护网笔记（三)-Windows基础、常用服务和入侵排查

计算机组成

计算机硬件：
控制器
运算器
控制器+运算器 == CPU

存储器：

1. 内存
2. 外存
   输入设备
   输出设备

CPU

中央处理器，主要负责复杂的计算和处理，在一定范围上控制并管理其他硬件

根据指令集设计理念的不同CPU分为精简指令集和复杂指令集
精简指令集：常见的如ARM、SPARC架构。ARM一般用于手机、导航系统、网络设备等。SPARC架构一般用于学术工作站和金融体系服务器
复杂指令集：常见的如英特尔的和AMD的x86架构。

显卡

显卡负责画面的渲染和输出
常见的显卡：集成显卡、核心显卡、独立显卡。
显卡可以分成五部分：显卡芯片、显存、PCB版、视频输出接口、散热器
显卡芯片：我们统称为GPU芯片、GPU核心
主流显卡厂商：AMD和NVIDIA（英伟达）
AMD显卡一般称A卡，英伟达一般称N卡

显存，即显卡缓存
是一块一块的黑色集成块，通常称为显存微粒，它们被焊在GPU核心的四周，他们的作用是存储显卡芯片处理过或即将处理提取的数据。
视频输出接口
接口类型：指的是一个接口的形状和设计、
接口协议：接口协议决定了接口使用的速度和带宽。
视频输出接口常用的有四种：VGA,DVI,HDMI,DP
可以在设备管理器中查看本机的显卡类型：

存储器

存储器可以分为寄存器、高速缓存、内存、磁盘、磁带等

寄存器：L1缓存，材质与CPU相同，CPU访问几乎无延时（一般在CPU内部）

高速缓存：L2缓存，价格昂贵、所以空间有限。访问有1~2ms的延迟（一般在主板或者 CPU上)

内存：分为RAM和ROM两种

RAM(内存）：random-access memory 随机存储器，断电后数据消失

ROM：Read-Only Memory 只读存储器，存取速度和内存一致，断电后数据不消失，内含写死的BIOS系统。

windows

Windows操作系统，是由美国微软公司（Microsoft）研发的操作系统，问世于1985年。起初是MS-DOS模拟环境，后续由于微软对其进行不断更新升级，提升易用性，使Windows成为了应用最广泛的操作系统 。
Windows采用了图形用户界面（GUI），比起从前的MS-DOS需要输入指令使用的方式更为人性化。随着计算机硬件和软件的不断升级，Windows也在不断升级，从架构的16位、32位再到64位，系统版本从最初的Windows 1.0到大家熟知的Windows 95、Windows 98、Windows 2000、Windows XP、Windows Vista、Windows 7、Windows 8、Windows 8.1、Windows 10、Windows 11和Windows Server服务器企业级操作系统，微软一直在致力于Windows操作系统的开发和完善 。

Windows历年漏洞

win系统默认安全配置

主机安全：
常见CMD维护命令的使用
账号安全策略
文件系统安全
系统服务安全设置
配置注册表提高系统安全性
系统进程和端口检查分析
日志安全
IPSEC安全
组策略安全
WSH组件的安全——NTFS
windows下自带的安全工具和第三方的安全工具
其他一些零碎的安全设置
windows下的病毒手工查杀

虚拟机

虚拟化架构

1. 寄居架构:

虚拟化寄居架构是指在我们真实的操作系统（windows）上安全一个虚拟化软件，然后再在虚拟化软件中安装虚拟系统。它稳定性不是很高当真实机宕掉后，这上面的虚拟系统都会宕掉。所以这种架构一般用于个人，比如个人搭建测试环境。

它们之间的顺序是：虚拟化系统 (依赖)—>虚拟化平台(软件)—>真实操作系统。

2. 原生架构:

