互联网信息安全第3讲.ppt

第3讲 Windows 系统安全,一、CMD 二、环境变量 三、注册表 四、系统文件,一、CMD,cmd.exe是微软Windows系统基于WINDOWS上的命令解释程序，类似于微软的DOS操作系统。 cmd.exe是一个32位的命令行程序，这不是纯粹的系统程序，但是如果删除它，可能会导致不可知的问题；,文件位置（镜像路径名称)： *:WindowsSystem32cmd.exe,WinHex.exe工具,命令提示符窗口,Windows的“标配”组件，它可以实现用户与操作系统的直接交流，并负责用户输入的所有命令的解释和支持。 运行安全、稳定，专业人士常用。 打开方式：开始运行输入“cmd”确定 （Vista或Win7的运行默认没有，调出来用开始菜单- 属性） 或 按 Win +R输入“cmd” - 确定或点击开始程序附件命令提示符。,常用命令,COPY 将至少一个文件复制到另一个位置。 DATE 显示或设置日期。 DEL 删除至少一个文件。 DIR 显示一个目录中的文件和子目录。 CD 显示当前目录的名称或将其更改。 ATTRIB 显示或更改文件属性。 CACLS 显示或修改文件的访问控制列表(ACL)。 /view/65856.htm,Attrib,更改单个文件或目录的属性。 含有下列参数的 attrib 命令仅当使用故障恢复控制台时才可用。含有不同参数的 attrib ,命令可在命令提示符中使用。 attrib +r|-r +s|-s +h|-h +c|-c drive: path filename 参数 +r 设置只读属性。 -r 清除只读属性。 +s 设置系统属性。 -s 清除系统属性。 +h 设置隐藏属性。 -h 清除隐藏属性。 +c 设置压缩属性。 -c 清除压缩属性。,C:WINDOWSsystem32Ping.exe 是Ping.exe程序的输入参数,二、环境变量,环境变量是一个具有特定名字的对象，它包含了一个或者多个应用程序所将使用到的信息。 例如path，当要求系统运行一个程序而没有告诉它程序所在的完整路径时，系统除了在当前目录下面寻找此程序外，还应到path中指定的路径去找。用户通过设置环境变量，来更好的运行进程。,定义,环境变量一般是指在操作系统中用来指定操作系统运行环境的一些参数，比如临时文件夹位置和系统文件夹位置等。 运行某些程序时除了在当前文件夹中寻找外，还会到设置的默认路径中去查找。 右击我的电脑高级环境变量在系统变量里有path选项,path,D:Program FilesCodejock SoftwareMFCXtreme ToolkitPro v12.0.0Binvc90;D:Program FilesCodejock SoftwareMFCXtreme ToolkitPro v12.0.0Binvc60;%systemroot%system32;%systemroot%;%systemroot%system32wbem;c:program filescommon filesthunder networkkankancodecs;c:program filesmicrosoft sql server90toolsbinn;c:opencv2.1vc2008bin;d:Program FilesMATLAB71binwin32;C:Program FilesMicrosoft SQL Server80ToolsBinn;%JAVA_HOME%/bin;%JAVA_HOME%/jre/bin ;D:Program FilesMicrochipMPLAB C32 Suitebin;c:cygwinbin;D:Program FilesSVNbin;D:Program FilesAutodeskBackburner;C:Program FilesCommon FilesAutodesk Shared;E:WinDDK,环境变量设置方法,环境变量分为两类：用户变量与系统变量，在注册表中都有对应的项。 用户变量所在位置：HKEY_CURRENT_USEREnvironment； 系统变量所在位置为：HKEY_LOCAL_MACHINESYSTEMControlSet001 ControlSession ManagerEnvironment。,常见环境变量,%USERNAME% 局部 返回当前登录的用户的名称。 %UserProfile% 局部 返回当前用户的配置文件的位置。 %WINDIR% 系统 返回操作系统目录的位置。 %OS% 系统 返回操作系统的名称。 %SYSTEMROOT% 系统 返回Windows根目录的位置。 /view/95930.htm,echo off echo 星海优化 正在清除系统垃圾文件，请稍等 del /f /s /q %systemdrive%*.tmp del /f /s /q %systemdrive%recycled*.* del /f /s /q %windir%prefetch*.* del /f /q %userprofile%cookies*.* del /f /q %userprofile%recent*.* del /f /s /q “%userprofile%Local SettingsTemporary Internet Files*.*“ del /f /s /q “%userprofile%Local SettingsTemp*.*“ del /f /s /q “%userprofile%recent*.