统设置与许可,文件扩展名与应用程序的关联,硬件部件的描述,状态和属性等。

win+R:regedit

HKEY_CLASSES_ROOT:管理着文件系统,根据在Windows系统中安装的扩展名,指明了文件的类型

HKEY_CURRENT_USER:管理着当前的用户信息,在这个键中保存了计算机的用户信息。

HKEY_LOCAL_MACHINE:管理着当前系统硬件的配置,提权中经常用到。|影子用户(设后门)

HKEY_USERS:管理这用户的信息,每个用户的预配置都是存储在这里的。

HKEY_CURRENT_CONFIG:当前的用户配置信息。

举例:

计算机\HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run #存储的是开机启动项目,删除掉对应项目则对应软件开机不会自启动

(注册表的指令)

cmd→

REG /?

注册表实践

开机启动注册表位置

强制增加一条开机指令,执行c盘下的a.txt v后面是其命名的名字 t是类型 d是其位置

reg add "HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run" /v haha /t REG_SZ /d "c:\a.txt" /f

删除响应的注册表项目 用其名称就可以删除了 强制删除一条注册表的指令

reg delete "HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run" /v haha /f

将HKCU\SOFTWARE\Microsoft\Unified Store这个注册表项目导出到c:\abc.reg 之后双击这个文件可以将相应的内容自动导入到注册表
(备份的效果)

reg export "HKCU\SOFTWARE\Microsoft\Unified Store" c:\abc.reg

导入某个注册表的文件 地址是c:\abc.reg

reg import c:\abc.reg

查询语句 命令行查询注册表的方式

reg query "HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\ApplicationAssociationToasts" /s


C:\Users\LYJ>REG /?

REG Operation [Parameter List]

Operation  [ QUERY   | ADD    | DELETE  | COPY    |


             SAVE    | LOAD   | UNLOAD  | RESTORE |


             COMPARE | EXPORT | IMPORT  | FLAGS ]

返回代码: (除了 REG COMPARE)

0 - 成功


1 - 失败

要得到有关某个操作的帮助,请键入:

REG Operation /?

例如:

REG QUERY /?


REG ADD /?


REG DELETE /?


REG COPY /?


REG SAVE /?


REG RESTORE /?


REG LOAD /?


REG UNLOAD /?


REG COMPARE /?


REG EXPORT /?


REG IMPORT /?


REG FLAGS /?

注册表命令可以自行深入学习!(切记cmd要用管理员身份运行,否则会拒绝访问)

windows特性:大小写的命令不敏感 reg的大小写都可以

1.添加命令:

REG ADD "HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run" /v Haha /t REG_SZ /d "C:/a.bat" /f

2.删除命令:

REG DELETE "HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run" /v Haha /f

3.EXPORT注册表(提取):

REG EXPORT "HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run" C:\haha.reg

4.IMPORT(安装注册表):

REG IMPORT C:\haha.reg

一般来说,你拿到一台电脑的权限,你需要通过去修改注册表进行持久化。

比如说,软件自启动,影子用户之类的。


4.MAC地址:48位,由网络设备制造商生产时烧录在网卡的闪存芯片,一般在局域网内部使用MAC地址进行数据传输。

  类似于身份证,一个机器一生只有一个


   E8-6A-64-75-B6-71:使用十六进制进行表示的

5.iP地址:可以理解为门牌号,在同一个网段之间的IP可以理解为同一个小区的住户,可以彼此拜访。

  IPV4/IPV6


  IP地址在私有网络中一般有三种:


  私有地址:


  A类;10.0.0.0-10.255.255.255


  B类:172.16.0.0-172.31.255.255


  C类:192.168.0.0-192.168.255.255


  cmd→ arp -a :内网中MAC地址对应IP地址


  发送给192.168.2.1,局域网内你本质上还是需要知道MAC地址的。


  特殊的IP地址:


  127.0.0.1:本地环回测试(ping它用来检测自己的网络配置是否正确)


  255.255.255.255:广播地址:同时向广播域中的所有的主机发送报文


  0.0.0.0:代表所有网络 192.168.1.1

6.端口:

  端口:是计算机与外界通讯交流的出口。按端口号可分为三大类:


  1>>周知端口:


      HTTP协议代理服务器常用端口:80/8080/3128/8081/9080


      FTP(文件传输)协议代理常用的端口号是:21 CISCO公司


      Telnet(远程登录)协议的代理服务器端口号是:23:不安全


      SSH:22 安全


      TFTP:默认端口号是69


      POP3:110


      SMTP邮件传输:25


      TOMCAT:8080


      QQ:1080/UDP


      Oracle:1521


  2>>注册端口:端口1024到49151,分配给用户进程或应用程序。这些进程主要是用户选择安装的一些应用程序,而不是已经分配好了公认端口的常用程序。这些端口在没有被服务器资源占用的时候,可以用用户端动态选用为源端口


