()命合行下的注册表操作 Windows系统的所有配置信息都存储在注册表中, 通过修改注册表中的相应键值就可以控制程序的 启动方式和服务启动类型,因此系统安全与注册 表息息相关。入侵成功以后,可以通过修改注册 表以实现病毒与木马的自动运行或以服务的方式 随系统开机启动。 命令行下的注册表工具为reg.exe,该工具的用法 为 ·REG Operation[参数列表] 2.基础知识 16
(7) 命令行下的注册表操作 • Windows系统的所有配置信息都存储在注册表中, 通过修改注册表中的相应键值就可以控制程序的 启动方式和服务启动类型,因此系统安全与注册 表息息相关。入侵成功以后,可以通过修改注册 表以实现病毒与木马的自动运行或以服务的方式 随系统开机启动。 • 命令行下的注册表工具为reg.exe,该工具的用法 为: • REG Operation [参数列表] 2.基础知识 16
注册表操作 ·比如 reg export HKEY LOCAL MACHINE\Software\Microsoft microsoft.reg 。 就 是 将 注 册 表 中 HKEY LOCAL MACHINE\Software\Microsoft 项值导出到文件microsoft.reg。 (演示) 2.基础知识 17
注册表操作 • 比如 • reg export HKEY_LOCAL_MACHINE\Software\Microsoft microsoft.reg • 就 是 将 注 册 表 中 HKEY_LOCAL_MACHINE\Software\Microsoft的 项值导出到文件microsoft.reg。 (演示) 2.基础知识 17
(8)查看当前系统用户情况命令query query的用法(Windows2003)如下: QUERY PROCESS SESSION TERMSERVER USERY (演示) ·使用query user可以来查看当前系统的会话,比如说 查看是否有人使用远程终端登录服务器;通过quey 可以查到某用户的session然后通过logoff命令将他踢 出去。 ·注:Windows XP78不支持该命令 2.基础知识 18
(8) 查看当前系统用户情况命令query • query的用法(Windows 2003)如下: • QUERY { PROCESS | SESSION | TERMSERVER | USER } (演示) • 使用query user可以来查看当前系统的会话,比如说 查看是否有人使用远程终端登录服务器;通过query 可以查到某用户的session然后通过logoff命令将他踢 出去。 • 注:Windows XP|7|8 不支持该命令 2.基础知识 18
(9)终止会话命令l0g0ff logoff [sessionname sessionid][server:servername [V] 。 其中的sessionname或sessionid选项可以通过query 命令查到,在入侵的时候通常遇到需要把肉鸡的 管理员或者其他入侵者踢出去,这时就可以使用 logoffi命令。 (演示) 2.基础知识 19
(9) 终止会话命令logoff • logoff [sessionname | sessionid] [server:servername] [/V] • 其中的sessionname或sessionid选项可以通过query 命令查到,在入侵的时候通常遇到需要把肉鸡的 管理员或者其他入侵者踢出去,这时就可以使用 logoff命令。 (演示) 2.基础知识 19
(10)物理阀络查看命令ping 命令ping验证与远程计算机的连接 有时候根据返回的TTL值可以判断出受侵者的操作系 统类型,Windows主机的TTL值一般在128左右,*nix 的一般在250左右。 。 不过一般的主机都屏蔽了,ping无法返回TTL值;其 次这个TTL值可以人为修改,根据这个判断操作系统 类型并不可靠。 (演示) 2.基础知识 20
(10) 物理网络查看命令ping • 命令ping验证与远程计算机的连接 • 有时候根据返回的TTL值可以判断出受侵者的操作系 统类型,Windows主机的TTL值一般在128左右, *nix 的一般在250左右。 • 不过一般的主机都屏蔽了,ping无法返回TTL值;其 次这个TTL值可以人为修改,根据这个判断操作系统 类型并不可靠。 (演示) 2.基础知识 20