当前位置：首页 > java >正文

【网安干货】--操作系统基础(上)

java 2025/8/24 5:19:31

操作系统基础上

- 一、操作系统基础
- - 1.1 操作系统的定义
  - 1.2 操作系统组成部分
  - - 1.2.1 系统调用
    - 1.2.2 内核
  - 1.3 操作系统的基本功能
  - - 1.3.1 处理器管理
    - 1.3.2 设备管理
    - 1.3.3 文件管理
    - 1.3.4 存储管理
    - 1.3.5 作业管理
  - 1.4 操作系统的主要特征
  - 1.5 典型的操作系统架构
- 二、Windows操作系统介绍
- - 2.1 简介
  - 2.2 Windows用户
  - - 2.2.1 用户账号
    - 2.2.2 用户权限
    - 2.2.3 用户组
  - 2.3 Windows目录
  - - 2.3.1 系统目录（以C:\Windows为例）
    - 2.3.2 重要目录（核心功能与安全相关）
  - 2.4 Windows文件夹权限
  - - 2.4.1 权限类型及说明（共6类，按权限范围从大到小排序）
    - 2.4.2 权限配置示例（以Google Chrome快捷方式为例）
  - 2.5 Windows服务
  - - 2.5.1 服务定义与特点
    - 2.5.2 服务管理操作
    - 2.5.3 常见服务及功能
    - 2.5.4 服务的作用
  - 2.6 Windows端口
  - - 2.6.1 端口定义与作用
    - 2.6.2 端口分类
    - 2.6.3 常见端口与协议对应表
    - 2.6.4 端口查看与管理
  - 2.7 Windows进程
  - - 2.7.1 进程定义与分类
    - 2.7.2 常见系统进程及功能（核心进程不可终止，否则可能导致系统崩溃）
    - 2.7.3 进程管理操作（通过任务管理器）
  - 2.8 Windows注册表
  - - 2.8.1 注册表定义与作用
    - 2.8.2 注册表结构（五大根键，各根键对应不同配置范围）
    - 2.8.3 注册表操作注意事项
  - 2.9 黑客常用DOS命令
  - 2.10 Windows操作系统快捷键

作者发现，关于操作系统的基础部分相较于漏洞知识来说比较干涩无味。因为大都是概念级的知识，而且在日常操作过程中有相当一部分就慢慢会了，专门去学习又看不到什么成效与提升，所以一般对操作系统没有一个完整清晰全面的认知。但是本篇（操作系统上下是指一篇咯）可以提供一个相对全面的认知，看完这两篇相信读者肯定会对操作系统有更加清晰的认知的

一、操作系统基础

1.1 操作系统的定义

核心定义：操作系统是管理计算机硬件与软件资源的计算机程序，同时也是计算机系统的内核与基石。
核心功能：
- 管理与配置内存，确保内存资源合理分配，避免程序因内存不足或冲突无法运行。
- 决定系统资源供需的优先次序，比如当多个程序同时请求CPU、磁盘I/O等资源时，合理调度资源使用顺序。
- 控制输入与输出装置，如键盘、鼠标、打印机、磁盘等，协调这些设备与计算机其他部件的数据传输。
- 操作网络，实现计算机与网络中其他设备的通信，管理网络连接、数据传输等。
- 管理文件系统，对文件的创建、读取、写入、删除、修改等操作进行管理，组织文件在存储设备上的存储方式。
用户交互：提供用户与系统互动的操作界面，如图形化界面（GUI）和命令行界面（CLI），方便用户操作计算机和运行应用程序。
系统层级关系（从下到上）：硬件→内核→系统调用→应用程序，操作系统处于硬件和应用程序之间，是两者沟通的桥梁。

1.2 操作系统组成部分

1.2.1 系统调用

定义：操作系统提供给程序设计人员的一种服务接口，程序设计人员在编写程序时，可利用系统调用来请求操作系统的服务。
存在意义：计算机硬件资源有限，为避免用户进程直接操作硬件导致资源混乱或损坏，所有对硬件资源的访问必须由操作系统控制。系统调用就是用户态运行的进程与硬件设备之间交互的接口。
使用场景：例如应用程序需要读取磁盘上的文件时，不能直接操作磁盘硬件，而是通过调用操作系统提供的文件读取相关系统调用，由操作系统协调硬件完成文件读取操作后，将数据返回给应用程序。

1.2.2 内核

核心地位：是操作系统的核心，是基于硬件的第一层软件扩充，提供操作系统最基本的功能，是操作系统工作的基础。
管理内容：
- 进程管理：决定进程的创建、调度、终止等，合理分配CPU时间片，保证多个进程有序运行。
- 内存管理：对内存进行分配、回收和保护，为每个进程分配独立的内存空间，防止进程之间内存访问冲突。
- 内核体系结构：构建内核的整体框架，确定内核各模块之间的通信方式和协作机制。
- 设备驱动程序：提供操作系统与硬件设备之间的通信接口，使操作系统能够识别和控制各种硬件设备。
- 文件管理：管理文件系统，负责文件的存储、检索、更新等操作，维护文件的目录结构和访问权限。
- 网络系统：管理网络协议栈，实现数据的封装、传输、接收和解析，支持计算机之间的网络通信。
关键作用：决定一个程序在什么时候对某部分硬件操作多长时间，是保障系统性能和稳定性的关键。

1.3 操作系统的基本功能

1.3.1 处理器管理

管理目标：计算机系统中的处理器（CPU）是最宝贵的系统资源，处理器管理的目的是合理安排CPU时间，保证多个作业顺利完成，尽量提高CPU效率，减少用户等待时间。
管理策略与作业处理方式：操作系统对处理器管理策略不同，提供的作业处理方式也不同。例如，批处理系统采用批处理调度策略，将多个作业成批提交给系统，由系统按顺序自动处理；分时系统采用时间片轮转调度策略，将CPU时间划分为多个时间片，轮流分配给各个用户作业，使每个用户都能及时得到CPU响应。

1.3.2 设备管理

核心操作：当用户程序要使用外部设备时，设备管理模块控制（或调用）相应的设备驱动程序，使外部设备按照用户程序的要求工作。
监控与中断处理：随时对外部设备进行监控，实时掌握设备的工作状态（如空闲、忙碌、出错等）；当外部设备完成操作或出现故障时，会产生中断请求，设备管理模块及时处理这些中断请求，如将设备完成操作的数据传输给用户程序，或对设备故障进行处理和提示。

1.3.3 文件管理

管理对象：对软件资源的管理，包括系统软件（如操作系统自身的程序、驱动程序等）和用户提供的程序、数据等。
管理方式：为了有效管理庞大的软件资源，操作系统将它们组织成文件的形式，文件管理实际上就是对文件系统的管理。包括文件的创建、删除、复制、移动、重命名等操作，以及维护文件的目录结构，设置文件的访问权限（如只读、读写、执行等），确保文件的安全性和可访问性。