虚拟化原生架构是虚拟软件直接安装在硬件上的，不会再依赖操作系统。这种架构一般应用再企业，应为它比较稳定。

虚拟机产品

VMware（常用）
https://www.vmware.com/cn.html
Hype-V

Vmware界面


VMware ESXi安装：
详见
https://blog.csdn.net/miss1181248983/article/details/84029607

Linux安装：
本处略
详见参考：
http://c.biancheng.net/view/714.html

网络设置

网络设置参考博客

1. 桥接

桥接模式就是将主机网卡与虚拟机虚拟的网卡利用虚拟网桥进行通信。在桥接的作用下，类似于把物理主机虚拟为一个交换机，所有桥接设置的虚拟机连接到这个交换机的一个接口上，物理主机也同样插在这个交换机当中，所以所有桥接下的网卡与网卡都是交换模式的，相互可以访问而不干扰。在桥接模式下，虚拟机ip地址需要与主机在同一个网段，如果需要联网，则网关与DNS需要与主机网卡一致。

这个相当于在一个局域网内创立了一个单独的主机，他可以访问这个局域网内的所有的主机，但是需要手动来配置IP地址，子网掩码，并且他是和真实主机在同一个网段（nat是两个网段），这个模式里，虚拟机和宿主机可以互相ping通。
具体配置时将linux的ip地址设置为与本地机相同的网段，不同的ip主机号，其他子网掩码、网关和DNS配置成主机一样。

2. Hos-only (主机模式)
   vmnet1:
   主机模式的目的是建立一个与外部隔离的内部网络，有时要设置独立的虚拟网络，进行特殊的网络测试工作。
3. NAT模式
   NAT模式中，就是让虚拟机借助NAT(网络地址转换)功能，通过宿主机器所在的网络来访问公网。

NAT模式中，虚拟机的网卡和物理网卡的网络，不在同一个网络，虚拟机的网卡，是在vmware提供的一个虚拟网络。

NAT和桥接的比较:
(1) NAT模式和桥接模式虚拟机都可以上外网。
(2)由于NAT的网络在vmware提供的一个虚拟网络里，所以局域网其他主机是无法访问虚拟机的，而宿主机可以访问虚拟机，虚拟机可以访问局域网的所有主机，因为真实的局域网相对于NAT的虚拟网络，就是NAT的虚拟网络的外网，不懂的人可以查查NAT的相关知识。
(3) 桥接模式下，多个虚拟机之间可以互相访问；NAT模式下，多个虚拟机之间也可以相互访问。

DOS命令

DOS（磁盘操作系统）命令，是DOS操作系统的命令，是一种面向磁盘的操作命令，主要包括目录操作类命令、磁盘操作类命令、文件操作类命令和其它命令。
在window系统中，按下windows+R,输入cmd即可进入dos中，这时我们可以看到显示如下所示：

DOS命令不区分大小写，比如C盘的Program Files，在dos命令中完全可以用"progra~1"代替，加上英文引号是因为名称的中间有空格（即多于一个词）。

常用命令:

（1）查看目录内容命令 DIR

（2）指定可执行文件搜索目录 PATH

（3）创建目录命令 MD

（4）打开指定目录命令 CD

（5）删除当前指定的子目录命令 RD

（6）改变当前盘符命令 C:

（7）文件复制命令 COPY

（8）显示文本文件内容命令 TYPE

（9）更改文件名命令 REN

（10）删除文件命令 DEL

（11）清除屏幕命令 CLS

DOS命令特殊命令

重复上一次输入的命令，可以使用F3键来完成，同时DOS下存在一个doskey的命令记录器，
在命令行上执行doskey后将可以实现以下功能：

1、向上箭头"↑"和向下箭头"↓"-----回看上一次执行的命令

2、"Ctrl+C" 组合键或"Break"键 -----中断操作

3、鼠标操作"标记" -----------------用来选中文本

4、鼠标操作"粘贴" -----------------用来把剪贴板内容粘贴到提示符下

5、"F7"键 --------------------------查看及执行用过的命令

6、"/?" ----------------------------指定命令帮助

7、">" 及">>" ----------------------文件重定向

cd指令

可以使用 cd/?查看cd的帮助，其他指令类似

使用 cd … 退回上一级
输入cd，那么就会得到当前目录
使用 cd/ 则直接回到C盘的根目录下
如果希望可以快速进入某一个目录，我们可以先打开那个目录，复制下那个目录所在的位置，然后我们将复制的路径放在 cd “” 其中的引号之中，例如cd “C:\Users\Administrator.ssh”,回车之后，就可以到这个文件中了

