首页 > 系统相关 >Windows基础(一):常识、术语、文件夹

Windows基础(一):常识、术语、文件夹

时间:2024-10-23 14:21:13浏览次数:5  
标签:文件 术语 Windows SYS 文件夹 windir% DOS 目录

 

 

本文简要介绍了Windows的基本常识、基本概念以及重要的文件及目录。

基本常识

  • 在windows操作系统家族中,system.ini和win.ini这两个文件包含了操作系统所有的控制功能和应用程序的信息,system.ini管理计算机硬件而win.ini管理桌面和应用程序。后来,注册表取代了这两个文件的功能,而这两个文件则保留下来并依然有用。

  • Windows采用模块化设计,可由许多组件来拼装组合成需要的功能。常见的组件有COM组件,DCOM组件等。通过COM接口,可以调用COM组件完成某些操作。

    COM接口有两种表示方式:ProgID和CLSID。它们都唯一地表示一个组件服务程序,二者是等值的,前者用一个名称(例如
    VBScript)来表示,后者用一个16字节的号码(例如{B54F3741-5B07-11cf-A4B0-00AA004A55E8})来表示。它们都相当于一个环境
    变量路径,指明了一个程序及位置。

  • Windows最底层的东西是API,所有操作都是系统API完成的(也可以自己写API来完成相关操作)。Windows是由无数API函数堆积成的魔厦。32位Windows系统的核心是Win32 API函数。Win32 API是C语言函数集。Win32 API函数存放在dll文件中,最常用的两个dll文件user32.dll和kernel32.dll中包含了很多重要的Win32 API。

  • Windows只使用了CPU四个特权模式(0-3)中的两个:特权级0(Ring0)和特权级3(Ring3)。Ring0留给操作系统代码,设备驱动程序代码使用,它们工作在内核态,运行于处理器核心态的代码不受任何的限制,在此种状态下CPU可以执行任何指令。

    Ring3给普通的用户程序使用,它们工作在用户态,此种状态下CPU只能执行非特权指令。以上所言仅对Windows这样的保护模式操作系统有效,像DOS这样的实模式操作系统无所谓用户态,其所有代码都可以看作是运行在内核态。

  • 在Win32下提供的进程间通信方式有9种:剪贴板、COM/DCOM、DDE、文件映射、邮槽、管道、RPC、Sockets、消息。

  • Windows文件系统,常用有FAT32和NTFS格式,也就是说磁盘可以格式化成FAT32或者NTFS。NTFS格式较为安全(可以对文件夹和文件指定权限),删掉的数据也很容易恢复,存储的文件允许超过4GB;FAT32格式下,存储的数据不能超过4GB,删掉的文件不易恢复,而且相对来说,当系统盘为FAT32格式时,系统运行速度较快。

基本概念

  • 服务:随系统启动,在后台运行,对前台运行的程序提供支持,不与用户进行交互的程序。Windows下的服务由3部分构成:1、一个服务可执行文件;2、一个服务控制程序(SCP ——Service Control Program);3、服务控制管理器(SCM),负责在HKLM\SYSTEM\CurrentControlSet\Services下创建服务键值。用户可通过 SCP 控制服务的启动、停止、暂停等,SCP 会通过 SCM 调用服务程序。

  • 进程:处于动态活动的程序。可以理解为,被系统加载进了内存,正在运行和被执行的程序。进程有3个状态:就绪、运行、等待。其中,父进程是行为的发起者、子进程是行为的目标。例如explorer.exe运行firefox.exe和explorer.exe修改firefox.exe的内存,这两种情况下,explorer.exe是父进程而firefox.exe是子进程。

  • 线程:可以独立运行的基本单元。一个进程内可以有多个线程,最少必须有一个线程。进程与线程的关系简单来看:进程是指在系统中正在运行的一个应用程序,而线程是进程之内独立执行的一个单元。对于操作系统而言,其调度单元是线程。作个通俗的比喻,进程就是工作组,线程就是工作人员,任务虽然由工作组承包,实际的完成者是每一位工作人员。任务可以切分为小块,由各位工作人员来协同完成。

    线程有7个状态:就绪,备用,运行,等待,转换,终止,初始化。

  • 钩子:英文名称hook,中文名称钩子函数,简称钩子。一种底层操作。通过钩子函数,可以捕捉当前进程或其它进程发生的事件。通过“钩挂”,可以截获、过滤、拦截、伪造事件信息,达到监控、注入、窃取、拦截等目的。下钩子,是安全软件和病毒最喜欢的伎俩。

