[系统运维]windows操作系统基础总结

引言

对windows下常见的dos命令进行总结，以及windows操作系统基础知识进行一个总结归纳。

一、文件目录管理

1. 列出目录结构

   dir [path]:\[folderName]
   dir /a:h /s    //显示当前目录及其子目录下的隐藏文件
   dir /a:s /s    //显示当前目录及其子目录下的系统文件
   dir /a:r /s    //显示当前目录及其子目录下的只读文件
   dir /a:a /s    //显示当前目录及其子目录下的存档文件
   tree           //树状显示目录结构
   

2. 文件和目录操作

   //创建文件并向文件输出信息
   echo "test text" > 1.txt    //覆盖
   echo "tesr text" >> 1.txt   //追加
   copy con 1.txt              //创建1.txt文件，ctrl+Z结束编辑 多行输入
   md test	   //创建test目录
   del 1.txt  //删除1.txt
   rd  test   //删除test目录(空目录)
   rd test	/S /Q //删除test目录(非空目录)
   ren [fileName1] [fileName2]  //重命名
   type 1.txt //查看1.txt文件内容
   start 1.txt //调用默认程序打开
   

3. 设置文件或目录属性

   attrib +S +H [path]:\[fileName]        // 添加系统文件和隐藏文件属性
   attrib +S +H [path]:\[fileName] /S /D  // 处理文件夹及子文件里匹配的文件（包含该文件夹）
   attrib +h [文件夹名] //修改属性（隐藏）
   fsutil file createnew 路径 大小 //快速生成空文件（吞内存）
   
   assoc .txt=exefile //修改关联性txt变成exe文件
   assoc .txt=txtfile //恢复
   

4. 查找文件内容

   FIND [/V] [/C] [/N] [/I] [/OFF[LINE]] "string" [[drive:][path]filename[ ...]]
   /V         //显示所有未包含指定字符串的行。
   /C         //仅显示包含字符串的行数。
   /N         //显示行号。
   /I         //搜索字符串时忽略大小写。
   /OFF[LINE] //不要跳过具有脱机属性集的文件。
   "string"   //指定要搜索的文本字符串。
   [drive:][path]filename //指定要搜索的文件
   
   find "abc" D:\abc\abc.txt          //查找含有abc的行,并输出该行
   find /n "abc" D:\abc\abc.txt       //查找含有abc的行,并输出该行和行号
   

二、网络配置

1. 网卡和服务

   ipconfig  -all      // 查看当前所有的 ip 地址信息
   ipconfig /release   // 清除当前获取到的 ip 地址
   ipconfig /renew     // 重新获取 ip 地址
   
   ping -t -l 65500 [IP or domain]      // 死亡之ping
   ping [ip]
   
   

2. 网络连接

   netstat -ano    // 列出所有端口的使用情况
   netstat -o      // 显示连接进程的情况，通常用于查找是否有木马程序
   

3. 解析地址表

   arp -a      // 显示 ARP 列表
   arp -d      // 清除 ARP 列表，需要管理员权限
   arp -s [ip] [macAddress]    // 添加静态项
   

4. 路由

   tracert [IP or domain]       // 跟踪路由
   route print   //打印路由表
   route add [network]  mask [mask]  [next-hop]     //新增路由
   

5. 解析域名

   nslookup www.baidu.com  //查询指定域名的dns信息
   

6. net

   net view      // 查看当前局域网内的其他连接者
   net start     // 查看开启了哪些服务
   net start [serviceName]     // 开启某一个服务
   net stop [serviceName]      // 停止某一个服务
   net time \目标ip      //查看对方时间
   net time \目标ip /set //设置本地计算机时间与"目标IP"主机的时间同步,加上参数/yes可取消确认信息
   net view             //查看本地局域网内开启了哪些共享
   net view \ip         //查看对方局域网内开启了哪些共享
   net config           //显示系统网络设置
   net logoff           //断开连接的共享
   net pause 服务名     //暂停某服务
   net send ip "文本信息" //向对方发信息
   net ver               //局域网内正在使用的网络连接类型和信息
   net share             //查看本地开启的共享
   
   // 将共享的某一个服务器的C 盘映射成 K 盘，攻击者常用命令
   net use k: \\[ipAddress]\c$
   
   net use f: \\10.1.1.2\share 123.com /user:administrator将服务器share文件映射到本机
   net use f: /del
   net use * /del
   net use f: \\10.1.1.2\c$ 密码 /user:用户   //将服务器c盘映射到本机f盘
   net use f: \\10.1.1.2\ipc$ 密码 /user:用户 //将服务器c盘映射到本机f盘
   
   // 以下命令建议需管理员权限
   net share             // 查看本地开启的共享
   net share ipc$        // 开启 ipc$ 共享
   net share ipc$ /del   // 删除 ipc$ 共享
   net share c$ /del     // 删除 C 盘的共享
   

三、用户和群组

1. 用户和组

   net user lance 123.com /add   //建立用户
   net user lance$ 123.com /add  //创建隐藏用户，net user查看不到lance用户
   net user guest /active:yes //激活guest用户
   net localgroup administrators lance /add //把"lance"添加到管理员组中使其具有管理员权限。
   net localgroup administrators lance /del //删除
   net password 密码 //更改系统登陆密码
   net localgroup lance /add //创建lance组
   net localgroup lance /del //删除组
   net user lance /del       //删除用户
   

