Windows常见目录
Documents and Settings/用户
存储用户设置,包括用户文档、上网浏览信息、配置文件等数据
Windows目录
Windows安装目录,用来放置Windows程序的使用数据、设置等文件。不建议修改此目录下数据,易造成Windows系统使用异常
Program File
应用程序文件夹,一般软件默认安装位置。当然此处也包含系统自带的应用程序。Windows10系统中,64位用户多出一个Program Files(x86)文件夹,用作系统中32位软件的安装目录
Temp目录 临时文件目录
文件路径:C:\Users\user\AppData\Local\Temp
上面存在许多垃圾文件,包括使用压缩软件等解压的临时文件。此目录也是病毒检测过程中快速扫描的位置。
Windows注册表
注册表是Windows操作系统中的一个核心数据库,其中存放各种参数,直接控制Windows的启动、硬件驱动程序的装装载以及一些Windows应用程序的运行。
恶意病毒通常通过修改注册表的键HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main Start Page项对应的URL值来修改IE起始页面。
系统启动项
开机时系统会在前台或后台自动运行的程序。查看方式为msconfig命令。
将文件、程序等放入位于C:\Users\user\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup的启动文件夹中即可实现开机自启动。
设备管理器
设备管理器常被用来查看和更改设备属性、更新设备驱动程序、配置设备设置和卸载设备。所有设备通过设备驱动程序与Windows进行通信。
- 超融合迁移(虚拟机网卡网络适配器)
- 云桌面外设(USB白名单)
使用设备管理器可以安装和更新硬件设备的驱动程序、修改这些设备的硬件设置以及通过查看硬件设备状态信息来排查问题。
任务管理器
Windows任务管理器提供了有关计算机性能的信息,并显示了计算机上所运行的程序和进程的详细信息(哪个用户创建了哪个进程或程序,该进程或程序占用了多少CPU及其他系统资源)。
- 应用程序
- 进程(*32代表32位系统进程)
- 服务
- 性能(详细Windows系统资源占用情况)
- 联网(网卡流量)
- 用户(当前运行的用户名)
进程
进程是正在运行的程序实例。每个进程存在属于自己的地址空间,一般包括文本区域(text region)、数据区域(data region)和堆栈(stack region)。文本区域存储处理器执行的代码;数据区域存储变量和进程执行期间使用的动态分配的内存;堆栈区域存储活动过程调用的指令和本地变量。
- 虚拟机出现CPU、内存异常偏高时,可以通过任务管理器查看进程的资源利用率
- 病毒常伪装成svchost.exe,explorer.exe和rundll32.exe等系统进程,当发现这些进程CPU及内存资源占用异常时,需要重点查杀
组策略
组策略在部分意义上可控制用户可以或无法在计算机上执行什么操作,提供了操作系统、应用程序和活动目录中用户设置的集中化管理和配置。在运行模式下输入gpedit.msc可以打开组策略配置。
刷新时间
默认情况下,Mircosoft Windows每90分钟刷新一次组策略,随机偏移为30分钟。在域控制器上,Microsoft Windows每隔5分钟刷新一次。
处理顺序
- 本地——任何在本地计算机的设置。在Windows Vista和之后的Windows版本中,允许每个用户账户分别拥有组策略
- 站点——任何与计算机所在的活动目录站点关联的组策略。活动目录站点旨在管理促进物理上接近的计算机的一种逻辑分组。如果多个策略链接到一个站点,将按照管理员设置的顺序处理
- 域——任何与计算机所在Windows域关联的组策略。如果多个策略链接到一个域,将按照管理员设置的顺序处理
- 组织单元——任何与计算机或用户所在的活动目录组织单元(OU)关联的组策略。OU是帮助组织和管理一组用户、计算机或其他活动目录对象的逻辑单元。如果多个策略链接到一个OU,将按照管理员设置的顺序处理
安全组
可以列出用于定义资源和对象权限的任意访问控制列表(DACL)中的组。Windows安全组策略其实是组策略中关于安全设置的部分,囊括了账户安全策略、Windows防火墙配置等配置目录。