注意：这种方法只适合于快速进入磁盘的文件，如果不在同一个盘，则需要先进入那个盘。

但是我们如果希望打开其中的github_rsa.pub文件，就需要使用more 命令了，即输入： more github_rsa.pub 如下所示可得到其中的文件（我们不能直接将之打开）：

dir指令

使用dir /A 可以过滤特定的文件，比如我们希望得到只读文件，可以使用dir /AR

md命令和rd命令

md命令可以用于创建新的子目录（文件）,
rd命令可以用于删除文件，其英文为Remake Directory(即删除目录的缩写)。

COPY

含义：拷贝文件

格式：COPY [ 源目录或文件 ] [ 目的目录或文件 ]

举例1：COPY C:*.COM D:"，表示将C盘根目录下所有扩展名为COM的文件拷贝到D盘根目录中。

举例2：COPY C:autoexec.bat C:autoexec.bak

表示将autoexec.bat文件复制成为扩展名为BAK的文件。输入DIR命令，可以发现此变化。

DEL

含义：删除文件

格式：DEL [盘符][路径][文件名] [参数]

举例：DEL C: *.BAK /P

表示删除当前目录下所有扩展名为BAK的文件，参数/P表示可以使用户在删除多个文件时对每个文件都显示删除询问。

SYS

含义：传递系统文件命令。

格式：SYS [源盘符][目的盘符]

举例：SYS C: A:

此命令将为A盘传送系统，传送成功后，A盘将成为系统启动盘。

type

查看文件
type 文件名.拓展名 | more
https://blog.csdn.net/wb1046329430/article/details/115425570

其他命令

ping 检查网络连通情况和分析网络速度
ipconfig 查看电脑ip
nclookup 查询DNS的记录
tracert 路由追踪器命令
netstat 它可以显示路由表、实际的网络连接以及每一个网络接口设备的状态信息
…

常用的外部指令

DOS的外部命令就是一些应用程序，这些外部命令都是以文件的形式存在，Windows系统的DOS外部命令保存在Windows主目录下的Command目录中。下面来介绍几个常用的DOS外部命令。
EDIT

含义：简单的编辑软件，可以用它来编辑一些程序和批处理文件。

格式：EDIT [盘符][文件名]
　　
FORMAT

含义：格式化命令，可以完成对软盘和硬盘的格式化操作。

格式：FORMAT [盘符] [参数]

举例：FORMAT A: /S/Q
　　此命令将格式化A盘，其中参数/Q表示进行快速格式化，/S表示完成格式化后将系统引导文件拷贝到该磁盘，这样软件就可以作为DOS系统启动盘 了。格式化过程中，屏幕上会显示已经完成的百分比。格式化完成后，会提示为磁盘起一个名字，最后还会报告磁盘的总空间和可利用空间等。
　　
XCOPY

含义：拷贝命令

格式：XCOPY [源路径][源目录/文件名] [目的目录/文件名] [参数]

举例：XCOPY C:ABC D: /s

执行此命令后，将把C:ABC目录及其目录中的文件全部拷贝到D盘根目录下，XCOPY是COPY的增强命令，可以实现对多个子目录进行拷贝。最常用的参数是/S，它可以对一个目录下的所有子目录进行拷贝。
　　
DELTREE

含义：删除目录树

格式：DELTREE [盘符][路径]

举例：DELTREE ARE

表示删除当前路径下的ARE子目录，执行后会提示是否确认删除，按下Y，即可删除

windows账户

用户账户：

administrator #管理员账户
guest #来宾账户，一般被禁用

常用攻击手段：

1. 暴力破解：一般指枚举
2. 撞库：是指黑客通过搜集互联网已泄露的用户和密码信息，生成对应的字典表，通过跑字段完成攻击（很多用户在不同网站使用的是一样的账号密码）