  • 驱动:驱动程序(Device Driver),驱使硬件设备正常运转,并使之能和操作系统进行通信的程序。驱动程序运行于内核态(Ring0),其代码具有不受限的权限,可以执行任何操作。通过驱动程序,Windows与设备进行通信,传达指令,完成操作。除了硬件驱动,还有软件驱动。软件驱动是为了软件能够持续稳定地提供某种服务,而虚拟出一个“硬件设备”,为“该设备”编写程序进行驱动。当我们安装好一个软件驱动,注册一个服务后,启动服务就会加载驱动。

  • 可执行镜像控制:可执行文件的镜像控制。当执行一个可执行文件时,系统会复制该文件的一个副本,加载到内存中去执行;这个复制的副本,称为该文件的镜像。因此,所谓的可执行镜像控制,换句话说,就是允许不允许某个可执行文件加载进内存去执行。(采用镜像机制是为了安全需要,设想一下,如果运行IE时,系统不是使用IE镜像,而是直接把IE移动到内存中执行,一旦出错或者停电等故障,IE程序很可能就废了)

    通过修改注册表里面的HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options键来劫持程序,比如,双击杀毒软件运行的却是记事本,点击关机按钮运行的却是播放器等。

  • SSDT:SSDT的全称是System Services Descriptor Table,系统服务描述符表。这个表就是一个把ring3的Win32 API和ring0的内核API联系起来。通过修改此表的函数地址可以对常用windows函数及API进行hook,从而实现对一些关心的系统动作进行过滤、监控的目的。一些HIPS、防毒软件、系统监控、注册表监控软件往往会采用此接口来实现自己的监控模块。

    SSDT HOOK就是将SSDT表中相应服务号的函数地址改为自己的函数,在自己的函数中进行相应处理后,回调原函数。也就是说,通过SSDT挂钩获取了事件处理的控制权。

  • 系统盘和引导盘:当windows操作系统装在C盘时,C盘既是系统盘又是引导盘。当操作系统装在D盘时,存放MSDOS.SYS,IO.SYS等引导文件的C盘称为系统盘,存放windows操作系统文件的D盘被称为引导盘,与一般人的习惯认识相反,微软就是这么规定的。(记住,boot.ini、IO.SYS等引导系统所用的文件永远是存放在C盘上的,这可能跟磁盘分区时习惯设定C盘为开机盘有关)

重要的文件和目录

    • System Volume Information(默认隐藏)

      系统备份还原文件夹,存放备份文件用的。一度是病毒最喜欢藏身的首选之地。

    • Recycle

      回收站,删除文件移动到这里存放。一度是病毒最喜欢藏身的首选之地。

    • Documents and Settings

      「开始」菜单\程序\启动\ 添加项目会随系统启动。

    • %windir%\system32

      系统文件目录,最重要的目录,系统文件基本上都在这个目录下。极少数程序安装时会创建exe或dll文件到该目录下;有驱动的程序还会创建驱动程序到该目录下的drivers目录里。病毒喜欢进行域名劫持的hosts文件也在该目录下。该目录下的文件,99%都是不应该被随便修改和删除的,也不应该随便允许程序创建文件到该目录下。

    • %windir%\system

      系统文件目录,存放有一些dll及设备驱动文件,绝对不会有exe文件,有则为病毒。

    • %windir%\servicing

      服务目录,win2008用来存放软件包的目录,作用可能类似于xp的%windir%\SoftwareDistribution目录。

    • %windir%\SoftwareDistribution

      系统更新文件目录,补丁程序会下载到这里面存放和执行。系统默认把该文件夹做安装更新程序用,也就是说该目录权限很大,如果一个病毒文件创建到这里,后果很严重。

    • %windir%\Downloaded Program Files

      IE的扩展功能如ActiveX插件会被下载到这里,3721病毒曾经把很多病毒文件创建到这里并执行。

    • %windir%\Tasks

      计划任务处,添加一个计划任务,系统将按时执行。一些病毒喜欢到这里面创建一个job文件,系统就会在设定的时间运行病毒。

    • Temporary Internet Files

      IE缓存目录,完整路径是C:\Documents and Settings\Administrator\Local Settings\Temporary Internet Files,LE上网时产生的临时文件放在该目录下,下载exe等文件时也是在该目录中缓存。

