一、了 解当前系统的运行健康状况
一、 使用“Ctrl+Alt+Del”组合键打开 windows 自带的任务管理器,查看并对比 分析当前系统中运行的进程情况,及各进程占用的主要资源情况;据此了 解当前系统的运行健康状况。
注意内存的单位是MB,磁盘的单位是MB/s
二、为什么有许多重复的 svchost.exe 进程
二、 进入“详细信息”页中,查看当前系统中运行的进程情况,结合进程描述 信息,理解各进程的功能,并查资料理解为什么有许多重复的 svchost.exe 进程。 
1)什么 是svchost.exe进程
2)svchost.exe作用
svchost.exe是从动态连结程式库(DLL) 执行之服务的一般性主处理程序名称。 当电脑启动时,SVCHOST.EXE会检查登录中的服务部分,以建立一份它需要载入的服务清单。 多个svchost.exe可以同时执行,且每一个svchost.exe工作阶段都可以包含一组服务。
3)为什么需要svchost.exe进程?
为了让Windows的软件编程更为高效及提高运行效率,DLL文件就诞生了。但不能从Windows直接启动DLL文件,这个时候一个专门的svchost.exe进程就诞生了。
4)为什么会有那么多svchost.exe进程?
DLL文件的作用就是让特定的某个功能使用一个dll文件以便重用。例如,在Windows操作系统中,Comdlg32 DLL 执行与对话框有关的常见函数,因此每个程序都可以使用该DLL中包含的功能(服务)来实现“打开”对话框,这有助于促进代码重用和内存的有效使用。而如果我们的电脑安装的软件很多,需要开启很多的功能,那么理所当然的我们就需要更多的DLL文件(因为功能就在这里面),而我们也知道DLL文件是无法直接使用的,它需要svchost.exe进程来帮助。所以,功能多的时候svchost.exe进程就会越多。
三、性能指 标差异及原因
三、 查看“性能”页中各设备的当前性能状况,并思考不同部件性能的性能指 标差异及原因。
四、 对比查看“启动”“用户”“服务”页中所列进程情况
思考分析其中所列进程的联系和差别特征。(可从进程创建来源视角分析)
五、 注册表管理程序
使用 Win+R 组合键打开运行窗口,输入 regedit 命令,按回车后打开注册
表管理程序,查看其基本结构
注册表是Windows内部一个巨大的树状分层的数据库(Windows目录下的System.dat和User.dat),存放着各种参数,直接控制着Windows的启动、硬件驱动程序的装载以及一些Windows应用程序的运行,从而在整个系统中起着核心作用。
每个软件的安装都有注册表的生成,所以通过修改注册表还可以设置软件参数等,解决一般电脑软件所无法解决的设置问题。
只有KEY_LOCAL_MACHINE、HKEY_CLASSES_ROOT、HKEY_CURRENT_CONFIG、HKEY_USERS、HKEY_CURRENT_USER五个根键。
一、KEY_LOCAL_MACHINE根键
HKEY_LOCAL_MACHINE根键中存放的是用来控制系统和软件的设置。由于这些设置是针对那些使用Windows系统的用户而设置的,是一个公共配置信息,所以它与具体用户无关。该根键下面包含了五个子键:
1.HARDWARE子键
该子键包含了系统使用的浮点处理器、串口等有关信息。在它下面存放一些有关超文本终端、数字协处理器和串口等信息。HARDWARE子键又包括三个子键:
DESCRIPTION:用于存放有关系统信息;
DEVICEMAP:用于存放设备映像;
RESOURCEMAP;
2.SAM子键
该子键已经被系统保护起来,我们不可能看到里面的内容。
3.SECURITY子键
该子键位于HKEY_LOCAL_MACHINE\Security分支上,该分支只是为将来的高级功能而预留的。
4.SOFTWARE子键
该子键中保留的是所有已安装的32位应用程序的信息。各个程序的控制信息分别安装在相应的子键中。由于不同的机器安装的应用程序互不相同,因此这个子键下面的子键信息会有很大的差异。
5.SYSTEM子键
该子键存放的是启动时所使用的信息和修复系统时所需的信息,其中包括各个驱动程序的描述信息和配置信息等。System子键下面有一个CurrentControlSet子键,系统在这个子键下保存了当前的驱动程序控制集的信息。
二、HKEY_CLASSES_ROOT根键
