系統目錄

1、Windows 系統目錄

2、Program files/Program files (x86)  程式安裝目錄  （64/32hit）

3、使用者 存放使用者的配置檔案

4、PerfLogs  是weindows7的日誌資訊，如磁碟掃描錯誤資訊，刪掉可以，但不建議刪，刪掉反而會降低系統速度、Perlogs是系統自動生成的。

5、開機自啟動軟體存放資料夾：

C:\Users\Administrator\(使用者名稱)\AppData\Roaming\Microsoft\windows\Start Menu\Programs\Startup

開始選單→所有程式→啟動

7、C:\Windows\System32是存放系統配置檔案

8、C:\Windows\System32\config下的SAM檔案存放了windows帳號和密碼的檔案。注：可以用PE（系統安裝U盤）來將SAM檔案拷貝出來，再清理該檔案；做完Hacking後還原。

9、C:\Windows\System32\drivers\etc下的hosts檔案，是用來解析域名的

10、日誌資訊的利用

服務

服務是一種應用程式型別，它在後臺執行、服務應用程式。通常可以在本地和通過網路為使用者提供一些功能。例如：客戶端/服務端應用程式、web伺服器、資料庫伺服器以及其他基於伺服器的應用程式。

開啟服務

右擊我的電腦開啟“計算機管理”

Ctrl+r開啟執行

輸入services.msc回車開啟。

服務的作用

1. 服務決定了計算機的一些功能是否被啟用。
2. 不同的服務對應的功能不同
3. 通過計算機提供的服務可以有效實現資源共享視角服務
4. Web服務
5. Dns服務（域名解析服務）
6. Dhcp服務  用於給客戶端分發ip（自動獲取ip）
7. 郵件服務
8. Telnet服務 telnet在windows 03或xp中可以在服務中改動，但是在windows7中需要在控制面板→程式→windows功能中改動。
9. Ssh服務 和telnet類似，但是有加密
10. ftp服務 上傳與下載
11. Smb服務 檔案共享服務

同網段提取共享檔案：執行：\\ ip

埠

計算機“埠”是英文port的義譯，可以認為是計算機與外界通訊交流的出口。按埠號可分為3大類：公認埠（Well Known Ports）、註冊埠（Registered {orts）、動態和私有埠（Dynamic and/or Private Ports）

注：埠一共有65536個，其中前1024個已經固定了服務，但是可以被改動。

埠的作用

我們知道，一臺擁有IP地址的主機可以提供許多服務，比如Web服務、ftp服務、SMTP服務等。這些服務完全可以通過一個IP地址來實現。那麼主機是怎樣區分不同的網路服務呢？顯然不能只靠IP地址，因為IP地址與網路服務的關係是一對多的關係。實際上是通過“IP地址+埠號”來區分不同的服務的

注：埠並不是一一對應的。比如可以從你的3457埠連線伺服器的埠。

埠的分類

按埠號分佈劃分

1. 知名埠（Well-Known Ports）

知名埠即眾所周知的埠號。範圍從0到10213這些埠號一般固定分配給一些服務。比如21噸啊看分配給ftp服務、25埠分配給SMTP服務（簡單郵件傳輸協議），80埠分配給HTTP服務，135埠分配給RPC（遠端過程呼叫）服務等等

1. 動態埠（Pynamic Ports）

動態埠的範圍是從1024到65535，這些埠一般不固定分配給某個服務，也就是說許多服務都可以使用這些埠，只要執行的程式向系統提出訪問網路的申請，那麼系統就可以從這些埠號中分配給第一個供該程式使用。比如，1024埠就是分配給第一個向系統發出申請的程式。在關閉系統程序後，就會釋放所佔用的埠號。

不過，動態埠也常常被病毒木馬程式所利用。如，冰河預設連線埠是7626，WAY2.4是8011、Netspy3.0是7306、YAI病毒是1024等等。

按協議型別劃分：TCP、UDP、IP、ICMP等

1. TCP埠

TCP埠，即傳輸控制協議埠，需要在客戶端和伺服器之間建立連線，這樣可以提供可靠的資料傳輸、FTP的21埠、Telnet服務的23埠、SMTP服務的25埠，以及HTTP服務的80埠等

1. UDP埠

UDP埠，即使用者資料包協議埠，無須在客戶端和伺服器之間建立連線，安全性得不到保障，常見的有DNS的53埠，SMYP（簡單網路管理協議）服務的161埠，QQ使用的8000埠和4000埠等等

常見的埠

1. HTTP協議代理伺服器常用埠號：80/8080/3128/8081/9080
2. FTP（檔案傳輸）協議代理伺服器常用埠：21
3. Telnet（遠端登入）協議代理伺服器常用埠：23
4. TFTP（Trivial File Transfer Protocol）,預設的埠號：22/tcp
5. SSh（安全登入）、SCP（檔案傳輸）、埠重定向預設的埠號為25/tcp（木馬Antigen、Email Password Sender、Haeba Coceda、Shtrilitz Stealth、WinPc、WinSpy、都開放這個埠）
6. POP3 Post Office Protocol(E-mail),預設的埠號為110/tcp
7. TOMCAT預設埠號為3389
8. Oracle資料庫，預設的埠號為1521
9. MS SQLSERVER資料庫Server預設埠號為1433/tcp  1433/udp
10. QQ預設埠號為1080/udp

我們通過端口乾什麼?