    • %windir%\system.ini

      硬件配置文件,作用等同于注册表,一些病毒喜欢修改这个文件以添加启动信息。HIPS防御时建议写作*\system.ini

    • %windir%\wininit.ini

      软件配置文件,作用等同于注册表,一些病毒喜欢修改这个文件以添加启动信息。HIPS防御时建议写作*\win.ini

    • %windir%\winstart.bat

      系统启动的批处理文件,用来复制和删除文件,会被一些病毒利用。

    • %windir%

      windows目录。一般情况下,这种写法表示整个windows目录下的所有文件(包括所有目录及子目录下的文件),对于EQ之类可以选择是否“包括该目录下的所有文件”的HIPS可以设定仅指windows目录而不包括其下的子目录。病毒除了喜欢把文件创建到系统文件目录system32下面外,还喜欢创建到windows目录下。 追求完整监控时,建议对受保护的系统文件使用%windir%*来进行监控,这样就比使用%windir%\system32* 更全面,相应地,需要排除的东西多一些,麻烦多一点。

    • autorun.inf

      自动运行驱动文件,作用就是允许双击磁盘时自动运行指定的文件。磁盘根目录病毒,U盘病毒用烂的技术,应该加强防范。

    • boot.ini

      系统引导信息文件,它告诉启动程序本计算机有几个操作系统、各系统的位置在哪里等信息。丢失该文件后只能从C盘启动。如果删除boot.ini、ntldr、bootmgr 这三个系统引导文件,计算机重启后无法成功引导,那就进不了系统。

    • ntldr

      系统启动时,DOS状态下用来载入windows的程序,修改破坏或者删除该文件后,你就没法进windows了。系统启动时有五个文件是至关重要的:BOOT.INI、BOOTFONT.BIN、BOOTSECT.DOS、NTDETECT.COM、NTLDR。其中BOOTSECT.DOS仅存在于win9系统,用来存放启动扇区里面的全部数据。

    • bootfont.bin

      汉化引导菜单用,删除后引导菜单会变成英文。

    • CONFIG.SYS

      DOS(磁盘操作系统,Disk Operating System)中的一个文本文件命令,它告诉操作系统计算机如何初始化。多数情况下,CONFIG.SYS命令制定内存设备驱动和程序,以控制硬件设备;开启或进制系统特征;以及限制系统资源。CONFIG.SYS在 autoexec.bat(自动批处理程序)文件执行前载入。它的配置直接影响到系统的使用及其效率。由于CONFIG.SYS是一个文本文件,因此它可以使用文本编辑程序编辑。

    • ntdetect.com

      用于对硬件设备初始化的一个系统级别的文件,然后把这些硬件信息传递给下一个启动步骤,最终完成操作系统的启动。这个文件仅存于NT架构的操作系统里面。

    • IO.SYS

      DOS环境控制输入输出的文件,系统启动时会用到。删除它可能导致\ntldr工作出错,系统不能启动。

    • MSDOS.SYS

      文件管理模块,DOS内核,是整个DOS系统的核心,它提供系统与用户的高级接口,其任务是:管理所有磁盘文件、磁盘空间 …删除它可能导致\系统不能正常启动。

    • COMMAND.COM

      (COMMAND是“命令”的意思)是DOS与用户的接口,它主要提供了一些DOS的内部命令,并能接受、判别并执行用户输入 的命令。该文件是DOS启动盘必备的文件,在windows下一般不存在。

      MSDOS.SYS和IO.SYS两个文件的存储位置是有限制的,它们必须位于磁盘物理位置的最前面,否则将失去引导能力。 三个基本文件是MSDOS.SYS,IO.SYS和COMMAND.COM(如果是PC- DOS,则为IBMDOS.COM,IBMBIO.COM和 COMMAND.COM)。磁盘是否具有启动DOS的能力,就看是否具有这三个文件,具有这三个文件的磁盘,就称作引导盘。

 

 

参考:

 

 

 

https://bu1.github.io/2021/10/30/Windows%E5%9F%BA%E7%A1%80(%E4%B8%80)%EF%BC%9A%E5%B8%B8%E8%AF%86%E3%80%81%E6%9C%AF%E8%AF%AD%E3%80%81%E6%96%87%E4%BB%B6%E5%A4%B9/

 

https://bu1.github.io/2021/10/30/Windows%E5%9F%BA%E7%A1%80(%E4%BA%8C)%EF%BC%9A%E8%BF%9B%E7%A8%8B%E3%80%81%E7%9B%AE%E5%BD%95%E3%80%81%E9%80%9A%E9%85%8D%E7%AC%A6/

 

https://bu1.github.io/2021/10/30/Windows%E5%9F%BA%E7%A1%80(%E4%B8%89)%EF%BC%9A%E6%B3%A8%E5%86%8C%E8%A1%A8%E4%B8%8E%E8%87%AA%E5%90%AF%E5%8A%A8/

标签:文件,术语,Windows,SYS,文件夹,windir%,DOS,目录
From: https://www.cnblogs.com/rebrobot/p/18496300