HKEY_CLASSES_ROOT根键中记录的是Windows操作系统中所有数据文件的信息,主要记录不同文件的文件名后缀和与之对应的应用程序。当用户双击一个文档时,系统可以通过这些信息启动相应的应用程序。HKEY_CLASSES_ROOT根键中存放的信息与HKEY_LOCAL_MACHINE\Software\Classes分支中存放的信息是一致的。
HKEY_CLASSES_ROOT根键由多个子键组成,具体可分为两种:一种是已经注册的各类文件的扩展名,一种是各种文件类型的有关信息。由于该根键包含的子键数目最多,下面就以Avifile子键为例简要介绍它下面的子键的含义:
1.CLSID子键
Avifile子键下的第一个子键是“CLSID”,即“分类标识”,在选中它时可以看到其默认的键值。Windows系统可用这个类标识号来识别相同类型的文件。在HKEY_CLASSES_ROOT主键下也有一个子键“CLSID”,其中包含了所有注册文件的类标识。
2.Compressors 子键
该分支下面的两个子键auds和vids分别给出了音频和视频数据压缩程序的类标识,通过这些类标识可以找到相应的处理程序,
(1) auds 子键
该子键位于HKEY_CLASSES_ROOT\avifile\Compressors\auds分支上,用于设置音频数据压缩程序的类标识。
(2) vids子键
该子键位于HKEY_CLASSES_ROOT\avifile\Compressors\vids分支上,用于设置视频数据压缩程序的类标识。
3.DefaultIcon 子键
该子键用于设置avifile的缺省图标。
4.RIFFHandlers子键
该子键用于设置RIFF文件的句柄。在该子键下包含了AVI和WAVE两个文件的类标识。
(1) AVI子键
该子键位于HKEY_CLASSES_ROOT\avifile\RIFFHandlers\AVI分支上,用于设置AVI文件的类标识。
(2) WAVE子键
该子键位于HKEY_CLASSES_ROOT\avifile\RIFFHandlers\WAVE分支上,用于设置WAVE文件的类标识。
5.protocol子键
该分支下的子键中包含了执行程序和编辑程序的路径和文件名,
(1) StdExecute子键
该子键具有如下子键结构:
HKEY_CLASSES_ROOT\avifile\protocol\StdExecute\Server
它用于指定avifile的标准执行程序。
(2) StdFileEditing子键
该子键位于HKEY_CLASSES_ROOT\avifile\protocol\StdFileEditing分支上,用于设置标准文件编辑程序。
在该子键下面有如下三个子键:
①Server子键
该子键位于HKEY_CLASSES_ROOT\avifile\protocol\StdFileEditing\Server分支上,用于指定编辑程序。
②PackageObjects子键
该子键位于HKEY_CLASSES_ROOT\avifile\protocol\StdFileEditing\
PackageObjects分支上,用于指定打开avifile的包对象编辑程序。
③verb 子键
该子键位于HKEY_CLASSES_ROOT\avifile\protocol\StdFileEditing\verb分支上,用于设置打开标准avi文件编辑程序时的工作状态。
另外,还有“Handler”和“Handlers”两个子键。
6.Shell 子键
该子键位于HKEY_CLASSES_ROOT\avifile\Shell分支上,用于设置视频文件的外壳。
(1) Open子键
该子键具有如下子键结构:
HKEY_CLASSES_ROOT\avifile\Shell\Open\Command
它用于设置“打开”avi文件的程序。
(2) Play子键
该子键具有如下子键结构:
HKEY_CLASSES_ROOT\avifile\Shell\Play\Command
它指定用于“播放”命令的程序
7.shellex子键
该子键位于HKEY_CLASSES_ROOT\avifile\shellex分支上。该分支的子键中包含了视频文件的外壳扩展,
在该子键下面有一个PropertySheetHandlers子键,用于设置“视频文件属性页”(Avi Page)的文件句柄。
在PropertySheetHandlers 子键下面还有一个AviPage 子键,用于设置AviPage的类标识。
三、HKEY_CURRENT_CONFIG根键
如果你在Windows中设置了两套或者两套以上的硬件配置文件(Hardware Configuration file),则在系统启动时将会让用户选择使用哪套配置文件。而HKEY_CURRENT_CONFIG根键中存放的正是当前配置文件的所有信息。
