目录
Windows常见目录
Documents and Settings/用户
Windows7/10中的“用户”文件夹其实就是XP中的Documents and Settings文件夹,这里存储了用户的设置,包括用户文档、上网浏览信息、配置文件等数据。
用户目录下有administrator、all users、default user、用户文件夹等。All users针对所有用户,这里的更改对所有用户有效,Administrator针对系统管理员账户。
application data:通用应用程序数据文件夹
favotites:收藏夹
local settings:保持应用程序数据、历史和临时文件,可清理
my documents:我的文档
Windows目录
windows目录,就是我们的windows安装目录,用来放置windows程序的使用数据、设置等文件。强烈不建议改动此文件下的数据,可能会导致windows系统使用异常。
Program Files
应用程序文件夹,一般软件默认都安装在这里,也有系统自带的应用程序。在Windows 7系统中,64位用户会多出一个Program Files(X86)文件夹,这是系统中32位软件的安装目录
Temp目录
临时文件目录,文件路径:C:\Users\user\AppData\Local\Temp;作用:上面有很多垃圾文件,包括使用压缩软件等解压的临时文件。
注册表
注册表是windows操作系统中的一个核心数据库,其中存放着各种参数,直接控制着windows的启动、硬件驱动程序的装载以及一些windows应用程序的运行,从而在整个系统中起着核心作用。注册表的打开,win+R: regedit
可以通过直接修改注册表来实现一些操作。比如:通过注册表修改IE起始页(病毒通常会修改此项键值)
HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main Start Page
注册表发生改动后,需要注销重新登录windows系统,改动后的注册表才生效。
系统启动项
开机的时候系统会在前台或者后台运行的程序;在运行栏输入msconfig。
在windows开始菜单栏目有一个启动文件夹,把文件、程序放入其中就可以实现开机自动执行该文件。启动文件夹的实际位置为 :C:\Users\user\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup
设备管理器
可以使用“设备管理器”查看和更改设备属性、更新设备驱动程序、配置设备设置和卸载设备。其提供计算机上所安装硬件的图形视图。所有设备都通过一个称为“设备驱动程序”的软件与 Windows 通信。
使用设备管理器可以安装和更新硬件设备的驱动程序、修改这些设备的硬件设置以及解决问题
任务管理器
Windows任务管理器提供了有关计算机性能的信息,并显示了计算机上所运行的程序和进程的详细信息。任务管理器-进程界面可以看到正在运行的应用程序。可以手动结束任务、新建任务;在进程栏目,可以看到后台运行的进程。
在详细信息栏目,可以看到所有正在运行的服务的信息信息;可以通过运行的服务,查到相关运行的后台进程。
在性能栏目,可以看到详细的windows系统资源占用情况;用户栏目可以看到当前运行的用户名
进程
进程是正在运行的程序的实例。每一个进程都有它自己的地址空间,一般情况下,包括文本区域(text region)、数据区域(data region)和堆栈(stack region)。文本区域存储处理器执行的代码;数据区域存储变量和进程执行期间使用的动态分配的内存;堆栈区域存储着活动过程调用的指令和本地变量。
当虚拟机出现cpu、内存异常飙高时,可以通过任务管理器查看进程的资源利用率。病毒喜欢伪装成svchost.exe、explorer.exe、rundll32.exe等系统进程。当发现这些系统进程cpu、内存资源占用异常的时候,建议通过杀毒软件查杀。
组策略&安全组
组策略在部分意义上是控制用户可以或不能在计算机上做什么。其策略提供了操作系统、应用程序和活动目录中用户设置的集中化管理和配置。例如:施行密码复杂性策略避免用户选择过于简单的密码;允许或阻止身份不明的用户从远程计算机连接到网络共享;阻止访问Windows任务管理器或限制访问特定文件夹。
默认情况下,Microsoft Windows每90分钟刷新一次组策略,随机偏移30分钟。在域控制器上,Microsoft Windows每隔5分钟刷新一次。组策略对象会按照以下顺序(从上向下)处理:
- 本地-任何在本地计算机的设置。在Windows Vista之前,每台计算机只能有一份本地组策略。在Windows Vista和之后的Windows版本中,允许每个用户帐户分别拥有组策略。