  3>>动态端口:动态端口的范围是从49152到65535。之所以称为动态端口,是因为它 一般不固定分配某种服务,而是动态分配。


  3389端口的开放是比较危险的,如果我可以访问到你的IP,我可以使用一些爆破工具去爆破你的密码,从而达到远程连接的目的。

查看网络连接状态:(注意中间的空格)

cmd→ netstat -ano

cmd→ netstat -ano | findstr “8080”

1.任务管理器

  通过任务管理器可以管理计算机内的应用程序性能与服务。


  1.ctrl+Del+. —->选择


  2.然任务栏底部右击任务管理器


  进程选项卡:可以看到进程ID、CPU、内存等资源的使用情况。


  性能卡:可以看计算机CPU、内存、和以太网的具体使用的情况。


  用户选项卡:用户的登录状态、单击后可以中断用户的连接。

  启动:开启启动的应用,可以设置是否禁用


  CMD里打开进程信息:  tasklist  一般用这个命令来查看运行中的杀软

常用的进程:

  1. esif_uf.exe:英特尔的驱动程序。

2.explorer.exe :win+E

  资源管理器 用来管理系统图形壳的,包括开始菜单、任务栏、桌面和文件管理,删除该程序会导致Windows图形界面无法使用。

3.winlogon.exe 管理用户登录,结束电脑会关机或者重启的。

4.services.exe/svchost.exe: 用于管理启动和停止一些服务。比如打印机服务print spooler,开机后会自动启动,如果没有该服务或该服务没有启用,打印机将无法使用。或者DHCP无法自动分配IP.

5.lsass.exe:

  管理IP安全策略以及启动ISAKMP/Oakley(IKE)和IP安全驱动程序,一般木马喜欢伪装成这个程序


  (猕猴桃,通过注入lsass,达到提取Hash破解电脑密码的效果。)

2.服务选项卡:

  设置了系统的服务状态,保证了系统的正常工作。


  (近期漏洞)CVE-2021-1675:Print Spooler 是 Windows打印后台处理服务,在Windows平台使用打印机的必要服务。攻击者可绕过 RpcAddPrinterDriver 的身份验证,在打印服务器中安装恶意驱动程序。Windows域环境中普通帐户就能利用此漏洞。    


  防护措施:在服务应用cmd→services.msc中找到Print Spooler服务。停止运行服务,同时将“启动类型”修改为“禁用”。

3.本地用户和组

  用户类型:


  Administrator:拥有最高的权限,可以利用它来管理计算机,建立/修改用户和用户组,设置安全策略,为用户账户分配权限等。


  Guest:供没有账户的来宾用户临时使用,权限很小,默认是停用的。


  users:普通用户,权限是没有Administrator大,但是比Guest大。


  组类型:


  user:防止用户进行有意或无意的系统范围的更改,但是可以运行大部分应用程序


  Administrator:管理员对计算机/域有不受限制的完全访问权


  也可以自己创建组,通过设置不同的权限减轻管理负担。

具体操作:(cmd下)

  net user  #可以查看现有账户用户


  net user haha 123 /add   #创建用户(123是密码)


  net user haha /del       #删除用户


  net user haha$ 123/add   #隐藏式创建用户,控制台不可见(后门),但是登录时以及注册表都可查


  影子用户:完全隐藏的账户(详见影子用户文件)


  #新创建的用户一般来说是Users权限,权限相对较低。


  net  localgroup Administrators haha /add  #移动到管理组 (提高权限)


  net  localgroup "Remote Desktop Users" haha /add


  net  localgroup Users haha /del  #从普通用户组删除


  Ps:移动到管理员组后,必须删除掉在用户组的部分。否则很麻烦。

4.系统日志

Winodw事件查看器:win+R→eventvwr.msc

  可以使用Windows自带的事件查看器对相应事件进行排查


  1.系统日志:


      记录了系统异常引起的事件,可以查看系统更新、资源不足等系统日志。


      !表示警告,一般不会严重影响使用


  2.安全日志:


      记录了服务器的登录信息,或一些组策略的审核事件


      远程登陆的时候,登录成功显示审核成功


      远程登陆失败会显示审核失败


  通过事件ID去筛选日志

5.防火墙

如何打开win+R→WF.msc

  防火墙下→入站规则→文件和打印机共享(回显请求 - ICMPv4-In)→属性→禁用即可(禁PING)    

CMD下命令防火墙(必须是管理员权限):

  cmd→net advfirewall /?