四、HKEY_USERS根键
HKEY_USERS根键中保存的是默认用户(.DEFAULT)、当前登录用户与软件(Software)的信息。它的下面有三个子键:.DEFAULT子键、S-1-5-21-1229272821-436374067-1060284298-1000和S-1-5-21-1229272821-436374069-1060284298-1000_Classes三个子键,其中最重要的是.DEFAULT子键。
.DEFAULT子键的配置是针对未来将会被创建的新用户的。新用户根据默认用户的配置信息来生成自己的配置文件,该配置文件包括环境、屏幕、声音等多种信息
.DEFAULT下面有九个子键,下面介绍其中几个:
1.AppEvents子键
它包含了各种应用事件(包括事件名称、描述以及各种系统功能的声音)的列表。其下面又包含两个子键EventLabels(按字母顺序列表)和Schemes(按事件分类列表)。
2.Control Panel子键
它所包含的内容与桌面、光标、键盘和鼠标等设置有关。改变它们的键值就将改变对应的工作环境或参数。
3.keyboard layout子键
该子键位于HKEY_USERS.DEFAULT\keyboard layout分支上,用于设置键盘的布局,如键盘语言的加载顺序等。该子键下面提供有如下三个子键:
(1)preload子键
该子键位于HKEY_USERS.DEFAULT\keyboard layout\preload分支上,用于设置键盘语言的加载次序。Preload子键下面的子键个数与您在系统中所安装的键盘语言有关。
(2)Substitutes子键
该子键位于HKEY_USERS.DEFAULT\keyboard layout\substitutes分支,用于设置可替换的键盘语言布局。在通常情况下,此子键的设置是空的。
(3)Toggle子键
该子键位于HKEY_USERS.DEFAULT\keyboard layout\toggle分支上,用于选择键盘语言。
五、HKEY_CURRENT_USER根键
HKEY_CURRENT_USER根键中保存的信息(当前用户的子键信息)与HKEY_USERS.Default分支中所保存的信息是相同的。任何对HKEY_CURRENT_USER根键中的信息的修改都会导致对HKEY_USERS.Default中子键信息的修改,反之也是如此。
作用
注册表是windows操作系统中的一个核心数据库,其中存放着各种参数,直接控制着windows的启动、硬件驱动程序的装载以及一些windows应用程序的运行,从而在整个系统中起着核心作用。这些作用包括了软、硬件的相关配置和状态信息,比如注册表中保存有应用程序和资源管理器外壳的初始条件、首选项和卸载数据等,联网计算机的整个系统的设置和各种许可,文件扩展名与应用程序的关联,硬件部件的描述、状态和属性,性能记录和其他底层的系统状态信息,以及其他数据等。
注册表的数据结构
注册表由键(也叫主键或称“项”)、子键(子项)和值项构成。一个键就是分支中的一个文件夹,而子键就是这个文件夹当中的子文件夹,子键同样它也是一个键。一个值项则是一个键的当前定义,由名称、数据类型以及分配的值组成。一个键可以有一个或多个值,每个值的名称各不相同,如果一个值的名称为空,则该值为该键的默认值。
在注册表编辑器(regedit.exe)中,数据结构显示如下,其中,command键是open键的子键,(默认)表示该值是默认值,值名称为空,其数据类型为REG_SZ,数据值为%systemroot%/system32/notepad.exe"%1数据类型。
注册表的数据类型主要有以下四种:显示类型(在编辑器中)数据类型说明
REG_SZ:字符串:文本字符串
REG_MULTI_SZ:多字符串值:含有多个文本值的字符串
REG_BINARY:二进制数:二进制值,以十六进制显示,
REG_DWORD:双字值;一个32位的二进制值,显示为8位的十六进制值。
七、 查资料尝试通过修改注册表
在系统托盘的时间显示区中显示当前时间的“秒”数
八、系统配置管理程序
使用 Win+R 组合键打开运行窗口,输入 msconfig 命令,按回车后打开系统配置管理程序。
九、 理解 windows 的自带安全防护体系
(包括系统自动更新,defender 工具)
网络防火墙,备份,帐户与文件权限管理等不同策略。查资料逐一打开相应的管理工具,了解各个工具的使用特性,思考回答如下问题:上述各个安全防护策略各自主要解决操作系统运行中的哪类安全问题?
