系统目录、服务、端口、注册表
·系统目录
~用户目录:存放创建的用户的配置文件
~Windows:系统安装目录
·system32:存放系统配置文件,不要轻易乱动
·C:\Windows\System32\config\SAM:存放windows用户名和密码的文件,打不开。因为只要正常开机登录这个文件就会被占用,所以网上U进入pe可以清密码,一般都是进去之后拷走文件,清除了在替换掉
·C:\Windows\System32\drivers\etc\hosts
解析域名的 【可以使用Everything软件进行文件查找,例漏*.docx,可以找到所有漏开头的文件】
·C:\Program Files(x86)【(x86)代表32位的意思】
x64位系统都会有这个文件夹,有32位程序需要安装的话就会安装到这个目录
·C:\PerfLogs
系统日志目录 【应急响应的时候会用到,有没有类似的疑似攻击的日志】
·服务
·打开服务
Ctrl+r输入services.msc回车即可
·服务的作用
~决定了计算机的一些功能是否被启用
~不同的服务对应的功能不同
~通过计算机提供的服务可以有效实现资源共享
·常见的服务
~WEB服务 【Tomcat,nginx等】
~DNS服务
~DHCP服务 【自动获取IP地址】
~邮件服务
~TELNET服务
~SSH服务
~FTP服务
~SMB服务
·注册表
注册表(Registry,繁体中文版Windows操作系统称之为登录档)是Microsoft Windows中的一个重要的数据库,用于存储系统 和应用程序的设置信息。早在Windows 3.0推出OLE技术的时候,注册表就已经出现。随后推出的Windows NT是第一个从系统级别广泛使用注册表的操作系统。但是,从Microsoft Windows 95操作系统开始,注册表才真正成为Windows用户经常接触的内容,并在其后的操作系统中继续沿用至今
·打开注册表
运行输入regedit
五个主要根键
·注册表作用 【主要是针对服务器写的】
注册表是Windows操作系统中的一个核心数据库,其中存放着各种参数,直接控制着windows的启动、硬件驱动程序的装载以及一些windows应用程序的运行,从而在整个系统中起着核心作用。这些作用包括了软、硬件的相关配置和状态信息,比如注册表中保存有应用程序和资源管理器外壳的初始条件、首选项和卸载数据等,联网计算机的整个系统的设置和各种许可,文件扩展名与应用程序的关联,硬件部件的描述、状态和属性,性能记录和其他底层的系统状态信息,以及其他数据等。
~HKEY_CLASSES_ROOT
说明:该根键包括启动应用程序所需的全部信息,包括扩展名,应用程序与文档之间的关系,驱动程序名,DDE和OLE信息,类ID编号和应用程序与文档的图标等【编译成程序的一些文件,类ID等。例:JAVA的一些配置】
~HKEY_CURRENT_USER
说明:该根键包括当前登录用户的配置信息,包括环境变量,个人程序以及桌面设置等
~HKEY_LOCAL_MACHINE
说明:该根键包括本地计算机的系统信息,包括硬件和操作系统信息,安全数据和计算机专用的各类软件设置信息
~HKEY_USERS
说明:该根键包括计算机的所有用户使用的配置数据,这些数据只有在用户登录系统时才能访问。这些信息告诉系统当前用户使用的图标,激活的程序组,开始菜单的内容以及颜色,字体
~HKEY_CURRENT_CONFIG
说明:该根键包括当前硬件的配置信息,其中的信息是HKEY_LOCAL_MACHINE中映射出来的
·感染病毒后经常修改的注册表
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run开机启动