*“ echo 清除系统垃圾完成！ 星海家族 echo. & pause,批处理.bat,三、注册表,注册表的作用,注册表是Windows 系统中一个非常重要的数据库，它存储着计算机的软、硬件设置。 例如：Windows 系统核心设置、硬件设备参数、网络相关项的设置、硬件配置文件、应用程序的设置等。,注册表的结构,注册表是按照根键（HKEY）、键、子键以及值项的层次结构来组织的，每个值项有三方面属性：名称、数据类型及值。,HKEY_CLASSES_ROOT HKEY_CURRENT_USER HKEY_LOCAL_MACHINE HKEY_USER HKEY_CURRENT_CONFIG,(1)HKEY_CLASSES_ROOT:基层类别键，定义了系统中所有已经注册的文件扩展名、文件类型、文件图标等。 (2)HKEY_CURRENT_USER(HKLU):定义了当前用户的所有权限，实际上就是HKEY_USERS.Default下面的一部分内容，包含了当前用户的登录信息 (3)HKEY_LOCAL_MACHINE(HKLM):定义了本地计算机(相对网络环境而言)的软硬件的全部信息。当系统的配置和设置发生变化时，其下面的登录项也会随之改变。,(4)HKEY_USERS:定义了所有的用户信息，其中部分分支将映射到HKEY_CURRENT_USER关键字中，它的大部分设置都可以通过控制面板来修改。 (5)HKEY_CURRENT_CONFIG:定义了计算机的当前配置情况，如显示器、打印机等可选外部设备及其设置信息等。它实际上也是指向HKEY_LOCAL_MACHINEConfig结构中的某个分支的指针。,键与子键：键与子键的结构就类似于文件夹与子文件夹。在键中可以包含值项与子键。 值项：每个注册表项或子项都可以包含称为值项的数据。有些值项存储特定于每个用户的信息，而其他值项则存储应用于计算机所有用户的信息。值项的数据类型说明见下表 。,注册表的使用,1）关联.ex_和exefile assoc 2）IE设置 3）设置自动登录 4）启动设置,1）关联.ex_和exefile,assoc,2）IE设置,偷偷地修改网友的Windows系统注册表、IE浏览器参数，将自己的意愿强行施加给访问网页者 最麻烦是在恶意修改之后竟然还将受害者的注册表加锁，企图阻碍恢复。,“HKLUSoftwareMicrosoftInternet ExplorerMain” “HKLMSOFTWAREMicrosoftInternet ExplorerMain”小节里的键值被修改: 其中：IE浏览器起始页（首页）和标题栏被修改，分别是“Start Page”键、“Window Title”键、Default_Page_URL键值。 演示1 演示2,设置IE首页被禁止（使修改处变灰暗，无法修改内容）: “HKLUSoftwarePoliciesMicrosoft”中被添加了主键：“Internet ExplorerControl Panel”后再加上一个DWORD值键：“HomePage”取值为：“1”（或“0”） “HKLUSoftwareMicrosoftWindowsCurrentVersionPoliciesSystem”小节被加上主键：“DisableRegistryTools”取键值为：“1”。） 演示3,3）设置自动登录,面对每次烦琐的输入密码，设置自动登录； HKEY_LOCAL_MACHINESOFTWARE MicrosoftWindows NTCurrentVersionWinlogon， 在右边窗口中新建两个字符串值“DefauItUserName“和“Dfalutpassword“，分别赋值为想自动登录的用户名和密码 新建一个名为 “AutoAdminLogon” 的字符串并复制为1。,4）启动设置,启动相关的2个文件夹1) C:Documents and SettingsAll Users开始菜单程序-（XP） 2) C:Documents and SettingsAdministrator开始菜单程序启动-（ XP ） 3) C:UsersAll UsersMicrosoft Windows Start MenuProgramsStartup-（WIN7） 4) C:UsersAdministrator Microsoft Windows Start Menu ProgramsStartup-（WIN7）,HKLMSoftwareMicrosoftWindows NTCurrentVersionWinlogonUserinit C:WINDOWSsystem32userinit.exe, notepad.exe,HKCU和HKLM SoftwareMicrosoftWindowsCurrentVersionPolicesExplorerRun,RunOnceSetup 注册键,指定了用户登录之后运行的程序. HKCUSoftwareMicrosoftWindowsCurrentVersionRunOnceSetup 和HKLMSoftwareMicrosoftWindowsCurrentVersionRunOnceSetup,RunOnce 注册键,指定了用户登录之后运行的程序. HKCUSoftwareMicrosoftWindowsCurrentVersionRunOnce HKLM运行在其Run键指定的程序之前 HKCU在操作系处理其他 Run键以及“启动“文件夹的内容之后运行,Run 