資訊收集、目標探測、服務判斷、系統判斷、系統角色分析

登錄檔

登錄檔（Registry，繁體中文版的Windows稱之為登入檔）是Microsoft Windows中的一個重要資料庫，用於儲存系統和應用程式的設定資訊，早在Windows3.0推出OLE技術的時候，登錄檔就已經出現、隨後推出的WindowsNT是第一個從系統級別廣泛使用登錄檔的作業系統，但是從Microsoft Windows95開始，登錄檔才真正成為Windows使用者經常接觸的內容，並在其後的作業系統中繼續沿用至今。

開啟登錄檔

執行：regedit

登錄檔的作用

登錄檔是Windows作業系統的一個核心資料庫，其中存放著各種引數，直接控制著Windows的啟動、硬體、驅動程式的裝載以及一些WIndows應用程式的執行，從而在整個系統中起著核心作用。這些作用包括了軟體、硬體的相關配置和狀態資訊。比如登錄檔中儲存有應用程式和資源管理器外殼的初始條件，首選項和解除安裝資料等，聯網計算機的整個系統的設定和各種許可、副檔名與應用程式的關聯，硬體部件的描述、狀態和屬性效能記錄和其他底層的系統狀態資訊，以及其他資料等。

▲登錄檔結構

1. HKEY_CLASSES_ROOT

管理檔案系統，根據在Windows中安裝的應用程式的副檔名，該根鍵指明其檔案型別的名稱，相應開啟該檔案索要呼叫的程式等等資訊

1. HKEY_LOCAL_USER

管理系統當前的使用者資訊，在這個根鍵中儲存了本地計算機中存放的當前登入的使用者資訊，包括使用者登入使用者名稱和暫存的密碼，在使用者登入Windows98時，其資訊從HKEY_UERS中相應的項拷貝到HKEY_CURRENT_USER中

1. HKEY_LOCAL_MACHINE

管理當前系統硬體配置。在這個根鍵中儲存了本地計算機硬體配置資料，次根鍵下的子關鍵字包括在SYSTEM.DAT中，用來提供HKEY_LOCAL_MACHINE所需的資訊，或者在遠端計算機中可訪問的一組鍵中。

這個根鍵裡面的許多子鍵與SYSTEM.ini檔案中設定項類似

1. HKEY_USERS

管理系統的使用者資訊。在這個根鍵中儲存了存放在本地計算機口令列表中的使用者標識和密碼列表。同時每個使用者的配置資訊都儲存在HKEY_USERS根鍵中，HKEY_USERS是遠端計算機中訪問的根鍵之一。

1. HKEY_CURRENT_CONFIG

管理當前使用者的系統配置。在這個根鍵中儲存著定義當前使用者桌面配置（如顯示器等等）的資料，該使用者使用過的文件列表（MRU），應用程式配置和其他有關當前使用者的Windows98中文版的安裝的資訊。

利用註冊機防病毒

不少計算機系統感染了網路病毒後，可能會在這些登錄檔中做修改。

HKEY_CURRENT_USER\Software\Microsoft\WIndows\CurrentVersion\RunOnce

HKEY_CURRENT_USER\Software\Microsoft\WIndows\CurrentVersion\Run

HKEY_CURRENT_USER\Software\Microsoft\WIndows\CurrentVersion\Run Services

病毒經常修改的登錄檔鍵值

1. IE起始頁的修改

HKEY_CURRENT_USER\Software\Microsoft\InternteExplorer\Main

1. INternet選項按鈕灰化&失敗

HKEY_CURRENT_USER\Software\Policies\Microsoft\Intnet Explorer\Control Panel下的DWORD值”Setting” =dword:/”Links” =dword:1”SecAddSites”dword:1全部改為0之後 再將HKEY_CURRENT_USER\Software\Policies\Microsoft\Intnet Explorer\Control Panel下的DWORD值”homepage”鍵值改為0，則無法使用“Internet選項”修改IE設定。

1. 原始檔不可用

HKEY_CURRENT_USER\Software\Policies\Microsoft\InternetExplorer\RestrictionsVersion\Po“NoViewSource”被設定為1了，改為0可恢復正常。

1. “執行”按鈕被取消&失效

HKEY_CURRENT_USER\Software\Microsoft\Windows\Current Version\Policies\Explorer的“NoRun”鍵值被改為1了，改為0可恢復

1. “關機”按鈕被取消&失效

HKEY_CURRENT_USER\Software\Microsoft\Windows\Current Version\Policies\Explorer的“NoClose”被改為1了，改為0恢復。

1. “登出”按鈕被取消&失效

HKEY_CURRENT_USER\Software\Microsoft\Windows\Current Version\Policies\Explorer的“NoLogOff”鍵值被改為1了，改為0恢復

1. 磁碟驅動器被隱藏

HKEY_CURRENT_USER\Software\Microsoft\Windows\Current Version\Policies\Explorer的“NoDrives”鍵值被改為1了，改為0可恢復

入侵中常用的登錄檔

1. HKEY_LOCAL_MACHINE\Software\hzhost\config\settinbgs\mysqlpass
2. HKEY_LOCAL_MACHINE\Software\hzhost\config\settinbgs\mysqlpss
3. HKEY_LOCAL_MACHINE\Software\hzhost\config\settinbgs\mastersvrpass
4. HKEY_LOCAL_MACHINE\SYSTEM\LIWEIWENSOFT\INSTALLFREEADMIN\11
5. HKEY_LOCAL_MACHINE\SYSTEM\LIWEIWENSOFT\INSTALLFreeHost\11