目錄
Windows常見目錄
Documents and Settings/用戶
Windows7/10中的“用戶”文件夾其實就是XP中的Documents and Settings文件夾,這裏存儲了用戶的設置,包括用戶文檔、上網瀏覽信息、配置文件等數據。
用戶目錄下有administrator、all users、default user、用戶文件夾等。All users針對所有用戶,這裏的更改對所有用戶有效,Administrator針對系統管理員賬戶。
application data:通用應用程序數據文件夾
favotites:收藏夾
local settings:保持應用程序數據、歷史和臨時文件,可清理
my documents:我的文檔
Windows目錄
windows目錄,就是我們的windows安裝目錄,用來放置windows程序的使用數據、設置等文件。強烈不建議改動此文件下的數據,可能會導致windows系統使用異常。
Program Files
應用程序文件夾,一般軟件默認都安裝在這裏,也有系統自帶的應用程序。在Windows 7系統中,64位用戶會多出一個Program Files(X86)文件夾,這是系統中32位軟件的安裝目錄
Temp目錄
臨時文件目錄,文件路徑:C:\Users\user\AppData\Local\Temp;作用:上面有很多垃圾文件,包括使用壓縮軟件等解壓的臨時文件。
註冊表
註冊表是windows操作系統中的一個核心數據庫,其中存放着各種參數,直接控制着windows的啓動、硬件驅動程序的裝載以及一些windows應用程序的運行,從而在整個系統中起着核心作用。註冊表的打開,win+R: regedit
可以通過直接修改註冊表來實現一些操作。比如:通過註冊表修改IE起始頁(病毒通常會修改此項鍵值)
HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main Start Page
註冊表發生改動後,需要註銷重新登錄windows系統,改動後的註冊表才生效。
系統啓動項
開機的時候系統會在前臺或者後臺運行的程序;在運行欄輸入msconfig。
在windows開始菜單欄目有一個啓動文件夾,把文件、程序放入其中就可以實現開機自動執行該文件。啓動文件夾的實際位置爲 :C:\Users\user\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup
設備管理器
可以使用“設備管理器”查看和更改設備屬性、更新設備驅動程序、配置設備設置和卸載設備。其提供計算機上所安裝硬件的圖形視圖。所有設備都通過一個稱爲“設備驅動程序”的軟件與 Windows 通信。
使用設備管理器可以安裝和更新硬件設備的驅動程序、修改這些設備的硬件設置以及解決問題
任務管理器
Windows任務管理器提供了有關計算機性能的信息,並顯示了計算機上所運行的程序和進程的詳細信息。任務管理器-進程界面可以看到正在運行的應用程序。可以手動結束任務、新建任務;在進程欄目,可以看到後臺運行的進程。
在詳細信息欄目,可以看到所有正在運行的服務的信息信息;可以通過運行的服務,查到相關運行的後臺進程。
在性能欄目,可以看到詳細的windows系統資源佔用情況;用戶欄目可以看到當前運行的用戶名
進程
進程是正在運行的程序的實例。每一個進程都有它自己的地址空間,一般情況下,包括文本區域(text region)、數據區域(data region)和堆棧(stack region)。文本區域存儲處理器執行的代碼;數據區域存儲變量和進程執行期間使用的動態分配的內存;堆棧區域存儲着活動過程調用的指令和本地變量。
當虛擬機出現cpu、內存異常飆高時,可以通過任務管理器查看進程的資源利用率。病毒喜歡僞裝成svchost.exe、explorer.exe、rundll32.exe等系統進程。當發現這些系統進程cpu、內存資源佔用異常的時候,建議通過殺毒軟件查殺。
組策略&安全組
組策略在部分意義上是控制用戶可以或不能在計算機上做什麼。其策略提供了操作系統、應用程序和活動目錄中用戶設置的集中化管理和配置。例如:施行密碼複雜性策略避免用戶選擇過於簡單的密碼;允許或阻止身份不明的用戶從遠程計算機連接到網絡共享;阻止訪問Windows任務管理器或限制訪問特定文件夾。
默認情況下,Microsoft Windows每90分鐘刷新一次組策略,隨機偏移30分鐘。在域控制器上,Microsoft Windows每隔5分鐘刷新一次。組策略對象會按照以下順序(從上向下)處理:
- 本地-任何在本地計算機的設置。在Windows Vista之前,每臺計算機只能有一份本地組策略。在Windows Vista和之後的Windows版本中,允許每個用戶帳戶分別擁有組策略。
