windows 知识liou4

周大胖子

windows基础

1.装完系统后 有一个user【用户】目录，

2.C:\Windows\System32  为系统文件；

        2.1 C:\Windows\System32\config\SAM         为存放windows系统账号密码的文件；[加锁文件就是 开始时就加载了 不能改动]
                [ 拷走文件，使用 PE清掉里面内容。 注意：备份两份 一份备份。一份拿来清除 PE不能读出密码 ]

3. (x86) 是 代表是 windows 64位的操作系统

        查看计算机 日志【被攻击记录: 开始菜单-》右侧 计算机-》 右键 管理 -》系统工具-》事件查看器-》日志】
       
4. 服务 [ 通过端口号不同 区分计算机不同的服务 ]

        4.1 查看服务： 右击 计算机管理 -》服务和应用程序   【或者 运行 services.msc】
       
        常见的服务：
                web : 网站服务
                dns        : 域名解析服务
                dhcp : 自动分发网址域名
                邮件服务 ：发送邮件的
                teInet         ：远程连接服务
                ssh :
                ftp        ：
                smb : 文件共享服务
               
        常见端口：
               
       
        4.2 端口的作用
               
5.  注册表 【操作系统的 核心数据库】
       
        5.1  运行-》regedit  打开注册表
       
        5.2  注册表可以被改 启动项、可以被修改一些配置  、可以改 浏览器首页
       
6.  DOS命令

        color  改变CMD颜色
        ping -t -l 65500 106.14.15.229【域名也行】   【特意校验了一下 请求超时 表示没啥卵用】
                死亡ping(发送64K的大数据包) 可以通过 TTL=51 值 看出是啥系统 <64 是 Linux ， 大于是 windows [每经过一个路由器 -1]
                [ ping值 TTL 代表的操作系统 https://www.cnblogs.com/ziyeqingshang/p/3769542.html ]
        ipconfig        查看IP  [也可以使用 ipconfig -all 查看详细]
        ipconfig /release 释放IP
        ipconfig /renew 重新获取
        systeminfo 查看系统信息 [可以查看补丁数，利用方式 复制粘贴看有没有我们可以利用的提权补丁没有打，]
        arp -a                 [ 列出同一个网关下 所有的网段 手机、电脑之类 ]
        net view        查看局域网内其他计算机名、手机名等等

        操作类：
        shutdown -s -t 180 -c "你被黑了，系统马上关机"   【-s 是关机，-r 是重启 -t 是时间  -c 是提示语  ，输完后 输入shutdown -a  取消执行】
        dir  查看目录
        cd          切换目录
        start www.cracer.com   打开网页
        start 123.txt   打开123.txt 文件
        conpy con c:\123.txt 创建123文件        【        conpy con + 路径】
        hello cracer
        clrl+z 回车
        md  目录名 创建文件
        rd 123 删除文件
        ren 原文件名 新文件名 重新命名文件
        del 删除文件
        copy 复制文件
        move  移动文件
        tree 树形列出文件夹结构
        teInet
        net use k:\\192.16..1.1\c$  【将这个IP底下的C盘文件 放到我的K盘 本来没有K盘，且需要用户名密码】
                        如果没有运行和密码 可以爆破出服务器的用户名和密码
        net use k:\\192.16..1.1\c$ /del
        net start 查看开启了哪些服务
        net start 服务名  开启服务：（如:net start teInet . net start schedule）
        set stop 服务名  停止某项服务
       
        net user 用户名 密码 /add 建立用户
        net user guest/active:yes 激活guest 用户
        net user 查看有哪些用户
        net user 账户名   查看账户的属性
        net locaLGroup administrators 用户名/add  吧用户添加到管理员中使其具有管理员权限[注意：administrator 后需要加s ]
        net user gust 12345 用guest 用户登录后用密码改为12345
        net password 密码 更改系统登录密码
        net share 查看本地开启的共享
        net share ipc$ 开启ipc$共享
        net share ipc$/del 删除ipc$共享文件
        net share c$/del 删除C：共享
       
        运行-》 msconfig  修改启动项
       
7. Hydra 爆破工具 ；
       
       
8. 手动清除木马
        8.1 查找开机启动项  [ 在命令一栏 部分木马 喜欢使用 %打头的链接 而不是C盘之类; 或者注册表里查看]
        8.2 查询服务 [netstat -o  查看已运行的服务]
        8.3 查看网络服务


9. 配置测试常用桌面： 雨滴桌面等