相关文章

  • Windows基础(二):进程、目录、通配符
     https://bu1.github.io/2021/10/30/Windows%E5%9F%BA%E7%A1%80(%E4%BA%8C)%EF%BC%9A%E8%BF%9B%E7%A8%8B%E3%80%81%E7%9B%AE%E5%BD%95%E3%80%81%E9%80%9A%E9%85%8D%E7%AC%A6/ 本文简要介绍了Windows的常见进程、目录树以及常用通配符介绍。系统常见进程进程名程序路径......
  • Chromium127编译指南 Windows篇 - 使用 GN 工具生成构建文件(六)
    前言在上一篇文章中,我们已经成功获取了Chromium的源代码并同步了相关的第三方依赖。本文将继续深入,指导您如何使用GN工具生成构建文件,为接下来的编译工作奠定基础。切换Chromium版本至127在开始正式构建之前,我们需要将版本切换至127,这里我们使用git的切出功能创建新分支......
  • 关于wps卸载不干净留下的office6文件夹删除问题
    直接说操作0.问题描述:wps卸载后,office6文件夹无法删除,删除dll文件失败,并且一直显示该文件已在Windows资源管理器中打开,不知道被注入哪个进程中,导致无法删除1.点击office6文件夹,进去有个一堆数字的11.213....文件夹,点进去,会发现两个dll文件大概如下qingnse64.dll等文件2.这......
  • 使用Llama Index与Streamlit实现一个从文本中提取专业术语和定义网页小程序
    LlamaIndex有很多文档完备的用例(语义搜索、摘要等)。然而,这并不意味着我们不能将LlamaIndex应用到非常具体的用例中!在本教程中,我们将介绍使用LlamaIndex从文本中提取术语和定义的设计过程,同时允许用户稍后查询这些术语。使用Streamlit,我们可以提供一种简单的方法来构建用......
  • 新升级Windows11 24H2后,前置的窗口边缘不停闪烁解决办法
    最近升级了Windows1124H2,有个小bug非常烦人,就是app的窗口前置时,边缘不停闪烁,时有时无,时快时慢,狗眼都闪瞎了,非常烦人。先是找了显卡驱动问题,发现并不是。据观察,如果有两个或者多个窗口堆叠时,则窗口围成的外轮廓不停的闪烁。于是尝试去Windows自带的“视觉效果”里找,顺利解决,以下......
  • 如何恢复 Windows 上 PostgreSQL 14 中被误删的 pg_restore.exe
    如何恢复Windows上PostgreSQL14中被误删的pg_restore.exe方法1:重新安装PostgreSQL14下载PostgreSQL14安装包:前往PostgreSQL官方网站。下载与操作系统版本匹配的PostgreSQL14安装包。安装PostgreSQL:运行安装程序,进行标准安装。安装过程中,选择“Cli......
  • Windows下给Visual Studio添加OpenSSL
    一、安装OpenSSL1.下载OpenSSLWin32/Win64OpenSSLInstallerforWindows-ShiningLightProductions可以下载已经编译好的包含lib和include文件的安装包有Win32和Win64可选,这里的位数指的是你使用OpenSSL开发出来的软件的位数版本,而不是你计算机的位数。注意,不要下载......
  • 如何在 Mac 和 Windows 上恢复未保存或删除的 PDF
    文章提供了在Mac和Windows上恢复已删除或未保存PDF文件的方法。用户可以检查垃圾箱/回收站,利用AdobeAcrobat的自动保存功能,或者使用数据恢复软件如奇客数据恢复。在Mac上,TimeMachine备份可以用来恢复文件;在Windows上,文件历史记录提供类似功能。摘要由CSDN通过智能技术生成Ado......
  • windows下python虚拟环境强制重新安装pip并安装paramiko
    环境:OS:Windows11python:3.6.81.切换到虚拟环境目录:cdC:\Users\huangxueliang\PycharmProjects\cmdbtest\venv 2.执行如下命令Scripts\activate 3.强制重新安装python-mpipinstall-U--force-reinstallpip 4.查看版本(venv)C:\Users\huangxueliang\PycharmPro......
  • 玄机蓝队靶场_应急响应_61:windows实战-emlog
    win+rmstsc连接不能联网,不然直接河马查杀一下把www文件夹压缩下载下来用河马在线网站也是直接得到冰蝎木马文件:/WWW/content/plugins/tips/shell.php在www文件夹直接搜索shell文件(盲猜)找到连接密码flag{rebeyond}直接找apache目录看日志phpstudy_pro/Extensions/Apache......