安全见闻（4）——操作系统和驱动程序

声明：

本课程内容均来源于B站up主泷羽sec，本文章只有学习作用，其他的导致后果与本人无关。如有涉及侵权马上删除文章。

内容：

操作系统：

• 懂操作系统就掌握内网渗透和域渗透，懂操作系统中的一些操作机制就会逆向分析。达到这种程度说明你会了某项技术就会分析潜在的问题点，潜在的漏洞点，潜在的安全问题。
• 但是光懂操作系统肯定搞不了web渗透，因为二者没有很强关系。因此，作为安全人员，操作系统懂常规内容即可，之后遇见少见的当场研究即可。

操作系统必会知识：

注册表：（只有windows有，linux没有，但有类似的）

一、简介：Windows操作系统中的一个核心数据库，用于存储系统和应用程序的设置信息。注册表包含了硬件设备、驱动程序、用户设置、软件配置等信息，是Windows系统配置和运行的关键部分。

二、进入方式：通过win + r 打开系统运行窗口，然后输入regedit,回车进入

三、注册表位置：C:\Windows\System32\config

画横线的是注册表文件，但是不能直接打开，只能使用注册表编辑器对这些文件进行操作。注意，不要轻易尝试删除注册表文件！

四、注册表结构：注册表由键（或称为项）、子键（子项）以及值组成，以树状结构组织。每个键都有一个唯一的名称，用于标识特定的配置信息。子键是键的子级，可进一步细分配置信息。值则是键或子键的具体数据，可以是字符串、整数、二进制数据等类型。在Windows中，有五大跟腱。

防火墙：

一、简介：一种网络安全系统，由软件和硬件组成，位于内部网络和外部网络之间，用于监控和控制进出网络的数据流。防火墙可以阻止未经授权的访问，保护网络不受外部攻击。

二、进入方式：windows下通过设置搜索防火墙，进入防火墙与网络保护，点击高级设置可以进入更详细的页面。

三、作用：防火墙的主要作用是根据预定的安全规则来决定哪些数据包可以通过，哪些被阻止。这些规则可以基于数据包的来源地址、目的地址、端口号以及协议类型等进行设置。此外，防火墙还可以提供日志记录功能，记录所有通过网络的数据包的信息，以便进行审计和故障排除。

自启动：

一、简介：指程序或服务在操作系统启动时自动运行的过程。在Windows中，可以通过注册表、启动目录或计划任务来实现自启动，使某些程序或脚本在开机时自动执行。

二、分类：

（1）用户自启动：针对当前登录用户

位置：C:\Users\用户名\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup

快捷方式：win+r：然后输入：shell: startup

（2）系统自启动：针对所有用户

位置：C:\ProgramData\Microsoft\Windows\Start Menu\Programs\StartUp

快捷方式：win+r：然后输入：shell: common startup

三、程序自启动方式：有开始菜单、注册表编辑和计划任务三种方式，具体方式可以看这位师傅的Win10添加开机自动运行软件三种方法(亲测可用)_win10 自动执行-CSDN博客

计划任务：

一、简介：操作系统提供的一种功能，允许用户安排程序或脚本在指定的时间自动运行。计划任务可以用于执行定期维护、备份或其他自动化任务。

事件日志：

操作系统记录的事件列表，包括系统启动、关闭、错误、警告和信息等。事件日志可以帮助管理员监控系统状态，诊断问题和审计安全事件。

内核驱动：

直接与操作系统内核交互的软件组件，用于扩展操作系统的功能或与硬件设备通信。内核驱动负责管理硬件资源，如打印机、网卡等，确保它们正常工作。

系统服务：

在后台运行的程序，为操作系统或其他程序提供特定的功能。系统服务通常在系统启动时自动运行，并在后台持续运行，以支持系统的正常运行。

进程线程：

进程是程序的一次执行实例，而线程是进程中的一个执行路径。一个进程可以包含多个线程，它们共享进程的资源，但可以独立执行任务。多线程可以提高程序的执行效率和响应速度。

系统编程：

编写与操作系统核心功能直接交互的代码，如设备驱动程序、系统服务等。系统编程通常涉及底层语言和API，要求开发者对操作系统的内部结构和机制有深入的了解。

驱动程序：（软件程序的一种）

1.潜在漏洞：内网渗透、逆向工程、病毒分析、安全对抗、外挂保护（如果想绕过外挂保护就

要用到驱动程序的底层原理和它对抗）

2.分类：

• 内核驱动- 定义：内核驱动是一种直接与操作系统内核交互的驱动程序，它负责管理系统资源的使用，如内存、I/O端口等。- 作用：内核驱动主要作用是提供硬件抽象层，使得应用软件可以通过统一的接口访问底层硬件，而无需关心硬件的具体实现细节。例如，在Linux系统中，内核驱动通过file operations结构体注册给内核，提供了open, close, read, write等系统调用接口。
• 设备驱动- 定义：设备驱动是操作系统中用于控制特定类型硬件设备的软件组件，它是操作系统内核和机器硬件之间的接口。- 作用：设备驱动的主要作用是对硬件设备进行初始化和释放，管理数据的传输，以及检测和处理设备错误。它们为应用程序屏蔽了硬件的细节，使得应用程序可以像操作普通文件一样对硬件设备进行操作。

3.驱动主要是控制硬件和操作系统内核的，Windows 内核是 exe 程序，总的来说操作系统就是

一个软件，驱动程序也是软件，但是这个软件运行比较底层。

总结：

1.操作系统需要学，但只学习常规的，少见的遇见再学

2.驱动程序虽然与web渗透关系不大，但要了解

3.不要坐井观天，不做井底之蛙