Windows系统目录
├—WINDOWS
│ ├—system32(存放Windows的系统文件和硬件驱动程序)
│ │ ├—config(用户配置信息和密码信息)
│ │ │ └—systemprofile(系统配置信息,用于恢复系统)
│ │ ├—drivers(用来存放硬件驱动文件,不建议删除)
│ │ ├—spool(用来存放系统打印文件。包括打印的色彩、打印预存等)
│ │ ├—wbem(存放WMI测试程序,用于查看和更改公共信息模型类、实例和方法等。请勿删除)
│ │ ├—IME(用来存放系统输入法文件,类似WINDOWS下的IME文件夹)
│ │ ├—CatRoot(计算机启动测试信息目录,包括了计算机启动时检测的硬软件信息)
│ │ ├—Com(用来存放组件服务文件)
│ │ ├—ReinstallBackups(电脑中硬件的驱动程序备份)
│ │ ├—DllCache(用来存放系统缓存文件。当系统文件被替换时,文件保护机制会复制这个文件夹下的文件去覆盖非系统文件)
│ │ ├—GroupPolicy(组策略文件夹)
│ │
│ ├—system(系统文件夹,用来存放系统虚拟设备文件)
│ ├—
N
t
U
n
i
n
s
t
a
l
l
NtUninstall
NtUninstall(每给系统打一个补丁,系统就会自动创建这样的一个目录,可删除)
│ ├—security(系统安全文件夹,用来存放系统重要的数据文件)
│ ├—srchasst(搜索助手文件夹,用来存放系统搜索助手文件,与msagent文件夹类似)
│ ├—repair(系统修复文件夹,用来存放修复系统时所需的配置文件)
│ ├—Downloaded Program Files(下载程序文件夹,用来存放扩展IE功能的ActiveX等插件)
│ ├—inf(用来存放INF文件。INF文件最常见的应用是为硬件设备提供驱动程序服务,不建议删除其中文件)
│ ├—Help(Windows帮助文件)
│ ├—Config(系统配置文件夹,用来存放系统的一些临时配置的文件)
│ ├—msagent(微软助手文件夹,存放动态的卡通形象,协助你更好地使用系统。若觉得没有必要,可直接删除)
│ ├—Cursors(鼠标指针文件夹)
│ ├—Media(声音文件夹,开关机等wav文件存放于此)
│ ├—Mui(多语言包文件夹,用来存放多国语言文件。简体中文系统中这个文件夹默认是空的,但不建议删除此文件夹)
│ ├—java(存放Java运行的组件及其程序文件。不建议删除其中文件)
│ ├—Web
│ │ ├—Wall*****(存放桌面壁纸的文件夹)
│ │
│ ├—addins(系统附加文件夹,用来存放系统附加功能的文件)
│ ├—Connection Wizard(连接向导文件夹,用来存放“Internet连接向导”的相关文件)
│ ├—Driver Cache(驱动缓存文件夹,用来存放系统已知硬件的驱动文件)
│ │ └—i386(Windows操作系统自带的已知硬件驱动文件,可删除以节省空间)
│ ├—TEMP(系统临时文件夹,其中内容可以全部删除)
│ ├—twain_32(扫描仪相关)
│ ├—AppPatch(应用程序修补备份文件夹,用来存放应用程序的修补文件)
│ ├—Debug(系统调试文件夹,用来存放系统运行过程中调试模块的日志文件)
│ ├—Resources(系统资源文件夹,用来存放系统SHELL资源文件,就是我们在桌面上所看到的主题)
│ │ └—Themes(桌面主题都存放于此,可删除无用主题)
│ ├—WinSxS(存储各个版本的Windows XP组件,减少因为DLL文件而引起的配置问题)
│ ├—ime(输入法信息)
│ ├—PCHealth(用来存放协调、配置和管理计算机正常运行的文件)
│ │ └—HelpCtr(帮助和支持)
│ │ ├—Binaries(我们常用的msconfig就在这里哟)
│ ├—Offline Web Pages(脱机浏览文件存放于此)
│ ├—Prefetch(预读取文件夹,用来存放系统已访问过的文件的预读信息(此信息是系统在访问时自动生成的新信息),以加快文件的访问速度,其扩展名为“PF”。可以将此文件夹中的文件删除)
│ ├—ShellNew
│ ├—Fonts(字体文件夹。要安装某种字体只需将字体文件复制到该目录下即可)