注册键,指定了用户登录之后运行的程序. HKCUSoftwareMicrosoftWindowsCurrentVersionRun 和HKLMSoftwareMicrosoftWindowsCurrentVersionRun “启动”文件夹的内容之前运行,HKLMSoftwareMicrosoftWindows NTCurrentVersionSVCHOSTnetsvcs,HKLMSYSTEMCurrentControlSetControlSession Manager,驱动和服务启动,四、系统文件,文件系统的格式,FATl6 、FAT32 、NTFS NTFS即是WindowsNT的文件系统，它的最大优点是安全性和稳定性好，全32位、 64位内核的NTFS为磁盘目录与文件提供安全设置，指定访问权限。,系统文件目录,%WINDIR% -操作系统目录的位置。 %SYSTEMROOT%-Windows根目录的位置 C:windows C:windowssystem32 C:windowsdrivers,可执行文件格式,*.exe-单独执行文件(.COM文件) *.dll-动态链接库，程序模块 *.sys-内核驱动文件,EXE File,WINDOWS操作系统中的二进制可执行文件-“单独运行”、“有生命”的文件。 可执行文件 (executable file) ，可移植可执行 (PE) 文件格式的文件，它可以加载到内存中，并由操作系统加载程序执行。 (PE）文件格式：标志-5A 4D （MZ）,WinHex工具,System Idle Process:这个进程是作为单线程运行在每个处理器上，并在系统不处理其他线程的时候分派处理器的时间 Services.exe：系统服务的管理工具。 Lsass.exe：本地的安全授权服务。 Explorer.exe：资源管理器。 Spoolsv.exe：将文件加载到内存中以便迟后打印 Svchost.exe：用来运行动态链接库DLL文件，从而启动对应的服务。Svchost.exe进程可以同时启动多个服务。 smss.exe 会话管理子系统，负责启动用户会话 csrss.exe 子系统服务器进程 winlogon.exe 管理用户登录 internat.exe 托盘区的拼音图标,Windows 基本系统可执行文件,可执行文件是“静态的”、“死的”，一旦被操作系统加载到内存中运行，就是“动态的”、“活的”、“有生命”的进程。,进程和线程, 什么是进程？ 代表了运行程序的某一个实例 每一个进程有一个私有的内存地址空间 什么是线程？ 进程内的一个执行上下文 进程内的所有线程共享相同的进程 地址空间 每一个进程启动时带有一个线程 运行程序的“主”函数 可以在同一个进程中创建其他的线 程 可以创建额外的进程,Windows NT体系统构架,系统进程树,dll-动态链接库,Dynamic Link Library 的缩写形式，DLL是一个包含可由多个程序同时使用的代码和数据的库； DLL不是可执行文件； 动态链接提供了一种方法，使进程可以调用不属于其可执行代码的函数 系统库文件-kernel32.dll、user32.dll和gdi32.dll,动态链接库其他形式,ActiveX控件(.ocx) 文件:网银密码控件等； 控制面板(.cpl) 文件：位于控制面板中的项。每个项都是一个专用 DLL。,WinHex工具,Dependency工具,ExplorerSuite工具套装-task explorer,DLL文件损坏,1、程序无法打开 2、电脑没声音 3、电脑蓝屏 4、桌面无法显示 5、主页被修改为网址导航 6、桌面图标无法删除（淘宝、小游戏、电影等等，重启同样不能正常删除） 。,执行FireSystem.exe,Dependency工具,sys-内核驱动文件,“Device Driver”，全称为“设备驱动程序”是一种可以使计算机和设备、虚拟设备通信的特殊程序； 当操作系统安装完毕后，首要的便是安装硬件设备的驱动程序。硬盘、显示器、光驱、键盘、鼠标等就不需要安装驱动程序，而显卡、声卡、扫描仪、摄像头、Modem等需要安装驱动程序。,sys文件重要性,拥有最高的系统权限 一旦运行出现问题，电脑立刻蓝屏崩溃； 蓝屏：Windows之所以要选择“亡我”，是因为它不知道该错误是否能被隔离出来从而不伤害系统的其它程序与数据，或者该组件将来是否能够恢复正常；,蓝屏演示,工具-XueTr.exe 卸载一个正在运行的sys驱动（360的内核钩子驱动hootport.sys）,WinHex工具,Dependency工具,sys-内核驱动配置信息,HKEY_LOCAL_MACHINESYSTEM ControlSet001 ControlSet002 ControlSet00x CurrentControlSet,选择启动,sys-内核驱动启动类型,HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesKbdclass Start=0：内核加载时启动（安全模式） Start=1：内核初始化时启动 Start=2：作为服务项自动启动 Start=3：管理员手工启动 Start=4：禁用,工具-XueTr,系统服务,服务是一种应用程序类型，它在后台运行。 服务应用程序通常可以在本地和通过网络为用户提供一些功能，例如客户端/服务器应用程序、Web服务器、数据库服务器以及其他基于服务器的应用程序。 打开服务管理窗口 “运行”中输入”serv