1.3.4 存储管理

主要工作：对内存储器（内存）进行合理分配、有效保护和扩充。
- 内存分配：根据各个程序的需求，将内存空间分配给不同的程序，确保每个程序都有足够的内存运行。
- 内存保护：防止不同程序之间相互访问对方的内存空间，避免因程序错误导致其他程序崩溃或数据泄露。
- 内存扩充：通过虚拟内存技术，将硬盘上的一部分空间作为虚拟内存，当内存不足时，将部分暂时不用的程序或数据调入虚拟内存，从而扩充内存的可用空间。

1.3.5 作业管理

作业定义：作业是用户在一次计算过程中，或者一次事务处理过程中，要求计算机系统所做工作的总称，包括用户程序、数据以及对程序运行的控制命令等。
核心功能：作业管理与调度的主要功能是审查系统能否满足用户作业的资源要求（如CPU、内存、磁盘空间、外部设备等），如果系统资源满足作业需求，则为作业分配相应的资源，安排作业的运行顺序和运行时间；如果系统资源不足，则将作业放入等待队列，待系统资源空闲时再进行调度。

1.4 操作系统的主要特征

在这里插入图片描述

特征	详细说明
并发	指操作系统具有处理多个同时性活动的能力，即多个程序或作业在同一时间段内同时运行。这里的“同时”是宏观上的，在微观上，CPU会在多个程序之间快速切换，使得用户感觉多个程序在同时运行。例如，用户可以在计算机上同时打开浏览器浏览网页、使用音乐播放器听音乐、使用办公软件编辑文档等。
共享	操作系统与多个用户的程序共同使用计算机系统中的资源，包括硬件资源（如CPU、内存、磁盘、打印机等）和软件资源（如文件、程序库等）。共享可以分为互斥共享和同时共享两种方式。互斥共享是指同一时间内只能有一个程序使用该资源，如打印机；同时共享是指多个程序可以在同一时间内使用该资源，如内存、磁盘等。
虚拟	将一个物理实体（如CPU、内存、磁盘等）映射为若干个逻辑上的对应物，从而提高资源的利用率。例如，通过时分复用技术，将一个物理CPU虚拟化为多个逻辑CPU，使得多个程序可以同时“占用”CPU运行；通过虚拟内存技术，将物理内存和部分磁盘空间虚拟化为一个容量更大的逻辑内存，为程序提供更大的内存空间。
随机	操作系统必须随时对以不可预测的次序发生的事件进行响应并处理。在计算机系统运行过程中，各种事件（如用户的键盘输入、鼠标点击、外部设备的中断请求、程序的错误等）的发生时间和顺序是不确定的，操作系统需要能够及时检测这些事件，并按照一定的优先级和处理策略进行处理，以保证系统的正常运行。
异步	也称为不确定性，指同一程序和数据的多次运行可能得到不同的结果，程序的运行时间、运行顺序也具有不确定性。这是由于操作系统的并发和共享特性导致的，多个程序之间的相互干扰、资源分配的随机性等因素都会影响程序的运行结果和运行过程。例如，两个程序同时对同一个文件进行读写操作，如果没有适当的同步机制，就可能导致文件数据损坏，或者两个程序得到不同的读写结果。

1.5 典型的操作系统架构

Windows架构：由微软公司开发，广泛应用于个人计算机和服务器领域，具有图形化界面友好、易用性强、软件兼容性好等特点，有多个版本，如Windows 10、Windows 11、Windows Server系列等。
Linux架构：开源操作系统架构，具有稳定性高、安全性好、可定制性强等优点，广泛应用于服务器、嵌入式设备等领域，有多个发行版，如Ubuntu、CentOS、Red Hat等。
Android架构：由美国谷歌公司开发的移动操作系统架构，基于Linux内核，主要应用于智能手机、平板电脑、智能手表等移动设备，具有开放性强、应用生态丰富等特点。
iOS架构：由苹果公司开发的移动操作系统架构，仅应用于苹果公司的移动设备（如iPhone、iPad、iPod Touch等），具有封闭性强、安全性高、用户体验好等特点。
UNIX架构：一种多用户、多任务的操作系统架构，最早由贝尔实验室开发，具有稳定性高、可靠性强等优点，主要应用于大型服务器和工作站领域，许多操作系统（如Linux、macOS）都借鉴了UNIX的设计思想。

二、Windows操作系统介绍

2.1 简介

开发主体：Microsoft Windows是美国微软公司研发的一套操作系统。
发展历程：
- 问世于1985年，起初仅仅是Microsoft - DOS模拟环境，功能相对简单，主要依赖命令行操作。
- 后续随着微软不断的更新升级，系统功能逐渐完善，易用性不断提高，慢慢成为家家户户人们最喜爱的操作系统之一。
界面特点：采用了图形化模式（GUI），用户可以通过鼠标点击图标、菜单等方式进行操作，比起从前的DOS需要键入指令使用的方式更为人性化，降低了用户的操作门槛。
架构与版本升级：
- 从架构上看，经历了16位、32位再到64位的发展，64位架构能够支持更大的内存地址空间，提高系统的性能和处理能力，满足日益复杂的应用程序需求。
- 系统版本不断更新，从最初的Windows 1.0，到大家熟知的Windows 95、Windows 98、Windows ME、Windows 2000、Windows 2003、Windows XP、Windows Vista、Windows 7、Windows 8、Windows 8.1、Windows 10，以及面向企业级应用的Windows Server服务器操作系统系列。每个版本在功能、性能、安全性等方面都进行了改进和优化，以适应不同时期计算机硬件和软件的发展以及用户的需求变化。

2.2 Windows用户

2.2.1 用户账号

权限差异：不同的用户身份拥有不同的权限，权限决定了用户可以对计算机系统进行的操作范围，如是否可以安装软件、修改系统设置、访问特定文件或文件夹等。
账号构成：每个用户账号包含一个名称（用户名）和一个密码，用户名用于标识用户身份，密码用于验证用户身份的合法性，防止未授权用户登录系统。
安全标识符（SID）：用户账户拥有唯一的安全标识符，是标识用户、组和计算机帐户的唯一号码。在第一次创建该帐户时，将给网络上的每一个帐户发布一个唯一的SID。即使用户修改了用户名，其SID也不会改变，系统通过SID来识别用户的身份和权限，而不是通过用户名。例如，在命令行中输入“whoami /user”命令，可以查看当前用户的用户名和对应的SID。
用户账号管理途径：可以通过“计算机管理”中的“本地用户和组”来管理用户账号，如创建、删除、修改用户账号，设置用户密码，更改用户权限等；也可以通过命令行工具（如net user命令）进行用户账号管理，例如“net user 用户名密码 /add”命令用于创建新用户账号并设置密码，“net user 用户名 /del”命令用于删除用户账号。
本地安全策略配置：用户权限分配可以通过“win + r”打开“运行”对话框，输入“secpol.msc”命令，或者打开“控制面板”→“管理工具”→“本地安全策略”进行配置。在“本地安全策略”中，可以设置用户的各种权限，如“从远程系统强制关机”“从网络访问此计算机”“备份文件和目录”等权限的分配，指定哪些用户或组可以拥有这些权限。

