黑客Windows攻防初级知识点整合

入侵准备
入侵准备之cmd命令
Msconfig ##打开系统配置（运行中输入）
Regedit ##打开注册表（运行中输入）
Netstat ##监控tcp/IP网络（cmd中运行）
-a ##查看本地机器的所有开放的端口
-r ##列出当前的路由信息，本地机器的网关和子网掩码等
-b ##显示创建每个连接或侦听端口时涉及的可执行程序
-e ##显示以太网统计
-f ##显示外部地址的完美限定域名
-n ##以数字形式显示地址和端口号
-o ##显示拥有的与每个连接关联的进程ID
-p proto ##显示proto指定的协议的连接
-s ##显示每个协议的统计
-t ##显示当前连接卸载状态
net user ##查看本机用户（cmd中运行）
ping ##查看网络是否通畅或连接速度（cmd中运行）
-t ##连续发送数据包
-a ##将地址解析成主机名
-n ##定义发送数据包的次数
-l ##定义数据包的大小，最大为65500字节，默认为32字节
nbtstat ##得到远程主机的netbios信息（cmd中运行）
-a ##得到远程主机的netbios信息，需要知道远程主机的ip或主机名
-A ##得到远程主机的netbios信息，需要知道远程主机的ip或主机名
-n ##列出本地机器的netbios信息
tracert ##用于跟踪路由信息（cmd中运行）
-d ##不将地址解析成主机名
-h ##搜索目标最大的跳跃点
-j ##与主机列表一起的松散的源路由
-w ##等待每个回复的超时时间
ipconfig ##查看本机的tcp/ip配置（cmd中运行）
/all ##查看更详细的tcp/ip信息
/release ##释放当前从DHCP中获取的IP地址
/renew ##刷新DHCP获取的IP信息
/flushdns ##清楚dns缓存
arp -a ##查看arp缓存表
-s ##增加缓存条目，使用：arp -s ip 物理地址
-d ##删除缓存记录，使用：arp -d ip
at（win10使用schtasks.exe） ##在特定时间执行特定的任务（cmd中运行）
（输入schtasks /query /?命令查看帮助手册）
nslookup ##查看dns服务器及地址
net view ##查看局域网中所有共享资源
\ip ##查看远程主机的共享资源
net use 盘符名称: \ip\共享名 ##建立与断开计算机与共享资源的连接
net user ##查看本机账户的信息
用户名 密码 /add ##添加用户并设置密码
用户名 ##查看某个用户的详细信息
用户名 /del ##删除用户
用户名 /active：no ##禁用用户
/active yes ##激活用户
net time \ip ##查看远程主机的当前时间
net share ##查看共享资源
net localgroup ##查看所有用户组
用户组 用户 /add ##某个用户加入某个组
net start 服务名称 ##启动某项服务
net stop 服务名称 ##关闭某项服务
dir ##查看文件夹
ftp ip ##连接ftp
get 文件名.扩展名 ##在ftp服务器中下载文件
put 文件名.扩展名 ##在ftp服务器中上传文件
delete 文件名.扩展名 ##在ftp服务器中删除文件
Telnet ip ##进行远程登录
入侵准备之知识点
Windows一些无命令的操作
计算机右键–>管理–>计算机管理–>事件查看器–>Windows日志–>安全 ##查看日志文件
计算机右键–>管理–>服务和应用程序–>服务 ##查看本机服务
控制面板–>程序和功能–>启动或关闭Windows功能–>Telnet客户端 ##开启Telnet客户端，以便使用Telnet命令进行远程连接

软件推荐
ftp服务器：serv-u软件
WEB服务器：APMserv软件
端口扫描：advanced port scanner软件、x-scan软件
嗅探工具：sniffer pro软件、超级嗅探狗工具