- 站點-任何與計算機所在的活動目錄站點關聯的組策略。( 活動目錄站點是指在管理促進物理上接近的計算機的一種邏輯分組)。如果多個策略已鏈接到一個站點,將按照管理員設置的順序處理。
- 域-任何與計算機所在Windows域關聯的組策略。如果多個策略已鏈接到一個域,將按照管理員設置的順序處理。
- 組織單元-任何與計算機或用戶所在的活動目錄組織單元(OU)關聯的組策略。(OU是幫助組織和管理一組用戶、計算機或其他活動目錄對象的邏輯單元)。如果多個策略已鏈接到一個OU,將按照管理員設置的順序處理。
打開方式,在運行模式下輸入gpedit.msc(Windows家庭版下不支持);根據需要,配置相關策略選項
安全組可以列在用於定義資源和對象權限的任意訪問控制列表 (DACL) 中的組;在運行任務欄輸入secpol.msc(Windows家庭版下不支持);windows安全組策略其實是組策略其中關於安全設置的一部分。裏面囊括了賬戶安全策略、windows防火牆配置等配置目錄。
例:更改windows本地密碼策略;重新登錄windows用戶後生效。
工作組
工作組就是將不同的電腦按功能分別列入不同的組中,以方便管理。Windows 9x/NT/2000 才引用了“工作組”這個概念,比如一所高校,會分爲諸如數學系、中文系之類的,然後數學系的電腦全都列入數學系的工作組中,中文系的電腦全部都列入到中文系的工作組中……如果你要訪問某個系別的資源,就在“網上鄰居”裏找到那個系的工作組名,雙擊就可以看到那個系別的電腦了。
設置方法:
- 用鼠標點擊“計算機”右鍵,然後彈出的快捷菜單中選擇“屬性”,打開“系統”。
- 彈出“系統屬性”對話框,然後切換到“計算機名”,點擊“修改”鍵。
- 在彈出的“計算機名修改”對話框,輸入對應的名稱。
- 點擊“確定”按鈕,就會在計算機的屏幕中彈出信息提示框。
- 點擊“確定”鍵,會再一次會彈出信息提示框。
- 點擊“確定”鍵,返回到“系統屬性”點擊“確定”鍵,然後重新啓動計算機即可。
域
其實可以把域和工作組聯繫起來理解,在工作組上你一切的設置在本機上進行包括各種策略,用戶登錄也是登錄在本機的,密碼是放在本機的數據庫來驗證的。
而如果你的計算機加入域的話,各種策略是域控制器統一設定,用戶名和密碼也是放到域控制器去驗證,也就是說你的賬號密碼可以在同一域的任何一臺計算機登錄。在“域”模式下,至少有一臺服務器負責每一臺聯入網絡的電腦和用戶的驗證工作,相當於一個單位的門衛一樣,稱爲“域控制器(Domain Controller,簡寫爲DC)”。域控制器中包含了由這個域的賬戶、密碼、屬於這個域的計算機等信息構成的數據庫。
如果說工作組是“免費的旅店”那麼域(Domain)就是“星級的賓館”;工作組可以隨便出出進進,而域則需要嚴格控制。“域”的真正含義指的是服務器控制網絡上的計算機能否加入的計算機組合。一提到組合,勢必需要嚴格的控制。所以實行嚴格的管理對網絡安全是非常必要的。在對等網模式下,任何一臺電腦只要接入網絡,其他機器就都可以訪問共享資源,如共享上網等。儘管對等網絡上的共享文件可以加訪問密碼,但是非常容易被破解。在由Windows 9x構成的對等網中,數據的傳輸是非常不安全的。
安全日誌
windows用戶所有的登錄註銷、安全策略更改都會以安全日誌的形式記錄。查看方式:計算機管理->系統工具->事件查看器->Windows日誌->安全。我們可以通過查看安全日誌,溯源黑客的入侵行爲(如果黑客沒有清理安全日誌的話)。
可以通過事件ID快速檢索日誌,比如5379代表已讀取憑據。
常用的網絡排查命令
Ping
通過發送Internet控制消息協議(ICMP)驗證與其他TCP/IP計算機的IP級連接回顯請求消息。顯示相應的迴音回覆信息的接收,以及往返時間。ping是主要的TCP/IP命令,用於解決連接、可訪問性和名稱解析問題。使用時不帶參數,ping顯示幫助。
用法:
1、Ping IP/域名
2、Ping IP/域名 -t
指定ping繼續向目標發送回顯請求消息,直到被中斷爲止。 要中斷並顯示統計信息,請按CTRL + break。 要中斷並退出ping,請按CTRL + C。
3、Ping IP/域名 -n 次數
發送回顯指定的次數
4、 Ping IP/域名 -l 長度
指定發送的回顯請求消息中“數據”字段的長度(以字節爲單位)。 默認值爲32。最大大小爲65,527。
5、Ping 請求超時
目標主機禁Ping
6、Ping 傳輸失敗
主機網絡問題
Arp
顯示和修改地址解析協議(ARP)緩存中的條目,其中包含一個或多個用於存儲IP地址及其解析的以太網或令牌環物理地址的表。計算機上安裝的每個以太網或令牌環網絡適配器都有一個單獨的表。在沒有參數的情況下使用,arp顯示幫助。