  cmd→netsh advfirewall /?  #显示命令列表


  netsh advfirewall show allprofile  #查看当前防火墙信息


    CMD里关闭防火墙:netsh advfirewall set allprofiles state off


    CMD里开启防火墙:netsh advfirewall set allprofiles state on

在文件夹下快速进入当前目录的cmd 直接搜索框删除原内容 输入cmd即可

7.常用命令:

cls   清屏 类似于linux的clear
ver  查看当前系统的版本号
winver   查看windows版本号 跳出类型
hostname  查看计算机名  内网常用命令
vol  查看当前所在的盘符的序列号
label  查看当前分区的卷标
label c:system  修改c盘卷的卷标

time /t  显示当前时间
date /t   显示当前日期
time  显示时间 也可以修改

start命令可以打开程序
start /max notepad.exe    以最大化的方式去执行记事本这个程序  最小化就是min
start tasklist  新打开一个命令行 然后去执行任务表
start iexplorer "www.baidu.com"
exit 关闭命令行
wmic   查看系统的硬件信息 之后可以根据提示输入
systeminfo  查看系统信息
wmic logicaldisk  列出逻辑磁盘
logoff  注销用户
shutdown /s   关闭计算机
shutdown /s /t 3600  在3600秒也就是1h之后关机
shutdown /a   终止系统关闭命令
shutdown /r   重启计算机
format d:/FS:ntfs /Q    快速格式化d盘为文件系统ntfs格式
chkdsk /f d:    修复磁盘d盘的错误
netsh advfirewall set allprofiles state off  关闭防火墙 off->on为开启防火墙

计划任务命令

schtasks /create /sc minute /mo 20 /tn "haha" /tr c:\a.bat     //创建一个名字为haha的计划任务 每20分钟执行一次
schtasks /delete /tn "haha" /f     //删除名为haha的计划任务  /f表示不进行确认
schtasks /run /tn "haha"   立刻运行计划任务
schtasks /end /tn "haha"   停止运行计划任务

windows文本处理类命令

find /N /I "haha" a.txt        斜杠I表示忽略大小写 在a.txt中忽略大小写查找haha字符串 斜杠N表示带着行号显示查找结果 
find /?   查看find命令的提示
find /C "haha" a.txt   统计含有haha的有多少行
findstr "laile" a.txt     在a.txt中发现字符串 并且显示整行
findstr /c:"ai" a.txt    搜索关键词"ai"
findstr /s /i "ai" *.*    忽略大小写 在当前所有的目录和子目录中搜索关键词ai  全局搜索

findstr "^wo" a.txt   以我开头的  在a.txt中搜索 正则表达式搜索
  1.whoami:获取当前登录用户的信息


  2.ver:确定操作系统的版本 (也可以winver 看的更明显)


  3.nslookup:查询DNS记录,查看域名解析是否正常,一般用于检查网络


        使用:nslookup nuistshare.cn


  4.systeminfo:查看系统信息,版本、补丁情况


  5.nestat:检查网络连接情况、端口是否开放  (netstat -ano 可以查看的更加全面)


  6.ipconfig:查看ip


  7.net view:查看局域网内的其他计算机


  8.dir       #查看当前的文件目录


  9.cd XXX     #切换目录(进入到8中的某个目录下)


  14.cd ../   (返回上一级目录) cd ../../ 则返回上两级目录


  10.


  net user 用户名 密码 /add :建立用户


  net user localgroup administrators 用户名 /add :将用户添加到管理员组


  net user localgroup users 用户名 /del:将用户从普通用户组中删除


  net user :查看有哪些用户


  net user 账户名:查看账户信息


  11.arp -a:将内网中MAC地址对应IP地址


  12.start 

www.baidu.com (通过命令行来访问网页)

  13.curl 

www.baidu.com (查看是否之间有数据包的交互)

  15.ren [旧文件名] [新文件名]


  16.type [文件名]    #查看文本信息


  17.copy [源文件] [目标目录]       #copy b.bat D:\


  18.在dos环境下写入文件,交互式的:


         copy con [目标文件名] #输入这行后开始输入需要执行的命令


                                  输入按住Ctrl+C终止输入


  

1.快捷键

CTRL+E:快速打开资源管理器

CTRL+S:快速保存

CTRL+N:新建

win+D:显示桌面

win+R:打开"运行"

win+TAB:项目切换

2.CMD命令

REG ADD "HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run" /v Haha /t REG_SZ /d "C:/a.bat" /f #添加注册表

REG DELETE "HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run" /v Haha /f #删除注册表

REG EXPORT "HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run" C:\haha.reg #EXPORT注册表提取