理论知识
1.公有IP地址分类：
A类地址：1.0.0.0~127.255.255.255，子网掩码：255.0.0.0
B类地址：128.0.0.0~191.255.255.255，子网掩码：255.255.0.0
C类地址：192.0.0.0~223.255.255.255，子网掩码：255.255.255.0
D类地址：244.0.0.0~239.255.255.255
2.私有IP地址分类：
A类地址：10.0.0.0~10.255.255.255
B类地址：172.16.0.0~172.31.255.255
C类地址：192.168.0.0~192.168.255.255
3.端口号可分为三大类：
公认端口：从0~1023，紧密绑定于一些服务，通常这些端口的通信明确表明了某种服务的协议
注册端口：从1024~49151，松散的绑定于一些服务，即有许多服务绑定与这些端口
动态或私有端口：从49152~65535
4.常见的端口：
21端口：FTP：FTP服务器上所开放的端口用于上传、下载
22端口：SSH：PCanywhere建立的TCP和这一端口的连接可能是为了寻找ssh
23端口：Telnet：远程登录
25端口：SMTP：简单邮件传输协议
31端口：MSG authentication：木马master paradise、hackers paradise开放此端口
53端口：DNS：DNS服务器所开放的端口
67端口：bootstrap protocol server：引导程序协议，通过DSL和cable modem的防火墙经常会看见大量发送到广播地址255.255.255.255的数据
79端口：finger server：显示有关运行 Finger 服务或 Daemon 的指定远程计算机上用户的信息，入侵者用于获取用户信息，查询操作系统，探测已知缓冲区溢出错误，回应从自己机器到其他机器finger扫描
80端口：HTTP：用于网页浏览
99端口：metagram relay：后门程序ncx99开放端口

