Windows常见目录
- 用户
这里存储量用户的设置,包括用户文档、上网浏览信息、配置文件等数据。 - windows
用来放置windows程序的使用数据、设置等文件。强烈不建议改动此文件下的数据,可能会导致windows系统使用异常。 - Program Files
应用程序文件夹,一般软件默认都安装在这里,也有系统自带的应用程序。 - Temp
临时文件目录,存放很多文件,包括使用压缩软件等解压的临时文件。
注册表
注册表是windows操作系统中的一个核心数据库,其中存放着各种参数,直接控制着windows的启动、硬件驱动程序的装载以及一些windows应用程序的运行,从而在整个系统中骑着核心作用。
通过注册表修改IE起始页(病毒通常会修改此项键值)
注册表发生改动后,需要注销重新登陆windows系统,改动后的注册表才生效。
系统启动项
- 开机的时候系统会在前台或后台运行的程序
- 在运行栏输入msconfig
设备管理器
- 可以使用设备管理器查看和更改设备属性、更新设备驱动程序、配置设备设置和卸载设备。其提供计算机上所安装硬件的图形视图。所有设备都通过一个称为“设备驱动程序”的软件与windows通信
- 使用设备管理器可以安装和更新硬件设备的驱动程序、修改这些设备的硬件设置以及解决问题
任务管理器
- windows任务管理器提供了有关计算机性能的信息,并显示了计算机上所运行的程序和进程的详细信息
- 可以手动结束任务、新建任务
- 在进程栏目,可以看到后台运行的进程
- 在服务栏目,可以看到正在运行的服务
- 可以通过运行的服务,查到相关运行的后台进程
- 在性能栏目,可以看到详细的windows系统资源占用情况
- 联网栏目可以看到目前网卡流量情况
- 用户栏目可以看到当前运行的用户名
进程
- 进程是正在运行的程序的实例,每一个进程都有它自己的地址空间,一般情况下,包括文本区域、数据区域和堆栈。文本区域存储处理器执行的代码;数据区域存储变量和进程执行期间使用的动态分配的内存;堆栈区域存储着活动过程调用的指令和本地变量。
- 当虚拟机出现CPU、内存异常飙高时,可以通过任务管理器查看进程的资源利用率;
- 病毒喜欢伪装成svchost.exe、explorer.exe、rundll32.exe等系统进程。当发现这些系统进程CPU、内存资源占用异常的时候,建议通过杀毒软件查杀。
组策略
- 组策略在部分意义上是控制用户可以或不能在计算机上做什么。其策略提供了操作系统、应用程序和活动目录中用户设置的集中化管理和配置;
- 例如:施行密码复杂性策略避免用户选择过于简单的密码;
- 例如:允许或阻止身份不明的用户从远程计算机连接到网络共享;
- 例如:阻止访问windows任务管理器或限制访问特定文件夹
- 打开方式:运行模式下输入gpedit.msc;
安全组
- 可以列在用于定义资源和对象权限的任意访问控制列表中的组;
- 在运行任务栏输入secpol.msc
- windows安全组策略其实是组策略其中关于安全设置的一部分。里面囊括了账户安全策略、windows防火墙配置等配置目录。
安全日志
- windows用户所有的登陆注销、安全策略更改都会以安全日志的形式记录;
- 可以通过windows安全日志。溯源黑客的入侵行为;
- 可以通过事件ID快速检索日志