2.2.2 用户权限

权限等级排序：Windows常用用户的权限从高到低依次为：System > Administrator > User > Guest。
各用户权限说明：
- SYSTEM（本地系统用户）：本地机器上拥有最高权限的用户，为系统核心组件访问文件资源、修改系统设置等提供权限，系统的许多核心进程和服务都是以SYSTEM用户身份运行的，用户一般无法直接以SYSTEM用户身份登录系统进行常规操作。
- Administrator（管理员用户）：默认系统管理员用户，拥有对计算机系统的大部分管理权限，可以执行安装软件、卸载软件、修改系统设置、管理用户账号、访问和修改大部分系统文件和文件夹等操作。在Windows 7及以后的版本中，Administrator账户默认处于禁用状态，用户可以手动启用该账户。
- User（普通用户）：普通用户账号，拥有有限的权限，可以运行已安装的应用程序、访问自己有权限的文件和文件夹、进行一些基本的系统设置（如更改桌面背景、设置屏幕分辨率等），但不能安装或卸载软件、修改系统核心设置、访问其他用户的私有文件或系统关键文件等。
- Guest（来宾用户）：来宾用户账号，只拥有相对较少的权限，主要用于为临时访问计算机的用户提供有限的访问权限，默认被禁用。来宾用户可以登录系统，运行一些简单的应用程序，访问公共文件夹，但不能安装软件、修改系统设置、创建或修改除公共文件夹以外的文件等。
与Windows组件关联的用户账户：

Windows组件关联的用户	含义	说明
System	本地系统用户	为Windows的核心组件访问文件等资源提供权限，确保系统核心组件能够正常运行，完成系统的各种核心功能，如进程调度、内存管理、设备管理等。
Local Service	本地服务用户	预设的拥有最小权限的本地账户，主要用于运行一些本地服务，这些服务不需要访问网络资源或只需要有限的本地资源访问权限。使用Local Service账户可以提高系统的安全性，因为即使服务被攻击，攻击者也只能获得有限的权限。
Network Service	网络服务用户	具有运行网络服务权限的计算机账户，主要用于运行需要访问网络资源的服务，如Web服务、邮件服务等。该账户拥有访问网络资源的权限，但权限相对较低，以保障系统在提供网络服务的同时的安全性。

默认用户账户：

默认用户账户	说明
Administrator	管理员用户，管理计算机（域）的内置账户，默认禁用，启用后拥有系统的大部分管理权限。
DefaultAccount	系统管理的用户账户，默认禁用，主要用于系统内部的一些特定操作，一般不允许用户直接使用。
defaultuser0	默认用户，默认禁用，通常是在系统安装过程中或某些特定情况下自动创建的临时用户账户，一般不用于常规用户登录。
Guest	来宾用户，提供给访客人员使用，默认禁用，启用后访客可以有限度地访问计算机系统。
WDAGUtilityAccount	Windows Defender用户，系统为Windows Defender应用程序防护方案管理和使用的用户帐户，默认禁用，用于保障Windows Defender应用程序防护方案的正常运行，提高系统的安全性。

2.2.3 用户组

用户组定义：组是一些用户的集合，将具有相同或相似权限需求的用户添加到同一个组中，通过对组设置权限，可以使组内的所有用户自动具备为组所设置的权限，从而简化用户权限的管理工作，提高管理效率。{insert_element_0_}

内置用户组及说明：

计算机管理（本地）组件	用户组	说明
系统工具	Administrators（管理员组）	管理员对计算机/域有不受限制的完全访问权，分配给该组的默认权限允许对整个系统进行完全控制。{insert_element_1_}、{insert_element_2_}
任务计划程序	Backup Operators（备份操作员组）	备份操作员为了备份或还原文件可以替代安全限制，即使文件或文件夹设有访问权限，该组用户也能执行备份与还原操作。{insert_element_3_}
事件查看器	Cryptographic Operators（加密操作员组）	授权成员执行加密操作，可参与系统中与加密相关的配置、密钥管理等任务。{insert_element_4_}
共享文件夹	Distributed COM Users（分布式COM用户组）	成员允许启动、激活和使用此计算机上的分布式COM对象，支持跨进程或跨计算机的COM组件交互。{insert_element_5_}
本地用户和组	Event Log Readers（事件日志读取器组）	此组的成员可以从本地计算机中读取事件日志，仅具备日志查看权限，无修改或删除日志的权限。{insert_element_6_}
本地用户和组	Guests（来宾组）	按默认值，来宾跟用户组的成员有同等访问权，但来宾账户的限制更多，默认禁用，主要用于临时访客访问。{insert_element_7_}、{insert_element_8_}
性能	S_IUSRS（Internet信息服务使用组）	Internet信息服务（IIS）使用的内置组，为IIS相关服务和进程提供必要的权限支持。{insert_element_9_}
设备管理器	Network Configuration Operators（网络配置操作员组）	此组中的成员有部分管理权限来管理网络功能的配置，如修改网络连接设置，但无法执行高级网络管理操作。{insert_element_10_}
存储	Performance Log Users（性能日志用户组）	该组中的成员可以计划进行性能计数器日志记录、启用跟踪记录等与系统性能监控相关的操作。{insert_element_11_}
磁盘管理	Performance Monitor Users（性能监视器用户组）	此组的成员可以从本地和远程访问性能计数器数据，用于查看系统性能指标，但无修改性能监控配置的权限。{insert_element_12_}
服务和应用程序	Power Users（高级用户组）	包括高级用户以向下兼容，高级用户拥有有限的管理权限，可执行除Administrators组保留任务外的多数操作系统任务。{insert_element_13_}、{insert_element_14_}
-	Remote Desktop Users（远程桌面用户组）	此组中的成员被授予远程登录的权限，可通过远程桌面服务连接到计算机，但仅具备有限的操作权限。{insert_element_15_}
-	Replicator（复制器组）	支持域中的文件复制，确保域内不同计算机之间的文件同步与复制功能正常运行。{insert_element_16_}
-	Users（普通用户组）	防止用户进行有意或无意的系统范围的更改，但是可以运行大多数经过验证的应用程序，无法运行部分旧版应用程序。{insert_element_17_}、{insert_element_18_}
-	Everyone（所有用户组）	包含任何用户，设置开放的权限时经常使用，如允许所有用户访问公共文件夹时，可将权限分配给该组。{insert_element_19_}

内置用户组分类：
1. 需人为添加成员的内置组：包括Administrators、Guests、Power Users、Users，这类组的成员需要管理员手动添加，成员列表相对固定，不会随用户状态自动变化。{insert_element_20_}
2. 动态包含成员的内置组：其成员由Windows程序自动添加，Windows会根据用户的状态（如是否本地登录、是否通过身份验证）来决定用户所属的组，组内成员动态变化，无法手动修改。常见的有：{insert_element_21_}
  - Interactive：动态包含在本地登录的账户，用户通过本地终端登录系统后，自动加入该组。{insert_element_22_}
  - Authenticated Users：动态包含了通过验证的用户，不包含来宾用户，用户输入正确账号密码登录后，自动加入该组。{insert_element_23_}
  - Everyone：包含任何用户，无论用户是否登录或通过验证，默认涵盖所有可能访问系统的用户。{insert_element_24_}