│ ├—pss(用来备份系统启动配置文件的,一般对“Boot.ini”、“System.ini”和“Win.ini”三个文件进行备份,扩展名为“backup”。如果系统原有的这三个文件损坏的话,可以从这里进行恢复。不建议删除)
│ ├—Registration(注册文件夹,用来存放用于系统COM+或者其他组件注册的相关文件。不建议删除这里的文件)
│ └—Downloaded Installations(存放一些使用Windows Installer技术的安装程序,主要用来对程序进行修复等操作)
├—Documents and Settings
│ ├—Default User
│ │ ├—Application Data(通用应用程序数据文件夹。此处存放着已经安装的一些应用程序的专用数据)
│ │ ├—桌面
│ │ ├—Favorites(收藏夹)
│ │ ├—NetHood(网络共享目录)
│ │ ├—My Documents(我的文档)
│ │ ├—PrintHood(打印共享目录)
│ │ ├—Recent(最近打开的文档)
│ │ ├—SendTo(鼠标右键发送到)
│ │ ├—「开始」菜单
│ │ ├—Templates(模板文件夹,可能有Word、Excel等的模板文件)
│ │ └—Local Settings
│ │ ├—Application Data
│ │ └—Temp(临时文件目录。在系统和软件的运行过程中产生的临时文件就存放在于此。需定期清理)
│ │ └—Temporary Internet Files(Internet临时文件夹。需定期清理)
│ ├—All Users(所有用户文件夹,这里的更改对所有用户有效)
│ └—Administrator(系统管理员帐户的文件夹)
├—Program Files
│ ├—Common Files(共享的应用程序文件存放于此)
│ ├—Internet Explorer(IE浏览器)
│ ├—ComPlus Applications(COM+ 组件的配置和跟踪,一般为空)
│ ├—Windows Media Player(WINDOWS媒体播放器)
│ ├—WindowsUpdate(用于Windows的升级,可删除)
│ ├—InstallShield Installation Information
│ ├—Uninstall Information(存放软件卸载信息,删除后可能导致部分软件无法卸载)
├—wmpub(windowsmedia service的目录)
├—boot(一键还原等软件的文件夹)
├—Inetpub(IIS文件夹)
├—Downloads(Flashget默认下载文件夹)
├—System Volume Information(系统还原文件夹)
Windows服务
Microsoft Windows 服务(即,以前的 NT 服务)使您能够创建在它们自己的 Windows 会话中可长时间运行的可执行应用程序。这些服务可以在计算机启动时自动启动,可以暂停和重新启动而且不显示任何用户界面。这种服务非常适合在服务器上使用,或任何时候,为了不影响在同一台计算机上工作的其他用户,需要长时间运行功能时使用。还可以在不同于登录用户的特定用户帐户或默认计算机帐户的安全上下文中运行服务。
打开服务
- 右击“我的电脑”打开计算机管理
- Ctrl+r 打开运行
- 输入 services.msc 回车打开
服务的作用
- 决定计算机启用哪些功能
- 不同的服务对应不同功能
- 通过计算机提供的服务实现资源共享
常见的服务
1、Network Connections 管理“网络和拨号连接”文件夹中对象,在其中你可以查看局域网和远程连接(禁用此服务定IP地址不能修改)
2、Logical Disk Manager 禁用该服务,查看磁盘的将提示“无法连接到逻辑磁盘管理器服务”
3、Workstation 使用 SMB 协议创建并维护客户端网络与远程服务器之间的连接,如果此服务已停止,无法使用共享
4、Background Intelligent Transfer Service 使用空闲网络带宽在后台更新,如果该服务被禁用,则依赖于 BITS 的任何应用程序(如 Windows 更新
5、DHCP Client 为此计算机注册并更新 IP 地址,如果此服务停止,计算机将不能接收动态 IP 地址和 DNS 更新。如果此服务被禁用,所有明确依赖它的服务都将不能启动