REG IMPORT C:\haha.reg #IMPORT(安装注册表)

arp -a #将内网中MAC地址对应IP地址

ipconfig #查看ip相关信息

ipconfig -all 或者 ipconfig /all #更加全面的ip相关信息

nestat #检查网络连接情况、端口是否开放 (netstat -ano 可以查看的更加全面)

netstat -ano #查看网络连接状态,进程开启 含端口情况(查看电脑开放了哪些端口)

netstat -ano | findstr “8080” #查看8080端口的开放情况

whoami #获取当前登录用户的信息

ver #确定操作系统的版本 (也可以winver 看的更明显)

nslookup #查询DNS记录,查看域名解析是否正常,一般用于检查网络 例:nslookup nuistshare.cn

systeminfo #查看系统信息,版本、补丁情况

net view #查看局域网内的其他计算机

dir #查看当前的文件目录

cd XXX #切换目录(进入到8中的某个目录下) cd C:\Windows\System32

cd ../ #(返回上一级目录) cd ../../ 则返回上两级目录

net user #查看现有账户用户

net user 账户名 #查看账户信息 net user xiaoming 查看用于的基本信息 所属组

**net user Administrator xxx //修改管理员的密码为xxx(必须是管理员权限下才行) **

net user 用户名 密码 /add #建立用户 用户名和密码 net user haha 123 /add

net user /domain #该参数仅在windows NT Server 域成员的windows NT Workstation计算机上可用。由此判断此用户是否是域成员

net user haha$ 123/add #隐藏式创建用户

net user haha /del #删除用户

net user localgroup administrators 用户名 /add #将用户添加到管理员组

net localgroup "Remote Desktop Users" 用户名 /add #将用户添加到远程组

net user localgroup users 用户名 /del #将用户从普通用户组中删除

start
www.baidu.com #(通过命令行来访问网页)

curl
www.baidu.com #(查看是否之间有数据包的交互)

ren [旧文件名] [新文件名]

type [文件名] #查看文本信息

copy [源文件] [目标目录] #copy b.bat D:\

copy con [目标文件名] #输入这行后开始输入需要执行的命令,输入按住Ctrl+C终止输入

tasklist #cmd下的任务管理器

tasklist /svc #查看当前计算机的进程情况

netsh advfirewall /? #显示防火墙命令列表

netsh advfirewall show allprofile #查看当前防火墙信息

netsh advfirwall set allprofiles state off #关闭防火墙

netsh advfirwall set allprofiles state on #开启防火墙

route print 显示出ip路由,将主要显示网络地址network address 子网掩码netmask 网关地址Gateway address 接口地址 interface

**type c:\read\readme.txt ****//查看相应的文件内容**

3.win+R命令

shell:startup #开机启动程序的目录

regedit #注册表

eventvwr.msc #Winodw事件查看器

WF.msc #防火墙

win+R下 ncpa.cpl #打开网上连接状态

win+R下 control #控制面板

win+R下 mstsc

1.安装python环境,

  1. pip install -i https://pypi.doubanio.com/simple you-get

  2. you-get -i [视屏地址]

  3. 看到视频所有支持的格式

  4. 按照提示去下载视频

举例:可以下载b站的视频 可以把视频 音频 弹幕都给下载下来

快速进入powershell 在相应目录按下shift加鼠标右键即可看到

删除文件 del c:\haha\nihao.txt 可以通过tab键补全名字
windows下的路径用的是反斜杠

time 显示当前时间

time /? 获取time的帮助命令

mkdir /?

dir /b 仅仅显示当前目录下内容的名字 没有创建时间

dir /S 可以看到每个文件夹所有的内容 递归显示所有内容

dir ni* 显示开头是ni的任何内容 正则表达式

tree 目标 以树状结构显示一个文件目录

ren A B 重命名A为B 给目标重命名

ren c:\new\123.txt haha.txt

md c:\test\123 递归创建md即mkdir

rd c:\test remove dir删除文件夹 但是必须是空

rd /s /q c:\test 静默删除test文件夹下的所有东西

copy go.txt c:\haha 复制当前目录下的文本文件到c下的haha文件夹下

copy go.txt c:\haha\gogogo.txt 复制的同时换个名字

copy /Y go1.txt+go2.txt go3.txt 将两个文件的内容合并到go3的文本中

move go1.txt c:\haha 剪切当前目录下的go1的文本到haha文件夹下
也支持改名

del haha 会将haha文件夹里的东西删掉

del /f haha /f表示强制删除

del /f /s /q haha 静默删除haha文件夹里的内容 不询问确认

replace a.txt c:\new 把当前目录下的a.txt 替换到c:\new下的 不用加名字和斜杠

type a.txt 查看a这个文本文件的内容

type a.txt | more 可以用空格键慢慢看

标签: 安全 系统安全

本文转载自: https://blog.csdn.net/weixin_51339377/article/details/124105288
版权归原作者 Simon_Smith 所有, 如有侵权,请联系我们删除。

“Windows操作系统知识合集”的评论:

还没有评论