2.3 Windows目录

2.3.1 系统目录（以C:\Windows为例）

核心目录结构及功能：

目录路径	功能说明	注意事项
C:\Windows\system32	存放Windows的系统文件和硬件驱动程序，是系统核心文件的主要存储位置。{insert_element_25_}	严禁随意删除或修改此目录下的文件，否则可能导致系统崩溃。
C:\Windows\system32\config	存放用户配置信息和密码信息，包含系统关键配置文件。{insert_element_26_}	其中SAM文件（存放账号密码）为加密文件，普通软件无法打开，需特殊工具读取。{insert_element_27_}
C:\Windows\system32\config\systemprofile	系统配置信息目录，用于恢复系统，当系统配置异常时，可参考此目录下的文件进行修复。{insert_element_28_}	不可随意删除，否则可能影响系统恢复功能。
C:\Windows\system32\drivers	存放硬件驱动文件，系统加载硬件时会从该目录调用对应驱动。{insert_element_29_}	不建议删除，删除后可能导致硬件无法正常工作。
C:\Windows\system32\spool	存放系统打印文件，包括打印的色彩、打印预存等数据，打印任务执行时依赖此目录。{insert_element_30_}	可定期清理过期打印任务文件，但需保留目录结构。
C:\Windows\system32\wbem	存放WMI（Windows管理规范）测试程序，用于查看和更改公共信息模型类、实例和方法等。{insert_element_31_}	请勿删除，删除后会影响系统管理工具的正常使用。
C:\Windows\system32\IME	存放系统输入法文件，类似Windows下的IME文件夹，支持中文、英文等多种输入法。{insert_element_32_}	删除后会导致对应输入法无法使用，需谨慎操作。
C:\Windows\system32\CatRoot	计算机启动测试信息目录，包括计算机启动时检测的硬软件信息，用于系统启动诊断。{insert_element_33_}	不建议删除，否则可能影响系统启动故障排查。
C:\Windows\system32\Com	存放组件服务文件，支持COM（组件对象模型）组件的运行与交互。{insert_element_34_}	删除后可能导致依赖COM组件的应用程序无法运行。
C:\Windows\system32\ReinstallBackups	电脑中硬件的驱动程序备份，当硬件驱动损坏时，可从该目录恢复备份的驱动。{insert_element_35_}	可在确认驱动正常且无需备份时删除，以节省磁盘空间。
C:\Windows\system32\DllCache	存放系统缓存文件，当系统文件被替换时，文件保护机制会复制此目录下的文件覆盖非系统文件。{insert_element_36_}	不可删除，删除后会导致系统文件保护功能失效。
C:\Windows\system32\GroupPolicy	组策略文件夹，存放系统组策略配置文件，组策略的修改会同步更新此目录下的文件。{insert_element_37_}	仅管理员可修改，普通用户无权限操作。
C:\Windows\system	系统文件夹，存放系统虚拟设备文件，用于系统与虚拟设备的交互。{insert_element_38_}	严禁删除，删除后会导致系统无法正常识别虚拟设备。
C:\Windows$NtUninstall$	每给系统打一个补丁，系统自动创建的目录，存放补丁卸载所需文件。{insert_element_39_}	可删除以节省空间，但删除后无法卸载对应补丁。
C:\Windows\security	系统安全文件夹，存放系统重要的数据文件，与系统安全策略、权限配置相关。{insert_element_40_}	不可随意修改，否则可能影响系统安全性。
C:\Windows\srchasst	搜索助手文件夹，存放系统搜索助手文件，与msagent文件夹类似，支持系统搜索功能。{insert_element_41_}	可删除，但删除后系统搜索助手功能可能异常。
C:\Windows\repair	系统修复文件夹，存放修复系统时所需的配置文件，系统修复工具会调用此目录文件。{insert_element_42_}	不可删除，否则系统修复功能无法正常使用。
C:\Windows\Downloaded Program Files	下载程序文件夹，存放扩展IE功能的ActiveX等插件，IE浏览器运行插件时依赖此目录。{insert_element_43_}	可删除无用插件文件，但需保留目录结构。
C:\Windows\inf	存放INF文件，INF文件最常见的应用是为硬件设备提供驱动程序服务。{insert_element_44_}	不建议删除其中文件，否则可能导致硬件驱动安装失败。
C:\Windows\Help	Windows帮助文件目录，存放系统帮助文档，用户打开“帮助和支持”时会调用此目录文件。{insert_element_45_}	可删除，但删除后无法查看系统帮助文档。
C:\Windows\Config	系统配置文件夹，存放系统的一些临时配置文件，系统运行中会动态更新这些文件。{insert_element_46_}	不可删除，删除后可能导致系统配置丢失。
C:\Windows\msagent	微软助手文件夹，存放动态的卡通形象，协助用户使用系统，如Office助手。{insert_element_47_}	若觉得无必要，可直接删除，不影响系统核心功能。
C:\Windows\Cursors	鼠标指针文件夹，存放系统预设的鼠标指针样式，用户可在“鼠标属性”中更换指针样式。{insert_element_48_}	可添加自定义鼠标指针文件，删除预设文件会导致对应指针样式不可用。
C:\Windows\Media	声音文件夹，开关机等wav格式声音文件存放于此，系统提示音、开关机音效均来自此目录。{insert_element_49_}	可替换为自定义声音文件，但需保持文件格式一致。
C:\Windows\Mui	多语言包文件夹，存放多国语言文件，简体中文系统中默认是空的。{insert_element_50_}	不建议删除此文件夹，后续安装多语言包时需用到。
C:\Windows\java	存放Java运行的组件及其程序文件，支持依赖Java环境的应用程序运行。{insert_element_51_}	不建议删除其中文件，否则Java应用程序无法运行。
C:\Windows\Web\Wall****	存放桌面壁纸的文件夹，系统预设壁纸和用户添加的壁纸可能存放于此（目录名中“Wall****”为壁纸相关标识，如Wallpaper）。{insert_element_52_}	可添加或删除壁纸文件，不影响系统功能。
C:\Windows\addins	系统附加文件夹，存放系统附加功能的文件，如Office附加组件等。{insert_element_53_}	删除后可能导致对应附加功能无法使用。
C:\Windows\Connection Wizard	连接向导文件夹，存放“Internet连接向导”的相关文件，用户创建网络连接时会调用。{insert_element_54_}	不可删除，否则无法通过连接向导创建网络连接。
C:\Windows\Driver Cache\i386	Windows操作系统自带的已知硬件驱动文件，适用于32位系统。{insert_element_55_}	可删除以节省空间，删除后系统需从其他途径获取驱动。