- 站点-任何与计算机所在的活动目录站点关联的组策略。( 活动目录站点是指在管理促进物理上接近的计算机的一种逻辑分组)。如果多个策略已链接到一个站点,将按照管理员设置的顺序处理。
- 域-任何与计算机所在Windows域关联的组策略。如果多个策略已链接到一个域,将按照管理员设置的顺序处理。
- 组织单元-任何与计算机或用户所在的活动目录组织单元(OU)关联的组策略。(OU是帮助组织和管理一组用户、计算机或其他活动目录对象的逻辑单元)。如果多个策略已链接到一个OU,将按照管理员设置的顺序处理。
打开方式,在运行模式下输入gpedit.msc(Windows家庭版下不支持);根据需要,配置相关策略选项
安全组可以列在用于定义资源和对象权限的任意访问控制列表 (DACL) 中的组;在运行任务栏输入secpol.msc(Windows家庭版下不支持);windows安全组策略其实是组策略其中关于安全设置的一部分。里面囊括了账户安全策略、windows防火墙配置等配置目录。
例:更改windows本地密码策略;重新登录windows用户后生效。
工作组
工作组就是将不同的电脑按功能分别列入不同的组中,以方便管理。Windows 9x/NT/2000 才引用了“工作组”这个概念,比如一所高校,会分为诸如数学系、中文系之类的,然后数学系的电脑全都列入数学系的工作组中,中文系的电脑全部都列入到中文系的工作组中……如果你要访问某个系别的资源,就在“网上邻居”里找到那个系的工作组名,双击就可以看到那个系别的电脑了。
设置方法:
- 用鼠标点击“计算机”右键,然后弹出的快捷菜单中选择“属性”,打开“系统”。
- 弹出“系统属性”对话框,然后切换到“计算机名”,点击“修改”键。
- 在弹出的“计算机名修改”对话框,输入对应的名称。
- 点击“确定”按钮,就会在计算机的屏幕中弹出信息提示框。
- 点击“确定”键,会再一次会弹出信息提示框。
- 点击“确定”键,返回到“系统属性”点击“确定”键,然后重新启动计算机即可。
域
其实可以把域和工作组联系起来理解,在工作组上你一切的设置在本机上进行包括各种策略,用户登录也是登录在本机的,密码是放在本机的数据库来验证的。
而如果你的计算机加入域的话,各种策略是域控制器统一设定,用户名和密码也是放到域控制器去验证,也就是说你的账号密码可以在同一域的任何一台计算机登录。在“域”模式下,至少有一台服务器负责每一台联入网络的电脑和用户的验证工作,相当于一个单位的门卫一样,称为“域控制器(Domain Controller,简写为DC)”。域控制器中包含了由这个域的账户、密码、属于这个域的计算机等信息构成的数据库。
如果说工作组是“免费的旅店”那么域(Domain)就是“星级的宾馆”;工作组可以随便出出进进,而域则需要严格控制。“域”的真正含义指的是服务器控制网络上的计算机能否加入的计算机组合。一提到组合,势必需要严格的控制。所以实行严格的管理对网络安全是非常必要的。在对等网模式下,任何一台电脑只要接入网络,其他机器就都可以访问共享资源,如共享上网等。尽管对等网络上的共享文件可以加访问密码,但是非常容易被破解。在由Windows 9x构成的对等网中,数据的传输是非常不安全的。
安全日志
windows用户所有的登录注销、安全策略更改都会以安全日志的形式记录。查看方式:计算机管理->系统工具->事件查看器->Windows日志->安全。我们可以通过查看安全日志,溯源黑客的入侵行为(如果黑客没有清理安全日志的话)。
可以通过事件ID快速检索日志,比如5379代表已读取凭据。
常用的网络排查命令
Ping
通过发送Internet控制消息协议(ICMP)验证与其他TCP/IP计算机的IP级连接回显请求消息。显示相应的回音回复信息的接收,以及往返时间。ping是主要的TCP/IP命令,用于解决连接、可访问性和名称解析问题。使用时不带参数,ping显示帮助。
用法:
1、Ping IP/域名
2、Ping IP/域名 -t
指定ping继续向目标发送回显请求消息,直到被中断为止。 要中断并显示统计信息,请按CTRL + break。 要中断并退出ping,请按CTRL + C。
3、Ping IP/域名 -n 次数
发送回显指定的次数
4、 Ping IP/域名 -l 长度
指定发送的回显请求消息中“数据”字段的长度(以字节为单位)。 默认值为32。最大大小为65,527。
5、Ping 请求超时
目标主机禁Ping
6、Ping 传输失败
主机网络问题
Arp
显示和修改地址解析协议(ARP)缓存中的条目,其中包含一个或多个用于存储IP地址及其解析的以太网或令牌环物理地址的表。计算机上安装的每个以太网或令牌环网络适配器都有一个单独的表。在没有参数的情况下使用,arp显示帮助。
