锐单电子商城 , 一站式电子元器件采购平台!

  • 电话:400-990-0325

购物车

windows操作系统基础总结

时间:2023-02-19 12:30:00 lance连接器

文章目录

  • 引言
  • 一、文件目录管理
  • 二、网络配置
  • 用户和群组
  • 四、进程
  • 五、核心文件
  • 六、日志审核
  • 七、登录日志
  • 八、恶意行为跟踪
  • 九、日志分析工具

引言

对windows下常见的dos总结命令和windows总结操作系统的基本知识。

一、文件目录管理

  1. 列出目录结构

    dir [path]:\[folderName] dir /a:h /s    ///显示当前目录及其子目录下的隐藏文件 dir /a:s /s    ///显示当前目录及其子目录下的系统文件 dir /a:r /s    ///显示当前目录及其子目录下的只读文件 dir /a:a /s    ///显示当前目录及其子目录下的存档文件 tree           ////树状显示目录结构

  2. 操作文件和目录

    //创建文件并输出信息 echo "test text" > 1.txt    //覆盖 echo "tesr text" >> 1.txt   //追加 copy con 1.txt              //创建1.txt文件,ctrl Z结束编辑 多行输入 md test    //创建test目录 del 1.txt  //删除1.txt rd  test   //删除test目录(空目录) rd test /S /Q //删除test目录(非空目录) ren [fileName1] [fileName2]  //重命名 type 1.txt //查看1.txt文件内容 start 1.txt ///打开默认程序

  3. 设置文件或目录属性

    attrib  S  H [path]:\[fileName]        // 添加系统文件和隐藏文件属性 attrib  S  H [path]:\[fileName] /S /D  // 处理文件夹和子文件中匹配的文件(包括文件夹) attrib  h [文件夹名] ////修改属性(隐藏) fsutil file createnew 路径 大小 ///快速生成空文件(吞内存)  assoc .txt=exefile //修改相关性txt变成exe文件 assoc .txt=txtfile //恢复

  4. 查找文件内容

    FIND [/V] [/C] [/N] [/I] [/OFF[LINE]] "string" [[drive:][path]filename[ ...]] /V         //显示所有未包含指定字符串的行。 /C         ///只显示包含字符串的行数。 /N         //显示行号。 /I         ///搜索字符串时忽略大小写。 /OFF[LINE] //不要跳过具有脱机属性集的文件。 "string"   //指定要搜索的文本字符串。 [drive:][path]filename ///指定要搜索的文件  find "abc" D:\abc\abc.txt          ///搜索包含abc并输出该行 find /n "abc" D:\abc\abc.txt       ///搜索包含abc并输出该行和行号

二、网络配置

  1. 网卡和服务

    ipconfig  -all      // 查看目前的一切 ip 地址信息 ipconfig /release   // 清除目前获得的 ip 地址 ipconfig /renew     // 重新获取 ip 地址  ping -t -l 65500 [IP or domain]      // 死亡之ping ping [ip]

  2. 网络连接

    netstat -ano    // 列出所有端口的使用情况 netstat -o      // 显示连接过程通常用于查找是否有木马程序

  3. 解析地址表

    arp -a      // 显示 ARP 列表 arp -d      // 清除 ARP 列表需要管理员的权限 arp -s [ip] [macAddress]    // 添加静态项

  4. 路由

    tracert [IP or domain]       // 跟踪路由 route print   ///打印路由表 route add [network]  mask [mask]  [next-hop]     ///新路由

  5. 解析域名

    nslookup www.baidu.com  //查询指定域名dns信息

  6. net

    net view      // 查看当前局域网中的其他连接器 net start     // 检查打开了哪些服务 net start [serviceName]     // 打开服务 net stop [serviceName]      // 停止服务 net time \目标ip      //检查对方的时间 net time \目标ip /set ///设置本地计算机时间"目标IP"主机时间同步,加上参数/yes确认信息可以取消 net view             ///查看本地局域网打开了哪些共享 net view \ip         ///检查对方局域网打开了哪些共享 net config           ////显示系统网络设置 net logoff           分享//断开连接 net pause 服务名     //暂停服务 net send ip "文本信息" ///向对方发送信息 net ver               ////局域网中使用的网络连接类型和信息 net share             ///查看本地共享  // 将共享的服务器C 盘映射成 K 盘,攻击者常用命令 net use k: \\[ipAddress]\c$  net use f: \\10.1.1.2\share 123.com /user:administrator将服务器share文件映射到本机 net use f: /del net use * /del net use f: \\10.1.1.2\c$ 密码 /user:用户   //////将服务器c盘映射到本机f盘上上 net use f: \\10.1.1.2\ipc$ 密码 /user:用户 //////将服务器c盘映射到本机f盘上上  // 下列命令建议管理员权限 net share             // 查看本地共享 net share ipc$        // 开启 ipc$ 共享 net share ipc$ /del   // 删除 ipc$ 共享 net share c$ /del     // 删除 C 盘的共享

用户和群组

  1. 用户和组

    net user lance 123.com /add   //建立用户 net user lance$ 123.com /add  //创建隐藏用户,net user查看不到lance用户 net user guest /active:yes //激活guest用户 net localgroup administrators lance /add //把"lance"将其添加到管理员组中,使其具有管理员的权限。 net localgroup administrators lance /del //删除 net password 密码 ////改变系统登录密码 net localgroup lance /add //创建lance组 net localgroup lance /del //删除组 net user lance /del       ///删除用户