C:\Windows\TEMP	系统临时文件夹，系统和应用程序运行中产生的临时文件存放于此。{insert_element_56_}	其中内容可以全部删除，定期清理可释放磁盘空间。
C:\Windows\twain_32	扫描仪相关文件夹，存放扫描仪驱动和配置文件，扫描仪工作时依赖此目录。{insert_element_57_}	无扫描仪设备时可删除，有扫描仪则不可删除。
C:\Windows\AppPatch	应用程序修补备份文件夹，存放应用程序的修补文件，用于修复应用程序运行问题。{insert_element_58_}	不建议删除，否则应用程序修补功能无法使用。
C:\Windows\Debug	系统调试文件夹，存放系统运行过程中调试模块的日志文件，用于排查系统故障。{insert_element_59_}	可删除日志文件，但需保留目录结构。
C:\Windows\Resources\Themes	桌面主题存放目录，系统预设主题和用户安装的主题均存放于此。{insert_element_60_}	可删除无用主题，以节省磁盘空间。
C:\Windows\WinSxS	存储各个版本的Windows组件，减少因DLL文件引起的配置问题，确保应用程序兼容性。{insert_element_61_}	严禁删除，删除后会导致大量应用程序无法运行。
C:\Windows\ime	输入法信息目录，与system32下的IME目录类似，补充存放输入法相关文件。{insert_element_62_}	删除后可能导致部分输入法无法使用。
C:\Windows\PCHealth\HelpCtr	帮助和支持目录，存放系统“帮助和支持中心”的相关文件，包含帮助文档和功能模块。{insert_element_63_}	不可删除，删除后“帮助和支持中心”无法打开。
C:\Windows\PCHealth\HelpCtr\Binaries	存放msconfig等系统工具程序，msconfig（系统配置实用程序）可用于配置系统启动项、服务等。{insert_element_64_}	不可删除，删除后无法运行对应系统工具。
C:\Windows\Offline Web Pages	脱机浏览文件存放于此，用户将网页设置为脱机浏览后，相关文件会保存在此目录。{insert_element_65_}	可删除无用的脱机文件，不影响系统核心功能。
C:\Windows\Prefetch	预读取文件夹，存放系统已访问过的文件的预读信息（扩展名为“PF”），以加快文件访问速度。{insert_element_66_}、{insert_element_67_}	可以将此文件夹中的文件删除，系统会重新生成预读信息。
C:\Windows\ShellNew	存放“新建”菜单对应的模板文件，如新建文本文档、新建Word文档等的模板。{insert_element_68_}	修改此目录文件可自定义“新建”菜单功能，不建议随意删除。
C:\Windows\Fonts	字体文件夹，要安装某种字体只需将字体文件复制到该目录下即可，系统应用程序会自动识别。{insert_element_69_}	可删除无用字体，但系统默认字体（如宋体）不可删除。
C:\Windows\pss	备份系统启动配置文件，一般对“Boot.ini”“System.ini”和“Win.ini”三个文件进行备份（扩展名为“backup”）。{insert_element_70_}	不建议删除，若系统原有配置文件损坏，可从这里恢复。
C:\Windows\Registration	注册文件夹，存放用于系统COM+或其他组件注册的相关文件，组件注册时依赖此目录。{insert_element_71_}	不建议删除这里的文件，否则组件注册会失败。
C:\Windows\Downloaded Installations	存放使用Windows Installer技术的安装程序，主要用于对程序进行修复等操作。{insert_element_72_}	可删除，但删除后部分程序无法通过Windows Installer修复。
C:\Documents and Settings\Default User	默认用户配置目录，新建用户时会以此目录为模板复制配置，包含应用程序数据、桌面、收藏夹等子目录。{insert_element_73_}	不可删除，否则新建用户配置会异常。
C:\Documents and Settings\All Users	所有用户文件夹，这里的更改对所有用户有效，如公共桌面、公共收藏夹等。{insert_element_74_}	管理员可修改此目录内容，普通用户仅具备读取权限。
C:\Documents and Settings\Administrator	系统管理员帐户的文件夹，存放管理员用户的个人配置、文件、桌面图标等数据。	仅Administrator用户或具备管理员权限的用户可完全访问，普通用户无权限修改。
C:\Program Files\Common Files	共享的应用程序文件存放于此，多个应用程序可能共用此目录下的组件或资源。	不可随意删除，删除后可能导致依赖共享组件的应用程序无法运行。
C:\Program Files\Internet Explorer	IE浏览器安装目录，存放IE浏览器的可执行文件、插件、配置文件等。	卸载IE浏览器或升级时会修改此目录，不建议手动删除。
C:\Program Files\ComPlus Applications	COM+ 组件的配置和跟踪目录，一般为空，仅在系统使用COM+组件时生成相关文件。	无需手动操作，删除后系统会自动重建（若有需求）。
C:\Program Files\Windows Media Player	Windows媒体播放器安装目录，存放播放器的程序文件、解码器、皮肤等资源。	删除后会导致Windows Media Player无法运行，需重新安装。
C:\Program Files\WindowsUpdate	用于Windows的升级，存放系统更新下载的临时文件和安装包。	可删除以节省空间，删除后不影响后续系统更新（会重新下载）。
C:\Program Files\InstallShield Installation Information	存放InstallShield安装技术相关的程序信息，用于程序的安装、修复和卸载。	不可随意删除，删除后可能导致部分程序无法正常卸载或修复。
C:\Program Files\Uninstall Information	存放软件反安装信息，包含软件卸载所需的配置和脚本。	删除后可能导致部分软件无法卸载，需谨慎操作。
C:\wmpub	Windows Media Service的目录，用于Windows媒体服务相关的配置和数据存储，适用于搭建媒体服务器的场景。	无媒体服务需求时可忽略，删除后不影响普通用户使用。
C:\boot	一键还原等软件的文件夹，存放一键还原工具的程序文件、备份配置等。	安装了一键还原软件的系统不可删除，删除后还原功能失效。
C:\Inetpub	IIS（Internet信息服务）文件夹，存放IIS服务器的配置文件、网页文件、日志等，用于搭建Web服务器。	未安装IIS服务时此目录可能不存在，安装后不可随意删除。
C:\Downloads	FlashGet（快车）默认下载文件夹，用户通过FlashGet下载的文件默认保存于此。	可自定义修改下载路径，删除此目录仅影响默认下载位置，不影响软件功能。
C:\System Volume Information	系统还原文件夹，存放系统还原点数据，系统出现故障时可通过此目录恢复到之前的正常状态。	默认受系统保护，普通用户无法直接访问，删除后会丢失系统还原点。
C:\TDdownload	迅雷默认下载文件夹，用户通过迅雷下载的文件默认保存于此。	可在迅雷软件中修改默认下载路径，删除此目录不影响迅雷的正常运行。