入侵攻防之知识点

理论知识
1.漏洞产生原因：输入验证错误、访问验证错误、意外情况处理错误、边界条件错误、配置错误、环境错误、设计错误
漏洞引发的威胁：管理员访问权限获取、普通用户访问权限获取、未授权的信息泄露、未授权的信息修改、拒绝服务
漏洞类型：操作系统漏洞、应用程序漏洞、WEB应用漏洞、数据库漏洞、网络设备漏洞、产品安全漏洞
2.破解密码常用的方法：1.暴力穷举：密码破解技术中最基本的技术就是暴力破解，也叫密码穷举
2.击键记录：使用木马病毒设计“击键记录”程序，以记录和监听用户的击键操作，然后将记录下来的内容传送给黑客
3.屏幕记录：通过木马程序将用户的屏幕截屏，然后记录鼠标单击的位置
4.网络钓鱼：利用欺骗性的电子邮件和伪造的网站登录点来进行诈骗活动
5.嗅探器（sniffer）：最为有效的手段是使用sniffer程序监视网络的状态、数据流动情况以及网络上传输的信息
6.系统漏洞：漏洞是硬件、软件、协议的具体实现或系统安全策略存在的缺陷，攻击者能够在未授权的情况下访问或破坏系统
7.远程攻击：远程攻击是指通过网络对连接在网络上的任意一台电脑进行攻击
8.不良习惯：喜欢将密码记录在纸上，或者使用生日或电话号码
9.绕过破解：绕过破解的原理是绕过密码的认证机制
10.密码心理学：不需要工具破解密码的骗局称为社交工程攻击
3.破解blos密码的方法：CMOS放电法、CMOS短接法
4.除了使用PE绕过系统登录密码，用户也可以直接使用工具破解，修改SAM文件的数据，将用户密码清除，但该方法仍无法获取用户密码
5.计算机病毒具有传播性、隐蔽性、感染性、潜伏性、可激发性、表现性、破坏性等特点，计算机病毒的生命周期为：开发期、传染期、潜伏期、发作期、发现期、消化期、消亡期
6.病毒分为六大类，分别是：根据算法划分：伴随型病毒：这类病毒并不改变文件本身，它们根据算法生成EXE文件的伴随体，具有同样的名字和不同的扩展名（COM）
蠕虫型病毒：通过计算机网络传播，不改变文件和资料信息，利用网络从一台电脑的内存传播到其它电脑的内存，计算机将自身的病毒通过网络传输
寄生型病毒：除了伴随型病毒和蠕虫型病毒，其它病毒都可称为寄生型病毒
根据破坏能力划分：无害型：除了传染时减少磁盘的可用空间外，对系统没有其他影响
无危险型：这类病毒仅仅是减少内存，显示图像，发出声音等
危险型：这类病毒在计算机系统操作中造成严重的错误
非常危险型：这类病毒删除程序，破坏数据，清除系统内存区和操作系统中的重要信息
根据传播渠道划分：驻留型病毒：这种病毒感染计算机后，把自身的内存驻留部分放在内存中，这部分程序挂接系统调用并合并到操作计算机中，它处于激活状态，一直到关机或重启
非驻留型病毒：这种病毒在得到机会激活时并不感染计算机内存，一些病毒在内存中留有小部分，但是并不通过这部分进行感染，这类病毒也被划分为非驻留型病毒
根据传播方式划分：引导区型病毒：主要通过启动盘在操作系统中传播，感染引导区，蔓延到硬盘，并能感染到硬盘中的“主记录引导”
文件型病毒：是文件感染者，也称为“寄生病毒”
混合型病毒：具有引导区型病毒和文件型病毒的特点
宏病毒：是指用BASIC语言编写的病毒程序寄存在office文档上的宏代码
根据病毒存在的媒体划分：网络病毒：通过计算机网络感染网络中的可执行文件
文件病毒：感染计算机中的文件
引导型病毒：感染启动扇区和硬盘的系统引导扇区
7.病毒的传播方式：存储介质：包括软盘、硬盘、磁带、U盘、光盘等
网络：当从lnternet下载或浏览资料时，病毒可能随着资料入侵电脑
电子邮件：电子邮件无疑是传播病毒的最佳方式
8.常见的病毒：系统病毒：前缀为win32、PE、win95、W32、W95
蠕虫病毒：前缀为Worm
木马病毒：前缀为Trojan
黑客病毒：前缀为Hack
脚本病毒：前缀为Script
宏病毒：前缀为Macro
后门病毒：前缀为Backdoor
种植程序病毒：前缀为Dropper
破坏性程序病毒：前缀为Harm
玩笑病毒：前缀为Joke
捆绑机病毒：前缀为Binder
10.电脑中毒表现：机器不能正常启动、运行速度降低、磁盘异常、文件内容和长度改变、经常出现死机现象、外部设备工作异常
11.一个完整的木马套装程序分为两部分：服务端和客户端，植入对方电脑的是服务端，而黑客正是利用客户端进入运行了服务端的电脑
12.木马种类：网游木马、网银木马、下载类木马、代理类木马、FTP类木马、通讯类木马、网页类木马、攻击类木马
13.木马传播途径：电子邮件、下载文件、网页传播、聊天工具
14.木马伪装：修改图标、捆绑文件、出错显示、定制端口、自我销毁、木马更名
15.后门程序就是指在计算机中的供某些特殊使用者通过某种特殊方式控制计算机系统的途径
16.后门程序的分类：网页后门、扩展后门、C/S后门、账号后门、线程插入后门
17.常见的后门程序：放大镜后门、组策略后门、Rookit后门、Telnet后门、嗅探后门
18.著名的安全后门：Back orifice、Sercomm的DSL后门、PGP全磁盘加密后门、盗版wordPress插件后门、Joomla插件后门、ProFTPD后门、Borland lnterbase后门、linux内核的后门、tcpdump后门、NSA特定访问操作（TAO）后门、Windows_nsa、双椭圆曲线后门dual_ec_drbg
软件推荐
nessus：系统漏洞扫描与分析软件
Windows update扫描修复漏洞：Windows自带的操作系统更新工具
易升：Windows系统更新软件
Advanced office password recovery：破解word加密文件密码
Advanced archive password recovery：破解RAR加密密码
黑点查看器：查看标准控件中的密码，如：网页中输入的密码
木头超级字典工具集：密码字典制作工具
vbstoexeportable：vbs病毒编译
超级文件捆绑器：文件捆绑
文件图标提取器：更改文件图标
冰河木马：木马程序制作
aspack.exe：木马加壳软件
PEiD:木马加壳检测
UNASPack：木马脱壳
综合攻防之知识点
综合攻防之cmd命令
arp -a ##查看arp缓存表

