什么是Service
服务应用程序
一般对应的后缀是exe
驱动程序
一般后缀是dll
查看Windows服务方法及相关服务添加/删除
进入服务的方法
msconfig
Services.msc
计算机管理
Svchost存储位置及相关分析
一般存在于 %systemroot%\system32 %systemroot%\system32\dllcache %systemroot%\ServicePack 其余的地方可能是木马程序
C:\Users\ezi>tasklist /svc //查看svchost是那一个程序的宿主
管理用户账户
- 不同的用户身份拥有不同的权限
- 每一个用户包含一个名称和一个密码
- 用户账户拥有唯一的安全标识符
默认用户只存在Administrator和Guest
像现在就是除了kaikai.wang用户其余的都是被禁用状态,一般管理员可以进行重命名
查看安全SID
每一个用户有一个单独的ID可以通过CMD命令行的whoami \user来查看
C:\Users\ezi>whoami /user
用户信息
----------------
用户名 SID
=========================== =============================================
desktop-06oqmaj\kaikai.wang S-1-5-21-2079326772-3321283505-661519477-1001
这一个SID对应有相应的注册表(Regedit)
配置本地的安全策略
打开命令secpol.msc
可以在下面进行远程配置
内置用户账户
- 与使用者关联的用户账户
Administrator(管理员用户) : 默认的管理员用户
Guest(来宾用户):默认是禁用的
- 与Windows组件关联的用户账户
SYSTEM(本地系统) :为Windows的核心组件访问文件等资源提供权限
LOCAL SERVICE(本地服务):预设的拥有最小权限的本地用户
NetWORK SERVICE(本地服务):具有运行网络服务权限的计算机用户
管理组账户
组是一些用户的集合
组内的用户自动具备为组所设置的权限
需要人为添加成员的内置组
- Administrators
- Guests
- Power Users
- Users(标准用户)
动态包含成员成员的内置组
其成员由Windows程序“自动添加”
Windows会根据用户的状态来决定用户所属的组
组内的成员也随之动态变化,无法修改
- Interactive 动态包含在本到登录的用户
- Authenticated Users 动态包含了通过验证的用户 不包含来宾用户
- Everyone 包含任何用户 设置开放的权限时经常使用
设置用户归属不同的组
net user //查看用户列表
net user guest //查看组的信息
net user test /add //创建一个新的用户
net user test$ /add //创建一个隐藏的用户,但是这个用户可以在界面看见
net localgroup administrators test$ /add //
Windows账户克隆及超级隐藏
上面创建的用户后面加上$,这个用户不能再命令行查看到,但是在页面上面是可以看见的,如果需要在图形化上面隐藏,修改注册表
Windows密码破解
通过Mimidrv进行提取
privilege::debug //提取权限
sekurlas::logonpasswords//抓取密码
NTFS权限
分配了正确的访问权限后,用户才能访问资源
设置权限防止资源被篡改、删除
fat32转ntfs FAT32每一个文件大小限制在4G
convert E:/FS:NTFS
文件权限
NTFS权限细致划分
可以使用加密的方式保护文件
但是在远程桌面的情况下,加密可以解除
对每一个用户可以配置磁盘配额