用法:
1、Arp -a
显示本地的所有ARP表,要显示特定IP地址的arp缓存条目,请使用带有Inetaddr参数的arp -a,其中Inetaddr是IP地址。
2、Arp -d
删除所有Arp的表项
3、Arp -s IP MAC
向arp高速缓存添加一个静态条目,该条目将IP地址Inetaddr解析为物理地址Etheraddr。
Tracert
确定通过发送Internet控制消息协议(ICMP)回显请求或 以递增的生存时间(TTL)字段值向目标发送消息。路径显示源主机和目标之间路径中路由器的近/侧路由器接口列表。近侧接口是最接近路径中发送主机的路由器接口。不用参数,tracert显示帮助。
用法:
1、tracert IP/域名
2、tracert -d IP/域名
防止tracert尝试将中间路由器的IP地址解析为其名称。 这样可以加快Tracert结果的显示
Route
显示并修改本地IP路由表中的输入。无参数使用,路径显示帮助。
用法:
1、Rtoue add 目标网络 MASK 子网掩码 网关IP
2、Rtoue delete 目标网络
删除一条路由
3、Rtoue -p add 目标网络 MASK 子网掩码 网关IP
与add命令一起使用时,指定的路由将添加到注册表中,并在启动TCP / IP协议时用于初始化IP路由表。 默认情况下,启动TCP / IP协议时不会保留添加的路由。 与print命令一起使用时,将显示持久路由列表。 对于所有其他命令,将忽略此参数。 永久路由存储在注册表中。
本地位置HKEY_LOCAL_MACHINE \ SYSTEM \ CurrentControlSet \ Services \ Tcpip \ Parameters \ PersistentRoutes。
Route –p add 172.16.1.1 mask 255.255.255.255 192.168.4.1
Ipconfig
显示所有当前TCP/IP网络配置值,并刷新动态主机配置协议(DHCP)和域名系统(DNS)设置。ipconfig在没有参数的情况下使用,为所有适配器显示Internet协议版本4(IPv4)和IPv6地址、子网掩码和默认网关。
用法:
1、ipconfig /all
显示所有适配器的完整TCP / IP配置。 适配器可以表示物理接口(例如已安装的网络适配器)或逻辑接口(例如拨号连接)。
2、ipconfig -release
向DHCP服务器发送DHCPRELEASE消息以释放当前的DHCP配置,并丢弃所有适配器(如果未指定适配器)或特定适配器(如果包括Adapter参数)的IP地址配置。 对于配置为自动获取IP地址的适配器,此参数禁用TCP / IP。 要指定适配器名称,请键入使用不带参数的ipconfig时显示的适配器名称。
作用:释放DHCP信息
2、ipconfig /renew
为所有适配器(如果未指定适配器)或特定适配器(如果包括Adapter参数)续订DHCP配置。 此参数仅在带有配置为自动获取IP地址的适配器的计算机上可用。 要指定适配器名称,请键入使用不带参数的ipconfig时显示的适配器名称。
作用:通过DHCP重新获取地址
3、ipconfig /displaydns
显示DNS客户端解析器缓存的内容,其中包括从本地Hosts文件预加载的条目以及计算机最近解析的名称查询的任何最近获取的资源记录。 DNS客户端服务使用此信息来快速解析经常查询的名称,然后再查询其配置的DNS服务器。
作用:查看DNS缓存
4、ipconfig /flushdns
刷新并重置DNS客户端解析器缓存的内容。 在DNS故障排除期间,您可以使用此过程从缓存中删除否定的缓存条目以及已动态添加的任何其他条目。
作用:清空DNS缓存
Netstat
显示活动的TCP连接,计算机正在侦听的端口,以太网统计信息,IP路由表,IPv4统计信息(用于IP,ICMP,TCP和UDP协议)和IPv6统计信息(用于IPv6,ICMPv6,基于IPv6的TCP) ,以及UDP over IPv6协议。 如果不带参数使用,netstat将显示活动的TCP连接。
用法:
1、netstat -a
显示所有活动的TCP连接以及计算机正在侦听的TCP和UDP端口。
2、netstat -n
显示活动的TCP连接,但是,地址和端口号以数字表示,并且不尝试确定名称。
3、netstat -o
显示活动的TCP连接,并包括每个连接的进程ID(PID)。 您可以在Windows任务管理器的“进程”选项卡上找到基于PID的应用程序。 该参数可以与-a,-n和-p结合使用。
4、netstat -p 协议
显示协议指定的协议的连接。 在这种情况下,协议可以是tcp,udp,tcpv6或udpv6