四、进程

1. 查看进程

   tasklist
   tskill [进程名|id]
   
   工具：
   Pchunter
   ProcessExplorer
   ProcessHacker
   ProcessMonitor
   火绒剑
   

2. 常见进程

   System.exe windows：系统进程，一个重要的进程

   System Idle Process.exe：系统进程，它的作用是显示系统有多少闲置的cpu资源。

   svchost Service Host Process：是一个标准的动态连接库主机处理服务。Svchost用来启动服务。Svchost.只是负责为这些服务提供启动的条件，其自身并不能实现任何服务的功能，也不能为用户提供任何服务。 经常会被病毒利用进行dll注入的进程。

   explorer.exe ：用于控制Windows图形，包括开始菜单、任务栏，桌面和文件管理。

   lsass.exe ：系统进程这是一个本地安全权限服务管理进程详解：管理 IP安全策略以及启动 ISAKMP/Oakley (IKE) 和 IP 安全驱动程序。(系统登录是依赖此进程验证身份)

   services.exe： 系统进程 用与管理启动和停止Windows服务，该进程也管理计算机启动和关机时的运行的服务，所以很重要。

   alg.exe：这是一个应用层网关服务用于网络共享，alg.exe是微软Windows操作系统自带的程序。它用于处理微软Windows网络连接共享和网络连接防火墙。

   csrss.exe： 微软客户端/服务端运行时子系统。该进程管理Windows图形相关任务。注意：有些病毒也会创业该进程。

   mdm.exe ：微软Windows进程除错程序。用于使用可视化脚本工具对Internet Explorer除错。

   taskmgr.exe： 任务管理器进程。

   rundll32.exe：用于在内存中运行DLL文件，它们会在应用程序中被使用，一般有多个。

   smss.exe： 微软Windows操作系统的一部分。

   winlogon ：管理用户登录和退出的。

   Wuauclt.exe：Windows自动升级管理程序。

   spoolsv.exe ：打印的进程

五、核心文件

C:\Windows：Windows操作系统中最核心的文件夹，大部分系统文件都在此文件夹下。

C:\Windows\Fonts：字体文件夹，有些病毒会存放在此文件夹下。

C:\Windows\System32：Windows文件夹中最重要的文件夹，一般用于存放Windows的系统文件和硬件驱动程序。。

C:\Windows\Temp：系统临时文件夹，有些病毒会存放在此文件夹下。

C:\Windows\system32\dirvers ：Windows驱动文件夹，有些驱动病毒存放会在此文件夹下。

C:\Windows\System32\config：Windows配置文件，sam文件在该目录下，保存了系统的用户和密码信息。

六、日志审核

1. 日志类型

   应用程序（Application）
   记录的是应用程序在系统中产生的事件信息。
   安全（Security）
   记录系统的安全信息，包括成功的登陆、退出，不成功的登陆，系统文件的创建、删除、更改。
   系统（System）
   记录windows系统组件产生的事件，主要包括驱动程序、系统组件、应用程序错误信息等。

2. 事件查看器

   WINDOWS审计日志通过审计策略进行配置，审计策略默认关闭。双击需要开启的审计项，开启审计策略。

七、登录日志

1. RDP登录分析

   RDP是windows环境下的远程登录协议，用户可使用RDP协议，通过3389端口远程连接windows主机，在对windows系统的入侵手段中，RDP爆破也是常见的方法之一，RDP登录日志位于windows安全日志中，登录类型为10，该日志记录了此主机上的所有登录行为。默认不开启，需要手动启动。

   事件ID为4672、4624

   • 登录失败事件
     比如RDP爆破登录
   • 异常账号的登陆成功时间
     如非管理员维护账号的登陆行为
   • 异常IP的登录成功事件
     如登陆IP为外国IP
   • 异常时间的登录成功事件
     如凌晨2点等非常规时间段远程登录主机

2. 文件共享分析

   常见的基于共享目录的攻击行为是IPC爆破，共享目录可作为传输恶意文件的途径之一，了解共享目录的访问情况可以帮助我们了解攻击者的攻击方法。

   共享目录登录记录位于windows安全日志中，登录类型为3

3. FTP登录分析

   FTP登录爆破通常作为攻击者获取敏感信息的途径之一，尤其是当用户对公网开放FTP服务器时，更应该仔细审核FTP登录日志，判断是否有恶意用户登录FTP服务器进行恶意操作。

4. WINDOWS账户管理日志

   Windows帐户管理日志记录于Windows安全日志中。

   创建账号事件ID：4720；账户权限分配：4732

八、恶意行为跟踪

Windows系统的所有日志审核策略全开，会造成大量的磁盘和CPU开销。
常用日志记录一般有Windows登录日志、Web日志、FTP日志。
这些日志的审计，只能帮助我们找出入侵者，无法知道攻击者入侵后做了什么，攻击链是怎样的。

1. Windows防火墙日志
   默认未开启，需手动开启。

2. 进程跟踪
   跟踪审核策略记录了哪个用户，在什么时间、执行了什么程序，默认未开启。

3. 对象访问
   对象访问事件可以审计所有尝试访问文件和其它Windows对象的活动；
   这里的Windows对象包括对文件夹、文件、服务、注册表和打印对象，不包括AD对象；
   审计对象访问策略默认未启用。
   对象访问策略在记录之前还需要为其指定审计的对象，可以针对文件或文件夹来设置审核对象。

九、日志分析工具

Log Parser（WINDOWS）