这又是一篇学习笔记

一、Windows系统安全

1、常用命令

查看系统版本 ver

 

 查看主机名hostname

 

查看用户net user

 

 

 查看开放端口netstat -ano

 

 打开注册表regedit

 

 打开事件查看器eventvwr.msc

 

打开系统服务services.msc

 

 

 打开组策略编辑器gpedit.msc

 

 

 打开本地安全策略secpol.msc

 

 打开本地用户和组lusrmgr.msc

 

 

 

 账号相关命令net user：

1）查看账户详细信息：net user 账号名（隐藏账号后面加$）

2）创建（空密码）[删除]账号：net user 名 /add[del]

3）创建普通账户，密码为123：net user 名 123 /add

4）把账户加入[退出]管理员组：net localgroup administrators 名 /add[del]

5）启用[停用]账户：net user 名 /active:yes[no]

6）新建[删除]组：net localgroup 组名 /add[del]

 开启和关闭服务net start/stop servername

通过进程ID找到端口对应的服务（任务管理器）

 

 二、查找系统后门的一些软件

1、启动条目查找系统后门：autoruns

2、按行为查找后门：filemon、regmon

3、按隐藏技术查找后门：icesword

三、发现系统异常

1、系统启动：系统日志记录、系统运行时间、网络连接时间

2、系统资源：进程占用大量CPU时间、进程消耗大量物理内存、磁盘空间减少

3、网络流量异常：发送或接收大量SYN数据包、发送或接收大量ICMP数据包、其他流量（如BT协议流量，FTP协议流量）

 四、Linux安全

/bin目录放置单人维护模式下还能够被操作的指令；

/boot目录开机会使用到的文件；

/dev存放装置与接口设备的文件；

/etc系统主要的配置文件放置在此目录，例如账号密码文件、各种服务的启始档等；

/lib放置在开机时会用到的函式库；

/opt给第三方协力软件放置的目录；

/sbin放置开机过程中所需要的，包括开机、修复、还原系统所需指令；

/tmp让一般使用者或是正在执行的程序暂时放置文件的地方

shadow文件中 MD5、HASH算法：

 

三部分组成：$id（加密算法）$salt（随机数）$encrypted（加密密文）

 id值$1指的加密算法：1时指的采用MD5加密；5时指的采用SHA256加密；6时指的采用SHA512加密；

salt值：是某个固定长度的随机字符串，每次修改passwd之后随机生成该字符串；

密文是通过加密算法计算出来的。

查看端口开放情况：netstat -pan命令查看当前开放的端口、lsof -i显示进程和端口对应关系。（通过PID）

chkconfig --list查看服务启动信息（各服务的启动脚本存放在/etc/init.d和/etc/xinetd.d目录下）