在运行任务栏输入secpol.msc,修改安全组相关配置之后,需要重新登录Windows用户方可生效。
工作组
工作组就是将不同的电脑按功能分别列入不同的组中,以方便管理。
Windows 9x/NT/2000引入工作组概念后,若要访问某个系列的资源,需要在网上邻居内找到对应的工作组名,即可找到该系列资源。
域
工作组中一切设置在本机上进行,包括各种策略、用户登录等过程,对应密码也存放在本机数据库中进行验证。
域作为工作组的升级版,计算机的各种策略通过域控制器统一设定,用户名和密码的验证过程也在域控制器中完成。因此,用户信息可以实现在域中电脑上的漫游。
域控制器
在域模式下,至少有一台服务器负责每台联入网络的电脑和用户的验证工作,被称为域控制器(Domain Controller,DC)。域控制器包含由这个域的账户、密码、属于这个域的计算机等信息构成的数据库。
安全日志
Windows用户所有的登录注销、安全策略更改都会以安全日志的形式记录。
日志位置:计算机管理—>系统工具—>事件查看器—>Windows日志—>安全
- 溯源黑客入侵行为
- 通过事件ID快速检索日志
常用网络排查命令
Ping
通过发送Internet控制消息协议(ICMP)验证与其他TCP/IP计算机的IP级连接回显请求消息。显示相应的回音回复信息的接受以及往返时间。该命令可用于解决连接、可访问性和名称解析等问题。
常用选项
Ping IP/域名 -t
:长时间执行Ping命令,以推断连接健壮性Ping IP/域名 -n number
: 指定发送数据包的数量Ping IP/域名 -l length
: 指定发送数据包的长度(默认长度为32Bytes)
一般使用Ping IP/域名 -l big-number -n big-number
探测连接稳定性,其中big-number为大于1000的数字,需要多次尝试以找到合适的数据包长度。
错误提示
- 找不到主机:排查DNS是否正确解析指定域名
- 请求超时:目标地址禁止Ping/目标地址不存在
- 传输失败:主机网络存在问题
ARP
显示和修改地址解析协议缓存中的条目,其中包含一个或多个用于存储IP地址及其解析结果的以太网或令牌环物理地址的表。计算机上安装的每个以太网或令牌环网络适配器都存在单独的表。
常用选项
Arp -a
:显示所有的地址信息及接口信息Arp -s ip_addr mac_addr
:静态配置ARP地址表项Arp -d
:用于删除当前ARP信息
Tracert
确定通过发送Internet控制消息协议(ICMP)回显请求或以递增的生存时间(TTL)字段值向目标发送消息。路径显示源主机和目标之间路径中路由器的近/侧路由器接口列表。无参数使用。
常用选项
Tracert -d
:不将地址解析成主机名Tracert -h maximum_hops
:搜索目标的最大跃点数
Route
显示并修改本地IP路由表中的输入。无参数使用。需要以管理员身份打开以进行相关配置。常用命令结构:Route command ip_addr mask mask_number gateway_addr
。
常用选项
command
Route PRINT
:打印路由表Route ADD
:添加静态路由(临时,重启后消失)Route DELETE
:删除路由信息Route CHANGE
:修改现有路由的网关和跃点数
Route -p
:使得对路由表的添加操作永久生效
Ipconfig
显示所有当前TCP/IP网络配置值,并刷新动态主机配置协议(DHCP)和域名系统(DNS)设置。无参数使用时,为所有适配器显示Internet协议版本4和IPv6地址、子网掩码和默认网关。
常用选项
Ipconfig /all
:显示所有网络适配器的所有信息Ipconfig /release
:释放当前所有网卡的DHCP信息Ipconfig /renew
:释放当前网卡的所有DHCP信息并重新获取Ipconfig /displaydns
:展示当前DNS缓存信息Ipconfig /flushdns
:清理当前DNS缓存信息
Netstat
显示有源TCP连接,计算机在哪个端口被侦听,以太网统计,IP路由表,IPv4统计和IPv6统计。无参数使用时,网络显示激活TCP连接。
常用选项
Netstat -a
:展示当前监听的所有网口信息Netstat -n
:展示所有TCP&UDP连接信息及端口详细信息Netstat -o
:展示当前连接的PIDNetstat -p
:指定当前监听协议