2.3.2 重要目录（核心功能与安全相关）

System与System32目录
- 两者是Windows系统核心文件夹，存放Windows的系统文件（如.exe、.dll等核心程序文件）和硬件驱动程序，系统启动、运行及硬件调用均依赖这两个目录。
- 例如，C:\Windows\System32\ntoskrnl.exe是Windows内核文件，缺失或损坏会导致系统无法启动；C:\Windows\System32\drivers\disk.sys是磁盘驱动文件，负责磁盘设备的正常工作。
账号密码相关目录与文件
- C:\Windows\System32\config\SAM：存放Windows账号密码的核心文件，采用加密存储，普通软件无法直接打开，是系统账号安全的关键文件。若此文件损坏，可能导致用户无法登录系统。
- 示例：通过注册表（HKEY_LOCAL_MACHINE\SAM\SAM）可间接管理SAM文件中的账号信息，但需具备最高权限且操作风险极高。
域名解析相关文件
- C:\Windows\System32\drivers\etc\hosts：负责解析域名并优先于DNS服务，系统访问域名时会先查询此文件。例如，在hosts文件中添加127.0.0.1 www.example.com，可将www.example.com指向本地服务器。
- 风险提示：许多恶意软件会恶意更改该文件劫持网站（如将正常网站指向钓鱼网站），需定期检查文件完整性。
日志文件目录
- C:\Windows\System32\winevt\Logs：存放Windows系统日志文件，包括应用程序日志、安全日志、系统日志等，记录系统运行中的事件（如登录记录、程序错误、硬件故障等）。
- 查看途径：通过“计算机管理→事件查看器→Windows日志”可分析日志内容，用于排查系统故障或安全事件（如账号异常登录）。
Program Files目录
- 存放用户安装的软件配置信息，如数据库连接信息、软件插件、用户数据等。例如，安装MySQL数据库后，其配置文件（my.ini）和数据文件可能存放在C:\Program Files\MySQL目录下。
- 注意事项：64位系统中会额外存在Program Files (x86)目录，用于存放32位软件，避免与64位软件冲突。

2.4 Windows文件夹权限

2.4.1 权限类型及说明（共6类，按权限范围从大到小排序）

权限名称	权限范围	具体操作能力	适用场景
完全控制（Full Control）	最高	对文件夹、子文件夹、文件进行全权控制，包括修改资源权限、获取资源所有者、删除资源、创建/修改/删除文件等所有操作。	管理员管理系统核心目录（如C:\Windows）、重要软件安装目录（如C:\Program Files）。
修改（Modify）	中等	修改或删除资源，同时拥有写入、读取和运行权限（如编辑文件内容、删除文件、运行程序，但无法修改文件夹权限）。	普通用户管理个人文件目录（如C:\Users\用户名\Documents）。
读取和运行（Read & Execute）	有限	读取和列出资源目录，允许在资源中移动和遍历（可直接访问子文件夹与文件，即使无路径访问权限），同时可运行可执行文件。	用户访问需要运行程序的目录（如C:\Program Files\Adobe\Reader）。
列出文件夹目录（List Folder Contents）	有限	仅查看资源中的子文件夹与文件名称，无法打开文件或运行程序，也无法查看文件内容或文件夹属性。	共享文件夹中仅允许用户查看文件列表，不允许访问文件内容。
读取（Read）	有限	查看文件夹中的文件、子文件夹，以及文件夹的属性、所有者和权限，但无法修改或删除任何内容，也无法运行程序。	公共文件夹（如C:\Users\Public）的普通用户访问权限，仅允许查看文件。
写入（Write）	有限	在文件夹中创建新文件和子文件夹，修改文件夹属性，查看文件夹所有者和权限，但无法删除现有文件/文件夹，也无法读取文件内容。	共享上传目录（如服务器中的文件接收目录），仅允许用户上传文件，不允许查看或删除已有文件。

2.4.2 权限配置示例（以Google Chrome快捷方式为例）

路径：C:\Users\Public\Desktop\Google Chrome.lnk
默认组/用户及权限：
- SYSTEM：完全控制（确保系统组件可正常访问快捷方式）。
- client（当前用户）：读取和运行、读取（允许用户打开Chrome浏览器，无法修改快捷方式属性）。
- Administrators（管理员组）：完全控制（允许管理员修改或删除快捷方式）。
- INTERACTIVE（本地登录用户组）：读取（允许本地登录用户查看快捷方式）。
配置方法：右键快捷方式→“属性”→“安全”→“编辑”，可添加/删除用户/组，或修改已有权限。

2.5 Windows服务

2.5.1 服务定义与特点

核心定义：服务是一种在后台运行的应用程序类型，通常可在本地和通过网络为用户提供功能（如客户端/服务器应用程序、Web服务器、数据库服务器），通过“端口”区分不同服务（不同服务占用不同端口）。
特点：无图形界面，随系统启动或按配置启动，无需用户手动操作即可运行，例如“Windows Update”服务负责自动更新系统，“DHCP Client”服务负责获取IP地址。

2.5.2 服务管理操作

打开服务列表：
- 快捷键：Win + R打开“运行”，输入services.msc回车，即可打开服务列表窗口。
- 图形界面路径：“计算机管理→服务和应用程序→服务”。
服务核心属性：
- 状态：分为“已启动”“已停止”“暂停”，决定服务是否正常运行。
- 启动类型：包括“自动”（系统启动时自动运行）、“手动”（需用户或程序手动启动）、“禁用”（无法启动，需修改配置后才能启用）。
- 登录为：服务运行时使用的用户身份（如“本地系统”“本地服务”“网络服务”），不同身份权限不同。

在这里插入图片描述

2.5.3 常见服务及功能

服务名称	核心功能	启动类型建议	依赖影响
ActiveX Installer (AxInstSV)	为从Internet安装ActiveX控件提供支持，确保ActiveX控件安全安装。	手动（仅在需要安装ActiveX时启动）	禁用后无法安装部分网页插件（如旧版IE插件）。
Background Intelligent Transfer Service (BITS)	使用空闲网络带宽在后台传送文件（如系统更新、应用商店下载）。	自动（确保系统更新正常）	禁用后系统更新可能无法后台下载，需手动触发。
DHCP Client	为计算机注册并更新IP地址，自动从DHCP服务器获取IP、子网掩码等网络配置。	自动（适用于动态IP环境）	禁用后计算机需手动设置静态IP，否则无法联网。
DNS Client	缓存DNS查询结果，加快后续域名解析速度，减少网络请求。	自动	禁用后域名解析速度变慢，每次访问新域名需重新查询DNS。
Windows Update	检测、下载并安装Windows系统更新，修复漏洞、更新功能。	自动（建议启用，保障系统安全）	禁用后系统无法获取更新，可能存在安全漏洞。
Print Spooler	管理打印机队列，处理打印任务（接收打印请求、排序、发送给打印机）。	手动（仅连接打印机时启用）	禁用后无法使用打印机，打印任务无法提交。

2.5.4 服务的作用

决定计算机功能是否启用：例如“Remote Desktop Services”服务启用后，才能通过远程桌面连接计算机；禁用则无法远程登录。
实现资源共享：例如“Server”服务启用后，计算机可作为文件服务器，允许其他计算机访问共享文件夹；禁用则无法提供共享资源。
保障系统稳定运行：例如“Plug and Play”服务自动检测并配置新硬件，确保硬件接入后可正常使用；禁用后新硬件需手动安装驱动。