用法:
1、Arp -a
顯示本地的所有ARP表,要顯示特定IP地址的arp緩存條目,請使用帶有Inetaddr參數的arp -a,其中Inetaddr是IP地址。
2、Arp -d
刪除所有Arp的表項
3、Arp -s IP MAC
向arp高速緩存添加一個靜態條目,該條目將IP地址Inetaddr解析爲物理地址Etheraddr。
Tracert
確定通過發送Internet控制消息協議(ICMP)回顯請求或 以遞增的生存時間(TTL)字段值向目標發送消息。路徑顯示源主機和目標之間路徑中路由器的近/側路由器接口列表。近側接口是最接近路徑中發送主機的路由器接口。不用參數,tracert顯示幫助。
用法:
1、tracert IP/域名
2、tracert -d IP/域名
防止tracert嘗試將中間路由器的IP地址解析爲其名稱。 這樣可以加快Tracert結果的顯示
Route
顯示並修改本地IP路由表中的輸入。無參數使用,路徑顯示幫助。
用法:
1、Rtoue add 目標網絡 MASK 子網掩碼 網關IP
2、Rtoue delete 目標網絡
刪除一條路由
3、Rtoue -p add 目標網絡 MASK 子網掩碼 網關IP
與add命令一起使用時,指定的路由將添加到註冊表中,並在啓動TCP / IP協議時用於初始化IP路由表。 默認情況下,啓動TCP / IP協議時不會保留添加的路由。 與print命令一起使用時,將顯示持久路由列表。 對於所有其他命令,將忽略此參數。 永久路由存儲在註冊表中。
本地位置HKEY_LOCAL_MACHINE \ SYSTEM \ CurrentControlSet \ Services \ Tcpip \ Parameters \ PersistentRoutes。
Route –p add 172.16.1.1 mask 255.255.255.255 192.168.4.1
Ipconfig
顯示所有當前TCP/IP網絡配置值,並刷新動態主機配置協議(DHCP)和域名系統(DNS)設置。ipconfig在沒有參數的情況下使用,爲所有適配器顯示Internet協議版本4(IPv4)和IPv6地址、子網掩碼和默認網關。
用法:
1、ipconfig /all
顯示所有適配器的完整TCP / IP配置。 適配器可以表示物理接口(例如已安裝的網絡適配器)或邏輯接口(例如撥號連接)。
2、ipconfig -release
向DHCP服務器發送DHCPRELEASE消息以釋放當前的DHCP配置,並丟棄所有適配器(如果未指定適配器)或特定適配器(如果包括Adapter參數)的IP地址配置。 對於配置爲自動獲取IP地址的適配器,此參數禁用TCP / IP。 要指定適配器名稱,請鍵入使用不帶參數的ipconfig時顯示的適配器名稱。
作用:釋放DHCP信息
2、ipconfig /renew
爲所有適配器(如果未指定適配器)或特定適配器(如果包括Adapter參數)續訂DHCP配置。 此參數僅在帶有配置爲自動獲取IP地址的適配器的計算機上可用。 要指定適配器名稱,請鍵入使用不帶參數的ipconfig時顯示的適配器名稱。
作用:通過DHCP重新獲取地址
3、ipconfig /displaydns
顯示DNS客戶端解析器緩存的內容,其中包括從本地Hosts文件預加載的條目以及計算機最近解析的名稱查詢的任何最近獲取的資源記錄。 DNS客戶端服務使用此信息來快速解析經常查詢的名稱,然後再查詢其配置的DNS服務器。
作用:查看DNS緩存
4、ipconfig /flushdns
刷新並重置DNS客戶端解析器緩存的內容。 在DNS故障排除期間,您可以使用此過程從緩存中刪除否定的緩存條目以及已動態添加的任何其他條目。
作用:清空DNS緩存
Netstat
顯示活動的TCP連接,計算機正在偵聽的端口,以太網統計信息,IP路由表,IPv4統計信息(用於IP,ICMP,TCP和UDP協議)和IPv6統計信息(用於IPv6,ICMPv6,基於IPv6的TCP) ,以及UDP over IPv6協議。 如果不帶參數使用,netstat將顯示活動的TCP連接。
用法:
1、netstat -a
顯示所有活動的TCP連接以及計算機正在偵聽的TCP和UDP端口。
2、netstat -n
顯示活動的TCP連接,但是,地址和端口號以數字表示,並且不嘗試確定名稱。
3、netstat -o
顯示活動的TCP連接,幷包括每個連接的進程ID(PID)。 您可以在Windows任務管理器的“進程”選項卡上找到基於PID的應用程序。 該參數可以與-a,-n和-p結合使用。
4、netstat -p 協議
顯示協議指定的協議的連接。 在這種情況下,協議可以是tcp,udp,tcpv6或udpv6