6、Messenger 用于互联网中发送消息 eg:net send x.x.x.x 消息内容 发送消息到指定IP
net send * 消息内容 给所有计算机以送信息
net send /domain:workgroup 消息内容 发送消息到工作组
7、Print Spooler 该服务在后台执行打印作业并处理与打印机的交互,如果关闭该服务,则无法进行打印或查看打印机
8、Remote Registry 远程用户能够修改此计算机上的注册表设置,如果此服务被终止,只有此计算机上的用户才能修改注册表
9、Secondary Logon 在不同凭据下启用启动过程,如果此服务被停止,这种类型的登录访问将不可用
10、Server 支持此计算机通过网络的文件、打印、和命名管道共享,如果服务停止,这些功能不可用
11、Task Scheduler 使用户可以在此计算机上配置和计划自动任务,此服务还托管多个 Windows 系统关键任务,如果此服务被停止或禁用,这些任务将无法在计划的时间运行。
12、Telnet 使用命令提示符进行远程管理
13、Themes 为用户提供使用主题管理的体验
14、Windows Time 维护在网络上的所有客户端和服务器的时间和日期同步,如果此服务被停止,时间和日期的同步将不可用
示例:telnet
- 在主机中打开控制面板–》程序—》安装程序telnet客户端
- 在虚拟机中打开telnet服务,并且查看ip地址
- 在主机命令提示符中输入 : telnet 虚拟机IP地址
- 按照提示进行操作即可
端口
1、端口类型
TCP端口和UDP端口。由于TCP和UDP 两个协议是独立的,因此各自的端口号也相互独立,比如TCP有235端口,UDP也 可以有235端口,两者并不冲突。
1.周知端口(Well Known Ports)
周知端口是众所周知的端口号,范围从0到1023,其中80端口分配给WWW服务,21端口分配给FTP服务等。我们在IE的地址栏里输入一个网址的时候是不必指定端口号的,因为在默认情况下WWW服务的端口是“80”。
网络服务是可以使用其他端口号的,如果不是默认的端口号则应该在 地址栏上指定端口号,方法是在地址后面加上冒号“:”(半角),再加上端口号。比如使用“8080”作为WWW服务的端口,则需要在地址栏里输入“网址:8080”。
但是有些系统协议使用固定的端口号,它是不能被改变的,比如139 端口专门用于NetBIOS与TCP/IP之间的通信,不能手动改变。
2.动态端口(Dynamic Ports)
动态端口的范围是从49152到65535。之所以称为动态端口,是因为它 一般不固定分配某种服务,而是动态分配。
3.注册端口
端口1024到49151,分配给用户进程或应用程序。这些进程主要是用户选择安装的一些应用程序,而不是已经分配好了公认端口的常用程序。这些端口在没有被服务器资源占用的时候,可以用用户端动态选用为源端口。
2、保护端口
刚接触网络的朋友一般都对自己的端口很敏感,总怕自己的电脑开放了过多端口,更怕其中就有后门程序的端口,但由于对端口不是很熟悉,所以也没有解决办法,上起网来提心吊胆。其实保护自己的端口并不是那么难,只要做好下面几点就行了:
- 查看:经常用命令或软件查看本地所开放的端口,看是否有可疑端口;
- 判断:如果开放端口中有你不熟悉的,应该马上查找端口大全或木马常见端口等资料(网上多的很),看看里面对你那个可疑端口的作用描述,或者通过软件查看开启此端口的进程来进行判断;
- 关闭:如果真是木马端口或者资料中没有这个端口的描述,那么应该关闭此端口,你可以用防火墙来屏蔽此端口,也可以用本地连接-TCP/IP-高级-选项-TCP/IP筛选,启用筛选机制来筛选端口;
注意:判断时候要慎重,因为一些动态分配的端口也容易引起你多余的怀疑,这类端口一般比较低,且连续。还有,一些狡猾的后门软件,他们会借用80等一些常见端口来进行通信(穿透了防火墙),令人防不胜防,因此不轻易运行陌生程序才是关键。
怎样查看端口
一台服务器有大量的端口在使用,怎么来查看端口呢?有两种方式:一种是利用系统内置的命令,一种是利用第三方端口扫描软件。
1.用“netstat /an”查看端口状态
在Windows 2000/XP中,可以在命令提示符下使用“netstat /an”查 看系统端口状态,可以列出系统正在开放的端口号及其状态.