2.6 Windows端口

2.6.1 端口定义与作用

定义：“端口”是设备与外界通讯交流的出口，分为虚拟端口（如TCP/UDP端口，用于网络通讯）和物理端口（如USB接口、网线接口，用于硬件连接）。
核心作用：IP地址与网络服务是“一对多”关系，通过“IP地址+端口号”区分不同服务。例如，同一台服务器（IP：192.168.1.100）可通过80端口提供HTTP服务，21端口提供FTP服务，客户端通过不同端口访问对应服务。
示例：用户使用浏览器访问www.baidu.com时，百度服务器使用80端口（HTTP）或443端口（HTTPS）与用户计算机通信，用户计算机则随机使用1024以上的动态端口。

（比如你的电脑作为客户机访问一台 www 服务器时，www 服务器使用“80”端口与你
的电脑通信，但你的电脑则可能使用“3457”这样的端口）
在这里插入图片描述

2.6.2 端口分类

按端口号分布划分：

分类	端口号范围	特点	典型用途
知名端口	0~1023	固定分配给特定服务，由IANA（互联网号码分配局）管理，端口号与服务一一对应。	80端口（HTTP）、21端口（FTP）、25端口（SMTP）。
动态端口	1024~65535	不固定分配给某个服务，可被多个服务临时使用，也常被病毒、木马利用（如木马通过动态端口回传数据）。	客户端访问服务时使用的临时端口（如3457、5678）。

按协议类型划分：

协议类型	特点	典型端口及服务
TCP（传输控制协议）	面向连接，需在客户端和服务器间建立连接，提供可靠数据传输（无丢失、无重复）。	23端口（Telnet，远程登录）、25端口（SMTP，邮件传输）、80端口（HTTP，超文本传输）、443端口（HTTPS，加密HTTP）。
UDP（用户数据包协议）	无连接，无需建立连接，数据传输速度快但安全性低（可能丢失、重复）。	53端口（DNS，域名解析）、161端口（SNMP，简单网络管理协议）、8000/4000端口（QQ，即时通讯）。
ICMP（Internet控制消息协议）	用于传递控制消息（如ping命令测试网络连通性），无固定端口号。	-（ping命令基于ICMP，无需端口）。

查看端口命令 netstat -ano
在这里插入图片描述

2.6.3 常见端口与协议对应表

常见协议	默认端口号	协议基本作用	安全风险提示
FTP	21	文件上传、下载（控制连接端口，数据传输使用20端口或动态端口）。	明文传输，账号密码易被窃取，建议使用SFTP（22端口）替代。
SSH	22	安全的远程登录（加密传输数据），用于远程管理Linux/Windows服务器。	若密码简单，易被暴力破解，建议禁用密码登录，使用密钥登录。
TELNET	23	远程登录（明文传输，安全性低），早期用于服务器管理。	已逐渐被SSH替代，生产环境中建议禁用此端口。
SMTP	25	邮件传输（发送邮件，从客户端到邮件服务器）。	易被用于发送垃圾邮件，需配置邮件服务器认证机制。
DNS	53（UDP）	域名解析（将域名转换为IP地址）。	易受DNS劫持攻击，建议使用可靠的DNS服务器（如114.114.114.114）。
HTTP	80	超文本传输（浏览网页，明文传输）。	数据易被监听篡改，建议升级为HTTPS（443端口）。
POP3	110	邮件接收（从邮件服务器下载邮件到客户端）。	明文传输，建议使用POP3S（995端口，加密）。
HTTPS	443	加密传输的HTTPS（基于SSL/TLS，安全浏览网页）。	若证书过期或无效，可能存在钓鱼风险，需验证证书合法性。

更多常见端口：
在这里插入图片描述

2.6.4 端口查看与管理

查看端口命令：netstat -ano（在命令提示符中执行），可显示所有活动连接的端口号、协议、本地地址、外部地址、状态及对应的进程PID。
- 示例输出解读：TCP 0.0.0.0:80 0.0.0.0:0 LISTENING 4，表示80端口（HTTP）已开启，处于监听状态，对应进程PID为4（可能是IIS服务）。
端口管理：通过“Windows防火墙”配置端口开放/关闭，或通过服务管理禁用对应服务（如禁用FTP服务可关闭21端口），减少安全风险。

2.7 Windows进程

2.7.1 进程定义与分类

核心定义：进程是Windows系统中正在运行的程序实例，是程序在计算机中的执行过程，包含程序代码、数据、内存空间及运行状态等信息。
分类方式：根据进程归属和功能，分为系统进程和程序进程两类：
- 系统进程：由操作系统自身启动和管理，用于维持系统正常运行，用户名通常为SYSTEM，优先级较高，不可随意终止。例如csrss.exe（客户端/服务端运行时子系统）、lsass.exe（本地安全认证服务）等。
- 程序进程：由用户启动的应用程序对应的进程，用户名通常为当前登录用户（如client），可根据用户需求启动或终止。例如explorer.exe（资源管理器）、GoogleCrashHandler.exe（谷歌浏览器崩溃处理程序）等。
查看途径：通过“任务管理器”查看进程，快捷键为Ctrl+Alt+Delete后选择“任务管理器”，或右键任务栏选择“任务管理器”。在“进程”选项卡中可查看进程名称（映像名称）、用户名、内存占用、CPU使用率及命令行路径等信息。

2.7.2 常见系统进程及功能（核心进程不可终止，否则可能导致系统崩溃）

进程名称	所属用户	核心功能	异常影响
`conime.exe`	SYSTEM/当前用户	与输入法编辑器有关的系统进程，确保正常调整和编辑系统中的输入法（如切换中英文、选择输入法）。	终止后可能导致输入法无法切换或无法输入中文。
`csrss.exe`	SYSTEM	微软客户端/服务端运行时子系统，管理Windows图形相关任务（如窗口显示、用户交互），是系统核心进程。	终止后系统会立即蓝屏或重启，无法正常运行。
`ctfmon.exe`	当前用户	与输入法有关，确保语言栏正常显示在任务栏，支持输入法切换和文本服务。	终止后语言栏消失，需手动重启进程恢复输入法功能。
`explorer.exe`	当前用户	Windows资源管理器，是Windows图形界面外壳程序，负责显示桌面图标、任务栏、开始菜单及文件管理器。	终止后桌面图标和任务栏消失，可通过“任务管理器→文件→新建任务→输入explorer.exe”重启。
`lsass.exe`	SYSTEM	用于Windows操作系统的安全机制、本地安全和登录策略，处理用户登录认证、密码验证及安全策略应用。	终止后系统无法验证用户身份，可能导致登录失败或自动重启。
`services.exe`	SYSTEM	用于启动和停止系统中的服务（如Windows Update、DHCP Client），管理服务的运行状态和依赖关系。	终止后系统服务无法正常启动或停止，部分功能（如网络连接、打印）失效。
`smss.exe`	SYSTEM	会话管理子系统，负责调用对话管理子系统，创建用户会话，是系统启动时最早运行的进程之一。	终止后无法创建新的用户会话，用户无法登录系统。
`svchost.exe`	SYSTEM/Local Service/Network Service	从动态链接库（DLL）中运行的服务的通用主机进程，多个系统服务可能共享一个`svchost.exe`进程（通过不同服务名称区分）。	随意终止可能导致多个系统服务同时失效，需通过“任务管理器→服务”确认对应服务后操作。
`system`	SYSTEM	Windows页面内存管理进程，负责管理系统页面文件（虚拟内存），确保系统正常启动和内存分配。	系统核心进程，无法手动终止，终止会直接导致系统崩溃。
`system idle process`	SYSTEM	在CPU空闲时发出命令使CPU挂起，降低CPU内核温度，其CPU使用率越高表示CPU空闲程度越高（非实际进程占用）。	无实际功能，仅用于显示CPU空闲状态，无法终止。
`winlogon.exe`	SYSTEM	Windows NT用户登录程序，主要用于管理用户登录和退出（如显示登录界面、验证用户密码、加载用户配置）。	终止后用户会被强制注销，未保存的文件数据可能丢失。