四、进程

  1. 查看进程

    tasklist tskill [进程名|id]  工具: Pchunter ProcessExplorer ProcessHacker ProcessMonitor 火绒剑

  2. 常见进程

    Syste.exe windows:系统进程,一个重要的进程

    System Idle Process.exe:系统进程,它的作用是显示系统有多少闲置的cpu资源。

    svchost Service Host Process:是一个标准的动态连接库主机处理服务。Svchost用来启动服务。Svchost.只是负责为这些服务提供启动的条件,其自身并不能实现任何服务的功能,也不能为用户提供任何服务。 经常会被病毒利用进行dll注入的进程。

    explorer.exe :用于控制Windows图形,包括开始菜单、任务栏,桌面和文件管理。

    lsass.exe :系统进程这是一个本地安全权限服务管理进程详解:管理 IP安全策略以及启动 ISAKMP/Oakley (IKE) 和 IP 安全驱动程序。(系统登录是依赖此进程验证身份)

    services.exe: 系统进程 用与管理启动和停止Windows服务,该进程也管理计算机启动和关机时的运行的服务,所以很重要。

    alg.exe:这是一个应用层网关服务用于网络共享,alg.exe是微软Windows操作系统自带的程序。它用于处理微软Windows网络连接共享和网络连接防火墙。

    csrss.exe: 微软客户端/服务端运行时子系统。该进程管理Windows图形相关任务。注意:有些病毒也会创业该进程。

    mdm.exe :微软Windows进程除错程序。用于使用可视化脚本工具对Internet Explorer除错。

    taskmgr.exe: 任务管理器进程。

    rundll32.exe:用于在内存中运行DLL文件,它们会在应用程序中被使用,一般有多个。

    smss.exe: 微软Windows操作系统的一部分。

    winlogon :管理用户登录和退出的。

    Wuauclt.exe:Windows自动升级管理程序。

    spoolsv.exe :打印的进程

五、核心文件

C:\Windows:Windows操作系统中最核心的文件夹,大部分系统文件都在此文件夹下。

C:\Windows\Fonts:字体文件夹,有些病毒会存放在此文件夹下。

C:\Windows\System32:Windows文件夹中最重要的文件夹,一般用于存放Windows的系统文件和硬件驱动程序。。

C:\Windows\Temp:系统临时文件夹,有些病毒会存放在此文件夹下。

C:\Windows\system32\dirvers :Windows驱动文件夹,有些驱动病毒存放会在此文件夹下。

C:\Windows\System32\config:Windows配置文件,sam文件在该目录下,保存了系统的用户和密码信息。

六、日志审核

  1. 日志类型

    应用程序(Application)
    记录的是应用程序在系统中产生的事件信息。
    安全(Security)
    记录系统的安全信息,包括成功的登陆、退出,不成功的登陆,系统文件的创建、删除、更改。
    系统(System)
    记录windows系统组件产生的事件,主要包括驱动程序、系统组件、应用程序错误信息等。

  2. 事件查看器

    WINDOWS审计日志通过审计策略进行配置,审计策略默认关闭。双击需要开启的审计项,开启审计策略。

七、登录日志

  1. RDP登录分析

    RDP是windows环境下的远程登录协议,用户可使用RDP协议,通过3389端口远程连接windows主机,在对windows系统的入侵手段中,RDP爆破也是常见的方法之一,RDP登录日志位于windows安全日志中,登录类型为10,该日志记录了此主机上的所有登录行为。默认不开启,需要手动启动。

    事件ID为4672、4624

    • 登录失败事件
      比如RDP爆破登录
    • 异常账号的登陆成功时间
      如非管理员维护账号的登陆行为
    • 异常IP的登录成功事件
      如登陆IP为外国IP
    • 异常时间的登录成功事件
      如凌晨2点等非常规时间段远程登录主机

  2. 文件共享分析

    常见的基于共享目录的攻击行为是IPC爆破,共享目录可作为传输恶意文件的途径之一,了解共享目录的访问情况可以帮助我们了解攻击者的攻击方法。

    共享目录登录记录位于windows安全日志中,登录类型为3

  3. FTP登录分析

    FTP登录爆破通常作为攻击者获取敏感信息的途径之一,尤其是当用户对公网开放FTP服务器时,更应该仔细审核FTP登录日志,判断是否有恶意用户登录FTP服务器进行恶意操作。

  4. WINDOWS账户管理日志

    Windows帐户管理日志记录于Windows安全日志中。

    创建账号事件ID:4720;账户权限分配:4732

八、恶意行为跟踪

Windows系统的所有日志审核策略全开,会造成大量的磁盘和CPU开销。
常用日志记录一般有Windows登录日志、Web日志、FTP日志。
这些日志的审计,只能帮助我们找出入侵者,无法知道攻击者入侵后做了什么,攻击链是怎样的。

  1. Windows防火墙日志
    默认未开启,需手动开启。

  2. 进程跟踪
    跟踪审核策略记录了哪个用户,在什么时间、执行了什么程序,默认未开启。

  3. 对象访问
    对象访问事件可以审计所有尝试访问文件和其它Windows对象的活动;
    这里的Windows对象包括对文件夹、文件、服务、注册表和打印对象,不包括AD对象;
    审计对象访问策略默认未启用。
    对象访问策略在记录之前还需要为其指定审计的对象,可以针对文件或文件夹来设置审核对象。

九、日志分析工具

Log Parser(WINDOWS)
锐单商城拥有海量元器件数据手册IC替代型号,打造电子元器件IC百科大全!

相关文章