理论知识
1.局域网不是根据IP地址，而是根据MAC地址进行传输，破坏MAC地址，就会影响传输
2.地址解析协议，即APR，是根据IP地址获取物理地址的一个TCP/IP协议
3.arp协议并不知在发送了arp请求后arp应答，当电脑接收到arp应答数据包的时候，就会对本地的arp缓存进行更新，将应答中的IP和MAC地址存储在arp缓存中
4.arp欺骗分为两种，一种是对路由器arp表的欺骗，另一种是对内网PC的网关欺骗
5.广播风暴是指广播数据充斥网络无法处理，并占用大量网络带宽，导致正常业务不能运行，甚至彻底瘫痪
6.产生广播风暴的原因主要有以下几种：网线短路、蠕虫病毒、网络环路、傻瓜交换机、设备损坏、网络视频、恶劣环境
7.DNS欺骗是攻击者冒充域名服务的一种欺骗行为
8.冒充域名服务器，然后把查询的IP地址设为攻击者的IP地址，这样用户上网时只能看到攻击者的主页，而不是用户想要看到的网站的主页，这就是DNS欺骗的基本原理
9.分布式拒绝服务攻击指借助于客户/服务器技术，将多台电脑联合起来作为攻击平台，对一个或多个目标发动攻击，从而成倍的提高拒绝服务攻击的威力
10.arp防火墙在操作系统内核层拦截虚假的arp数据包，保证本主机获取的网关MAC是正确的，不受虚假arp数据包影响
11.远程协助是在网络上由一台电脑远距离去控制另一台电脑的技术，电脑中的远程控制技术始于DOS时代
12.远程控制支持的网络方式有：LAN、WAN、拨号方式、互联网方式，传统的远程控制软件一般使用NETBEUI、NETBIOS、IPX/SPX、TCP/IP等协议来实现远程控制

软件推荐
局域网网络切断工具：netcut工具
使用arp进行网络管理的软件：P2POver
防火墙：arp防火墙、冰盾DDos防火墙、瑞星防火墙
远程控制软件：Windows自带远程桌面工具、QQ远程协助、teamviewer远程工具、第三只眼计算机管理软件、向日葵
附
A主机在缓存表中查询B主机的IP地址所对应的MAC地址
未找到 找到
向B主机发送数据 广播A主机的一个arp请求报文
B主机收到请求报文后发送arp回应报文
A主机收到arp回应报文，更新arp缓存表后向B主机发送数据
常用攻防之知识点

理论知识
1.QQ被盗手段：偷看、盗号木马、键盘记录、欺诈信息
2.网页恶意代码也称为网页病毒、它主要是利用软件或系统操作平台的安全漏洞，通过将java、applet应用程序、javascript脚本语言程序、activex软件部件网络交互技术嵌入网页HTML超文本标记语言内并执行，
以强行修改用户操作系统的注册表配置及系统实用配置程序，甚至可以对被攻击的电脑进行非法控制系统资源、盗取用户文件、删除硬盘中的文件、格式化硬盘等恶意操作
3.恶意代码分类：通过脚本程序来修改ie浏览器、通过脚本程序来修改用户操作系统
4.恶意代码的传播手段：利用软件漏洞传播、利用电子邮件传播
5.恶意代码的攻击机制：侵入系统、维持或提升现有权限、隐蔽策略、潜伏、破坏
6.IE炸弹是指一段代码的执行会陷入无穷的循环，最终导致资源耗尽，影响电脑的使用
7.防火墙只控制基于网络的连接，通常不对通过标准电子邮件端口的通信进行详细审查
8.路由器常见安全问题及原因：桌面出现奇怪广告、密码被盗、各种盗号被黑、有不明设备连接到路由器的无线网、恢复出厂设备并关掉无线，还会出现问题
原因：DNS被劫持、黑客进入局域网后进行arp欺骗、路由器开了WPS功能，pin码可推导、路由器有安全漏洞
9.提高路由器安全的方法：修改路由器登录用户名密码、修改路由器管理端口、关闭DHCP服务、修改LAN口IP为不常用网段、隐藏无线网络SSid、开启路由器防火墙
10.Windows defender曾用名microsoft anti spyware，是一个杀毒程序，是Windows自带的杀毒程序
11.还原点表示电脑系统文件的存储状态，系统还原会按照特定的时间间隔创建还原点，还会在检测到电脑开始变化时创建还原点
12.ghost系统是指通过赛门铁克公司出品的在已安装的操作系统中进行镜像克隆的技术
13.ghost可以在dos环境、pe环境、Windows环境下运行，可以使用光盘、u盘、硬盘作为载体、不需要进行安装

软件推荐
qq盗号软件：qq黏虫、qq机器人、QQ简单盗、迷你qq密码截取器、好友号好好盗、啊拉qq大盗、qqexplorer、盗q黑侠、冰之缘、QQ破密使者、影子盗号生成器
制作修改IE参数的病毒：病毒制造机
邮箱盗取：流光
DDoS压力测试软件：皮皮虾穿盾
SQL注入：啊D注入工具