2.7.3 进程管理操作（通过任务管理器）

查看进程详情：在“进程”选项卡中，勾选“显示所有用户的进程”可查看系统进程和其他用户的进程；切换到“详细信息”选项卡可查看进程PID（进程标识符）、CPU占用时间、内存（专用工作集）等更详细信息。
终止进程：选中目标进程后点击“结束进程”，需注意：
- 程序进程（如notepad.exe）终止后仅影响对应应用程序，未保存数据会丢失。
- 系统进程（如csrss.exe）终止后可能导致系统崩溃，需谨慎操作。
定位进程文件：右键进程选择“打开文件位置”，可直接跳转至进程对应的可执行文件路径（如C:\Windows\system32\explorer.exe），用于排查恶意进程的文件来源。

2.8 Windows注册表

2.8.1 注册表定义与作用

核心定义：注册表是Windows操作系统中的一个核心数据库，存放着控制Windows启动、硬件驱动程序装载、应用程序运行的各种参数，是系统配置的核心存储位置。
关键作用：
- 控制系统启动：存储系统启动时需要加载的驱动程序、服务及启动项配置（如“开始→启动”中的程序）。
- 管理硬件配置：记录硬件设备的驱动程序路径、硬件参数及设备状态，确保硬件正常工作。
- 存储应用程序配置：保存应用程序的安装路径、用户偏好设置（如窗口大小、默认字体）、卸载信息等。
- 维护系统安全：记录用户账号信息、权限配置、安全策略等，与系统安全认证密切相关。
打开方式：使用快捷键Win+R打开“运行”对话框，输入regedit后回车，即可打开“注册表编辑器”。

2.8.2 注册表结构（五大根键，各根键对应不同配置范围）

根键名称	英文全称	核心功能（管理范围）	常见子键用途
`HKEY_CLASSES_ROOT`	HKEY Classes Root	管理文件系统，关联文件扩展名与对应的应用程序（如`.txt`关联“记事本”），存储COM组件注册信息。	- `.txt`：定义文本文件的打开程序和图标。 - `CLSID`：存储COM组件的唯一标识符，用于组件调用。
`HKEY_CURRENT_USER`	HKEY Current User	管理系统当前登录用户的信息，包括用户的桌面配置、软件偏好、网络连接设置、输入法设置等。	- `Control Panel`：存储当前用户的控制面板设置（如屏幕分辨率、鼠标指针）。 - `Software`：存储当前用户的应用程序配置（如浏览器书签、办公软件设置）。
`HKEY_LOCAL_MACHINE`	HKEY Local Machine	管理当前系统的硬件配置和系统级设置，对所有用户生效，是最常用的根键之一。	- `HARDWARE`：记录硬件设备的检测信息（如CPU、内存、磁盘型号）。 - `SAM`：存储用户账号和密码的加密信息（需特殊权限才能访问）。 - `SOFTWARE`：存储系统软件和应用程序的系统级配置（如软件安装路径、服务参数）。
`HKEY_USERS`	HKEY Users	管理系统中所有用户的信息，包含默认用户（`Default`）和已登录用户的配置文件，是`HKEY_CURRENT_USER`的父键。	- `S-1-5-21-...`（用户SID对应的子键）：存储具体用户的配置，与`HKEY_CURRENT_USER`内容一致（当前用户子键的映射）。
`HKEY_CURRENT_CONFIG`	HKEY Current Config	管理当前用户的系统配置，存储当前硬件配置文件的信息（如显示器分辨率、打印机设置），与`HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Hardware Profiles\Current`内容一致。	- `System`：存储当前硬件配置的系统参数，确保硬件按当前配置运行。

在这里插入图片描述

2.8.3 注册表操作注意事项

权限控制：部分根键（如HKEY_LOCAL_MACHINE\SAM）默认仅SYSTEM和Administrators组有访问权限，普通用户无法修改，需提升权限后操作。
备份与恢复：修改注册表前建议备份对应子键（右键子键选择“导出”，保存为.reg文件），若修改错误可双击备份文件恢复。
操作风险：错误修改注册表（如删除核心子键、修改系统参数）可能导致系统无法启动、应用程序崩溃或硬件无法使用，非专业人员不建议随意修改。

2.9 黑客常用DOS命令

由于命令太多可能后续会单独出一篇。常见的DOS命令通常包括系统信息查询（如systeminfo）、用户管理（如net user）、进程管理（如taskkill）、端口查看（如netstat）、文件操作（如copy/del）等，多用于渗透测试或系统维护场景，需注意合法使用。

2.10 Windows操作系统快捷键

基础操作快捷键：

快捷键	功能说明	适用场景
`F1`	显示当前程序或Windows的帮助内容	在任何程序或系统界面中，需要查看帮助文档时使用（如Word中按F1打开Word帮助）。
`F2`	选中文件/文件夹时执行“重命名”操作	在文件管理器中快速修改文件名称（无需右键选择“重命名”）。
`F3`	在桌面或文件管理器中打开“查找：所有文件”对话框	快速搜索计算机中的文件或文件夹（如在桌面按F3搜索“文档”）。
`Alt+F4`	关闭当前应用程序中的当前窗口（如关闭Word文档、浏览器标签页）	快速关闭不需要的窗口，若当前无打开窗口则弹出“关闭Windows”对话框。
`F5`	刷新当前窗口内容	在文件管理器中刷新文件列表（如复制文件后刷新查看是否完成）、在浏览器中刷新网页。
`Ctrl+F5`	强行刷新（忽略缓存）	在浏览器中强制重新加载网页（不使用本地缓存，获取最新网页内容）。
`Ctrl+F6`	切换到当前应用程序中的下一个窗口（如Word的多个文档窗口）	同时打开多个同类型窗口时快速切换（按`Shift+Ctrl+F6`可切换到前一个窗口）。
`F10`/`Alt`	激活当前程序的菜单栏	在无鼠标时通过键盘操作菜单栏（如按F10后按“F”打开“文件”菜单）。
`Windows键`/`Ctrl+ESC`	打开开始菜单	快速访问开始菜单中的程序、设置或搜索功能。
`Ctrl+Alt+Delete`	打开“安全选项”界面（包含任务管理器、锁定计算机、更改密码等）	查看进程、终止无响应程序、锁定计算机或注销用户。
`Delete`	删除选中的文件/文件夹，删除的文件会放入回收站	快速删除不需要的文件（按`Shift+Delete`可直接永久删除，不放入回收站）。