2.用第三方端口扫描软件
第三方端口扫描软件有许多,界面虽然千差万别,但是功能却是类似 的。这里以“Fport” 为例讲解。“Fport”在命令提示符下使用,运行结果与“netstat -an”相似,但是它不仅能够列出正在使用的端口号及类型,还可以列出端口被哪个应用程序使用。
3、常用端口
1.HTTP协议代理服务器常用端口号:80/8080/3128/8081/9098
2.SOCKS代理协议服务器常用端口号:1080
3.FTP(文件传输)协议代理服务器常用端口号:21
4.Telnet(远程登录)协议代理服务器常用端口号:23
HTTP服务器,默认端口号为80/tcp(木马Executor开放此端口)
HTTPS(securely transferring web pages)服务器,默认端口号为443/tcp 443/udp
Telnet(不安全的文本传送),默认端口号为23/tcp(木马Tiny Telnet Server所开放的端口)
FTP,默认的端口号为21/tcp(木马Doly Trojan、Fore、Invisible FTP、WebEx、WinCrash和Blade Runner所开放的端口)
TFTP(Trivial File Transfer Protocol),默认端口号为69/udp
SSH(安全登录)、SCP(文件传输)、端口号重定向,默认的端口号为22/tcp
SMTP Simple Mail Transfer Protocol(E-mail),默认端口号为25/tcp(木马Antigen、Email Password Sender、Haebu Coceda、Shtrilitz Stealth、WinPC、WinSpy都开放这个端口)
POP3 Post Office Protocol(E-mail),默认端口号为110/tcp
Webshpere应用程序,默认端口号为9080
webshpere管理工具,默认端口号9090
JBOSS,默认端口号为8080
TOMCAT,默认端口号为8080
WIN2003远程登录,默认端口号为3389
Symantec AV/Filter for MSE,默认端口号为 8081
Oracle 数据库,默认的端口号为1521
ORACLE EMCTL,默认的端口号为1158
Oracle XDB(XML 数据库),默认的端口号为8080
Oracle XDB FTP服务,默认的端口号为2100
MS SQL*SERVER数据库server,默认的端口号为1433/tcp 1433/udp
MS SQL*SERVER数据库monitor,默认的端口号为1434/tcp 1434/udp
注册表
注册表(Registry,繁体中文版Windows操作系统称之为登录档)是Microsoft Windows中的一个重要的数据库,用于存储系统和应用程序的设置信息。早在Windows 3.0推出OLE技术的时候,注册表就已经出现。随后推出的Windows NT是第一个从系统级别广泛使用注册表的操作系统。但是,从Microsoft Windows 95操作系统开始,注册表才真正成为Windows用户经常接触的内容,并在其后的操作系统中继续沿用至今。
注册表的作用
注册表是windows操作系统中的一个核心数据库,其中存放着各种参数,直接控制着windows的启动、硬件驱动程序的装载以及一些windows应用程序的运行,从而在整个系统中起着核心作用。这些作用包括了软、硬件的相关配置和状态信息,比如注册表中保存有应用程序和资源管理器外壳的初始条件、首选项和卸载数据等,联网计算机的整个系统的设置和各种许可,文件扩展名与应用程序的关联,硬件部件的描述、状态和属性,性能记录和其他底层的系统状态信息,以及其他数据等。