1、自动更新
其实,微软一直都在强制用户更新win10系统,出发点还是想要保障用户的网络安全,因此微软将安全更新设置为默认选项。Windows 10自动更新机制广受诟病,微软坚持不改,这么看来微软的做法确实承担了该负的责任。
使用“自动更新”,Windows 例行检查可以保护计算机免受最新病毒和其他安全威胁攻击的更新。
更新系统解决新出现的漏洞。
2、defener工具
平心而论,如果只用电脑办理不需要连接网络和USB的工作,那么可以不用安装杀毒软件,但是首先要确保电脑里没有原有的病毒;如果经常浏览网页、使用USB设备,那么杀毒软件肯定是需要安装的,毕竟病毒和木马是真的存在,有时候会造成损失,杀毒软件也确实能够帮助我们阻止一些病毒的破坏,避免更大的损失。
但是在Windows 10中,已经自带了Windows Defender,且具备杀毒功能,因此建议开启Windows Defender的实时防护,相当于启用了杀毒软件功能。不过要注意的是,Windows Defender对于国内的病毒反应速度不够快,因此一般需要安装其他杀毒软件代替Windows Defender,此时必须要首先禁用Windows Defender的防护才能继续安装,以免产生驱动冲突。
3、网络防火墙
网络防火墙是一种用来加强网络之间访问控制的特殊网络互联设备。计算机流入流出的所有网络通信均要经过此防火墙。防火墙对流经它的网络通信进行扫描,这样能够过滤掉一些攻击,以免其在目标计算机上被执行。防火墙还可以关闭不使用的端口。而且它还能禁止特定端口的流出通信,封锁木马。最后,它可以禁止来自特殊站点的访问,从而防止来自不明入侵者的所有通信。
基本功能
所谓“防火墙”,是一种特殊的访问控制设施,是一道介于内部网络和Internet 之间的安全屏障, 防火墙的基本功能是根据各种网络安全策略的要求对未经授权的访问和数据传递进行筛选和屏蔽, 它保护着内部网络数据的安全。从逻辑上讲防火墙既是一个分析器又是一个限制器, 它要求所有进出内部网络的数据流都必须通过安全策略和安全计划的确认与授权, 并在逻辑上实现内外网络的分离, 从而保证内部网络的安全。防火墙既可以是一组硬件,也可以是一组软件,还可以是软件和硬件的组合。
主要作用
防火墙作为内部网与外部网之间的一种访问控制设备, 常常安装在内部网和外部网交界点上。防火墙具有很好的网络安全保护作用。入侵者必须首先穿越防火墙的安全防线,才能接触目标计算机。你可以将防火墙配置成许多不同保护级别。高级别的保护可能会禁止一些服务,如视频流等,但至少这是你自己的保护选择。网络防火墙的主要作用如下:
(1)Internet防火墙可以防止Internet上的危险(病毒、资源盗用)传播到网络内部;
(2)能强化安全策略;
(3)能有效记录Internet上的活动;
(4)可限制暴露用户点;
(5)它是安全策略的检查点。
4、备份
提前备份,即使系统出错崩溃,也能还原到之前的样子
5、帐户与文件权限管理
你是否不想让别人在你的电脑上打开某个文件夹或者文件?是否有时想允许让别人看某个文件和文件夹下的文件,但是不想让别人更改?或者不想让自己电脑上的某个账户不能访问某个文件夹?如果有过那么可以用以下命令实现,而不需要借助其他加密软件。
注意要限制别人访问的文件或者文件夹所在盘必须要是NTFS文件系统的,而不能是FAT32格式。这或许是ntfs文件系统安全性能好于fat32的原因之一吧。[比如查看D盘文件系统,只需要打开D盘,在里面空白处点击右键-属性,里面就可以看到了]
0x02特殊权限
除了上面提到的7个默认权限分组,系统还存在一些特殊权限成员,这些成员是为了特殊用途而设置,分别是:SYSTEM(系统)、Trustedinstaller(信任程序模块)、Everyone(所有人)、CREATOR OWNER(创建者) 等,这些特殊成员不被任何内置用户组吸纳,属于完全独立出来的账户。
真正拥有“完全访问权”的只有一个成员:SYSTEM。这个成员是系统产生的,真正拥有整台计算机管理权限的账户,一般的操作是无法获取与它等价的权限的。
“所有人”权限与普通用户组权限差不多,它的存在是为了让用户能访问被标记为“公有”的文件,这也是一些程序正常运行需要的访问权限——任何人都能正常访问被赋予“Everyone”权限的文件,包括来宾组成员。
被标记为“创建者”权限的文件只有建立文件的那个用户才能访问,做到了一定程度的隐私保护。
但是,所有的文件访问权限均可以被管理员组用户和SYSTEM成员忽略,除非用户使用了NTFS加密。
无论是普通权限还是特殊权限,它们都可以“叠加”使用,“叠加”就是指多个权限共同使用,例如一个账户原本属于Users组,而后我们把他加入Administrators组在加入Trustedinstaller等权限提升,那么现在这个账户便同时拥有两个或多个权限身份,而不是用管理员权限去覆盖原来身份。权限叠加并不是没有意义的,在一些需要特定身份访问的场合,用户只有为自己设置了指定的身份才能访问,这个时候“叠加”的使用就能减轻一部分劳动量了。
扫一扫
2742
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
