1.系统目录

windows - system32文件夹

System32是Windows 操作系统的系统文件夹，是操作系统的神经中枢，文件夹中包含了大量的用于Windows操作系统的文件。

System32文件夹里主要用于存储 DLL 文件，控制面板小程序(.CPL), 设备驱动 (.drv)，帮助文件 (.hlp 和 .cnt), MS-DOS 工具 (.com)，语言支持文件 (.nls)，屏幕保护 (.scr)，安装信息文件 (.inf)，以及其它用于支持、配置、或操作的文件。

一般病毒写入的感染文件夹，也是system32文件夹

计算机hosts文件的位置：

hosts文件是一个没有扩展名的系统文件， 其基本作用就是将IP和域名建立联系， Hosts文件就是本地的域名解析。

C:\Windows\System32\drivers\etc
1

SAM文件的位置：

sam文件管理你的系统账号和密码，如果你的系统账号和密码忘记了，可以选择清空sam文件内的信息

而在后渗透的阶段，为了防止攻击行为被发现，我们一般先将sam文件拷贝一份，然后清除sam文件内的信息登录系统，拿到机器权限之后再将拷贝的sam恢复

C:\Windows\System32\config
1

program files文件夹

Program Files 指的是程序文件，也就是Windows 操作系统，也包括其它的操作系统各种软件默认安装到的目录

用户文件夹

这里主要保存了系统用户的一些信息，而有一些愚蠢的黑客会选择通过新建用户名和密码的方式攻击其他人的计算机，当黑客使用自己创建的账户和密码登录系统时，会迅速在用户文件夹下新建一个账户文件夹，且在网络连接机器入侵的情况下不可删除，这样会被很快溯源到👀

所以，黑客们一般不会通过创建账号的方式攻击系统，除非他是入门黑客或者脚本小子🐱‍🏍

ProgramData

该文件夹中保存的通常都是软件常用的数据文件，作用是能加快软件运行速度。 但随着时间的推移，越来越多的软件把数据预存到该文件夹，它所占的空间也随之增大，尤其是有些软件已经卸载了，预存在此的数据仍然存在，所以这是导致你C盘变慢的罪魁祸首之一

注意：此文件夹也是病毒感染的高危文件夹之一

perflogs

perfLogs是windows的日志信息，如磁盘扫描 错误信息，删掉可以，但不建议删，删掉反而会降低系统速度，PerfLogs是系统自动生成的

---

2.服务

服务是一种应用程序类型，它在后台运行。

服务应用程序通常可以在本地和通过网络为用户提供一些功能，例如客户端/服务器应用程序、Web服务器、数据库服务器以及其他基于服务器的应用程序。

常见的服务
web服务、dns服务、dhcp服务、邮件服务、telnet服务、ssh服务、ftp服务、smb服务

启动和关闭服务的两个命令：

net start 服务名 # 开启服务
net stop 服务名  # 关闭服务
1
2

小技巧：在网络安全实战对抗过程中，对抗服务器上可能存在例如安全狗的安全进程服务，我们一般是无法选择关闭此服务的，这里提供一种绕过思路：👀

命令行执行：

sc config "xxx" start=disable
将xxx服务设置为开机禁用
1
2

随后如果对方服务器机器重启，安全狗的服务进程将会挂掉👀

---

3.端口

端口的作用是用来区分服务。端口不可以重复使用。端口范围是从1-65535（1-1024分给了系统自带的一些服务，木马病毒一般使用高位端口）

根据端口，我们可以探测计算机开放的服务、操作系统、网络角色

常见端口：

• HTTP协议代理服务器常用端口号：80/8080/3128/8081/9080
• FTP（文件传输）协议代理服务器常用端口号：21
• Telnet（远程登录）协议代理服务器常用端口：23
• TFTP（Trivial File Transfer Protocol ），默认的端口号为69/udp；
• SSH（安全登录）、SCP（文件传输）、端口重定向，默认的端口号为22/tcp；
• SMTP Simple Mail Transfer Protocol(E-mail)，默认的端口号为25/tcp（木马Antigen、Email Password Sender、HaebuCoceda、Shtrilitz Stealth、WinPC、WinSpy都开放这个端口）；
• POP3 Post Office Protocol (E-mail) ，默认的端口号为110/tcp；
• tomcat，默认的端口号为8080；
• WIN2003远程登陆，默认的端口号为3389；
• Oracle 数据库，默认的端口号为1521；
• MSSQL*SERVER数据库server，默认的端口号为1433/tcp 1433/udp；
• QQ，默认的端口号为1080/udp