具体来说,在启动Windows时,Registry会对照已有硬件配置数据,检测新的硬件信息;系统内核从Registry中选取信息,包括要装入什么设备驱动程序,以及依什么次序装入,内核传送回它自身的信息,例如版权号等;同时设备驱动程序也向Registry传送数据,并从Registry接收装入和配置参数,一个好的设备驱动程序会告诉Registry它在使用什么系统资源,例如硬件中断或DMA通道等,另外,设备驱动程序还要报告所发现的配置数据;为应用程序或硬件的运行提供增加新的配置数据的服务。配合ini文件兼容16位Windows应用程序,当安装—个基于Windows 3.x的应用程序时,应用程序的安装程序Setup像在windows中—样创建它自己的INI文件或在win.ini和system.ini文件中创建入口;同时windows还提供了大量其他接口,允许用户修改系统配置数据,例如控制面板、设置程序等。
如果注册表受到了破坏,轻则使windows的启动过程出现异常,重则可能会导致整个windows系统的完全瘫痪。因此正确地认识、使用,特别是及时备份以及有问题恢复注册表对windows用户来说就显得非常重要。
注册表结构
注册表由键、子键和值项构成,一个键就是分支中的一个文件夹,而子键就是这个文件夹中的子文件夹,子键同样是一个键。一个值项则是一个键的当前定义,由名称、数据类型以及分配的值组成。一个键可以有一个或多个值,每个值的名称各不相同,如果一个值的名称为空,则该值为该键的默认值。
1、HKEY_CLASSES_ROOT 用于控制所有文件的扩展和所有可执行文件相关的信息,本章提到的Windows自定义协议也是在此项中注册产生的(在后面章节将详细讲述);
2、HEKY_CURRENT_USER 用于管理系统当前的用户信息,及其应用程序的相关资料,例如:当前登录的用户信息,包括用户登录用户名和暂存的密码、当前用户使用的应用软件信息等。用户登录时,其信息会在HEKY_USER表中拷贝到此表中,当HEKY_USER表中信息发生改动时,HEKY_CURRENT_USER表中的信息也将随之改动;
3、HKEY_CURRENT_MACHINE 用于存储控制系统和软件的信息,当中包括网络和硬件上所有的软件设备信息,比如文件的位置,注册和未注册的状态,版本号等等;比较常用的例如在HKEY_LOCAL_MACHINE\Microsoft\Windows\CurrentVersion\Run下注册程序,程序就会在Windows启动时自动运行等等。其实在HKEY_LOCAL_MACHINE\SOFTWARE\Classes里面就包含了HKEY_CLASSES_ROOT信息,而HKEY_CLASSES_ROOT只是它的一个键值的映射,方便信息管理而已;
4、HEKY_USER 作用是把缺省用户和目前登陆用户的信息输入到注册表编辑器,但它仅被那些配置文件激活的登陆用户使用。当任何在HKEY_CURRENT_USER里的信息发生改变,HKEY_USERS里面的信息也会相应改动。
5、HKEY_CURRENT_CONFIG 用于存储当前系统的配置方式,例如当Windows为同一个硬件安装有多种驱动程序时,会在HEKY_CUREENT_MACHINE中记录多个程序信息,而在HEKY_CURRENT_CONFIG中只是存储默认使用的驱动信息,Windows 启动时会默认按照HEKY_CURRENT_CONFIG中的配置调用相关的驱动程序;
1303
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