用户账户分为本地用户账户和全局用户账户（域用户账户）

计算机服务组件相关的系统账号：

system #系统账号 == 最高权限，为windows核心组件访问文件等资源提供权限
local services #本地服务账号 == 权限等于普通用户
network services #网络服务账户 == 权限等于普通用户

创建用户注意事项：
必须提供本地计算机上administrator账户的凭证，或必须是本地计算机上administrator组的成员。

可以使用 net user查看所有用户

常用服务

DHCP服务

DHCP（动态主机配置协议）是一个局域网的网络协议。指的是由服务器控制一段IP地址范围，客户机登录服务器时就可以自动获得服务器分配的IP地址和子网掩码。默认情况下，DHCP作为Windows Server的一个服务组件不会被系统自动安装，还需要管理员手动安装并进行必要的配置。

作用：自动分配地址，减少工作量、避免ip冲突、提高地址利用率

相关概念：地址池/作用域（ip，子网掩码、网关、DNS、租期、UDP协议端口号 67/68）

DHCP原理

常见攻击手段：

1. 消耗地址池资源型

IIS服务

微软server ： IIS可以发布web网站和FTP网址
IIS是一种Web（网页）服务组件，其中包括Web服务器、FTP服务器、NNTP服务器和SMTP服务器，分别用于网页浏览、文件传输、新闻服务和邮件发送等方面，它使得在网络（包括互联网和局域网）上发布信息成了一件很容易的事。
我们可以搭建一个小型的web服务器，让我们的电脑成为服务器，通过浏览器可以访问到我们的网页。

文件共享服务（SMB）

协议SMB，使用的是TCP的445端口
著名漏洞：

CVE-2020-0796 SMB远程代码执行漏洞
https://blog.csdn.net/adminxe/article/details/106744182
开启共享文件夹：（开启有风险）

应急响应

windows入侵排查

常见的应急响应事件分类：
Web入侵：
网页挂马，主页篡改，WebShell
系统入侵：
病毒木马，勒索软件，远控后门
网络攻击：
DDOS攻击，DNS劫持，ARP欺骗

排查思路

1. 查看服务器是否有弱口令，远程管理端口是否对公网开放
   检查方法：
   据实际情况咨询相关服务管理员
2. 查看服务器是否存在可疑账号、新增账号
   检查方法：
   打开cmd窗口，输入 lusrmgr.msc 命令，查看是否有新增/可疑账号，如有管理员组的新增账户，如有，立即删除或禁用掉。
3. 查看服务器是否有隐藏账号或者克隆账号
   检查方法：
   a. 打开注册表，查看管理员对应键值
   b.使用D盾查杀
   
   

D盾使用参考：
https://www.linktrust.net/tools/163.html

4. 结合日志，查看管理员登录时间，用户名是否存在异常

• 检查方法：

  a、Win+R 打开运行，输入"eventvwr.msc"，回车运行，打开“事件查看器”。

  b、导出 Windows 日志 – 安全，利用微软官方工具 Log Parser 进行分析。

工具参考：
https://www.cnblogs.com/luoyong0201/p/Dynamics_365_Log_Parser.html

5. 检查端口连接情况，是否有远程连接、可疑连接。
   检查方法：
   a、使用netstat -ano 命令查看目前的网络连接，定位可疑的 ESTABLISHED
   b、根据 netstat 命令定位出的 PID 编号，再通过 tasklist 命令进行进程定位 tasklist | findstr "PID"

6. 进程
   检查方法：
   a、开始 – 运行 – 输入 msinfo32 命令，依次点击 “软件环境 – 正在运行任务” 就可以查看到进程的详细信息，比如进程路径、进程ID、文件创建日期以及启动时间等。
   b、打开D盾_web查杀工具，进程查看，关注没有签名信息的进程。
   c、通过微软官方提供的 Process Explorer 等工具进行排查 。
   d、查看可疑的进程及其子进程。可以通过观察以下内容：