---

4.注册表

注册表是windows操作系统中的一个核心数据库，其中存放着各种参数，直接控制着windows的启动、硬件驱动程序的装载以及一些windows应用程序的运行，从而在整个系统中起着核心作用。这些作用包括了软、硬件的相关配置和状态信息，比如注册表中保存有应用程序和资源管理器外壳的初始条件、首选项和卸载数据等，联网计算机的整个系统的设置和各种许可，文件扩展名与应用程序的关联，硬件部件的描述、状态和属性，性能记录和其他底层的系统状态信息，以及其他数据等

用户注册表

目录树：

注意：此处可以通过复制管理员用户的注册表信息达到复制管理员权限账号的操作，是一般后渗透阶段的权限维持手段

开机启动项

位置：

计算机\HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
1

这里是你的Windows开机启动项，里面的服务会随着系统开机自动运行

那么，如何设置一个开机自启的绿色健康程序呢？🐱‍🐉

首先，右键新建一个多字符串值：

双击添加绿色健康程序的路径：

注意：如果利用不好，这里的内容将会十分危险！！！✨✨✨

你是一个无辜的受害者，某天你发现你的电脑中了病毒，于是你想起昨天看过的一篇文章，在注册表 - 开启启动项里可以找到免杀木马的进程信息，于是你一通操作，发现信息里并没有你想要的木马信息。。。

为什么呢？？？

实际上，如果木马进程执行了，他会在开机注册表里消失，隐藏在这里：

计算机\HKEY_LOCAL_MACHINE\SOFTWARE\WOW6432Node\Microsoft\Windows\CurrentVersion\Run
1

同时，这也是开机进程木马溯源的基本思路

---

5.DOS命令

这一部分很重要，它是命令行使用Windows的基本操作

第一批

• color 改变cmd颜色
• ping -t -l 65550 ip 死亡之ping(发送大于64K的文件并一直ping就成了死亡之ping)
• ipconfig 查看ip
• ipconfig /release 释放ip
• ipconfig /renew 重新获得ip
• systeminfo 查看系统信息
• net view 查看局域网内其他计算机名称

第二批

• shutdown -s -t 180 -c "你被黑了，系统马上关机"
• dir 查看目录
• cd 切换目录
• start www.cracer.com 打开网页
• start 123.txt 打开123.txt
• copy con c:\123.txt 创建123.txt文件
• echo "内容" > 文件名 一行命令创建文件
• ctrl+z 回车
• md　目录名 创建目录
• rd 123 删除文件夹
• ren 原文件名 新文件名 重命名文件名
• del 删除文件
• type 文件名 查看文件内容

第三批

• copy 复制文件
• move 移动文件
• tree 树形列出文件夹结构
• net start 查看开启了哪些服务
• net start 服务名 开启服务；(如:net start telnet， net start schedule)
• net stop 服务名 停止某服务
• netstat -ano 查询网络状态
• net use k: \\192.168.1.1\c$ 将目标地址的c盘映射到本地的k盘（会新建盘符）
• net use k: \\192.168.1.1\c$ /del 取消盘符映射

第四批

• net user 用户名 密码 /add 建立用户
• net user guest /active:yes 激活guest用户
• net user 查看有哪些用户
• net user 帐户名 查看帐户的属性
• net locaLGroup administrators 用户名 /add 把某用户添加到管理员组中使其具有管理员权限,注意：administrator后加s用复数
• net user guest 12345 用guest用户登陆后用将密码改为12345
• net password 密码 更改系统登陆密码
• net share 查看本地开启的共享
• net share ipc$ 开启ipc$共享
• net share ipc$ /del 删除ipc$共享
• net share c$ /del 删除C：共享

第五批

• Tasklist 查看进程
• Tsklkill /im qq.exe /f 结束进程
• Tracert 追踪路由
• Query user 查看登录用户
• Msg user “hello” 与其他系统账号聊天
• whoami 查看自己的系统身份

---

6.批处理

批处理文件是dos命令的组合文件，写在批处理文件的命令会被逐一执行。后缀名名.bat

新建批处理文件：

新建一个文本文档保存时把后缀名改为bat

也可以使用命令

copy con 123.bat
net user cracer 123123 /add
net localgroup administrator cracer /add
Ctrl+z 
回车
1
2
3
4
5

---

7.powershell

Powershell 是运行在windows机器上实现系统和应用程序管理自动化的命令行脚本环境

快捷进入powershell的方法：文件夹内按住Shift + 鼠标右击

黑客在向机器通过powershell加载脚本时，Powershell会进行拦截操作
此时的绕过方法：
powershell -exec bypass 文件路径

POWERSHELL常用命令：

• Get-command 获取命令
• Get-help get-service 获取命令使用说明
• Get-Host或$PSVersionTable 获取PowerShell版本信息
• Get-Module 获取当前PowerShell环境包含的Module
• Get-server 获取计算机服务

祝愿每一个hacker，从这里启航！🚀