   没有签名验证信息的进程
   没有描述信息的进程
   进程的属主
   进程的路径是否合法
   CPU 或内存资源占用长时间过高的进程
   

小技巧：

​ a、查看端口对应的 PID：netstat -ano | findstr "port"

​ b、查看进程对应的 PID：任务管理器 – 查看 – 选择列 – PID 或者 tasklist | findstr "PID"

​ c、查看进程对应的程序位置：

​ 任务管理器 – 选择对应进程 – 右键打开文件位置

​ 运行输入 wmic，cmd 界面输入 process

​ d、tasklist /svc 进程 – PID – 服务

​ e、查看Windows服务所对应的端口：

​ %systemroot%/system32/drivers/etc/services（一般 %systemroot% 就是
C:\Windows 路径）

7. 检查启动项、计划服务、服务
   A. 检查服务器是否有异常的启动项。
   检查方法：
   a、登录服务器，单击【开始】>【所有程序】>【启动】，默认情况下此目录在是一个空目录，确认是否有非业务程序在该目录下。
   b、单击开始菜单 >【运行】，输入 msconfig，查看是否存在命名异常的启动项目，是则取消勾选命名异常的启动项目，并到命令中显示的路径删除文件。
   c、单击【开始】>【运行】，输入 regedit，打开注册表，查看开机启动项是否正常，特别注意如下三个注册表项：

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\run
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Runonce

检查右侧是否有启动异常的项目，如有请删除，并建议安装杀毒软件进行病毒查杀，清除残留病毒或木马。

d、利用安全软件查看启动项、开机时间管理等。
e、组策略，运行 `gpedit.msc

B. 检查计划任务
检查方法：
a、单击【开始】>【设置】>【控制面板】>【任务计划】，查看计划任务属性，便可以发现木马文件的路径。
b、单击【开始】>【运行】；输入 cmd，然后输入 at，检查计算机与网络上的其它计算机之间的会话或计划任务，如有，则确认是否为正常连接。

C. 服务自启动
检查方法：单击【开始】>【运行】，输入 services.msc，注意服务状态和启动类型，检查是否有异常服务。

查杀工具

病毒分析

PCHunter：http://www.xuetr.com

火绒剑：https://www.huorong.cn

Process Explorer：https://docs.microsoft.com/zh-cn/sysinternals/downloads/process-explorer

processhacker：https://processhacker.sourceforge.io/downloads.php

autoruns：https://docs.microsoft.com/en-us/sysinternals/downloads/autoruns

OTL：https://www.bleepingcomputer.com/download/otl/

SysInspector：http://download.eset.com.cn/download/detail/?product=sysinspector

病毒查杀

卡巴斯基：http://devbuilds.kaspersky-labs.com/devbuilds/KVRT/latest/full/KVRT.exe （推荐理由：绿色版、最新病毒库）

大蜘蛛：http://free.drweb.ru/download+cureit+free（推荐理由：扫描快、一次下载只能用1周，更新病毒库）

火绒安全软件：https://www.huorong.cn

360杀毒：http://sd.360.cn/download_center.html

病毒动态

CVERC-国家计算机病毒应急处理中心：http://www.cverc.org.cn

微步在线威胁情报社区：https://x.threatbook.cn

火绒安全论坛：http://bbs.huorong.cn/forum-59-1.html

爱毒霸社区：http://bbs.duba.net

腾讯电脑管家：http://bbs.guanjia.qq.com/forum-2-1.html

在线病毒扫描网站

Virustotal：https://www.virustotal.com

Virscan：http://www.virscan.org

腾讯哈勃分析系统：https://habo.qq.com

Jotti 恶意软件扫描系统：https://virusscan.jotti.org

webshell查杀

D盾_Web查杀：http://www.d99net.net/index.asp

河马 WebShell 查杀：http://www.shellpub.com