《神出鬼沒！教你怎樣駭》筆記

Ch1 認識作業系統及安全性原則

一.Windows作業系統

1.啟動電腦。當電腦啟動時，Windows作業系統會自動掃描電腦的硬體設定，並將掃描結果寫入registry，掃描結果包括CPU數量、記憶體容量等配置資訊。同時，系統會更新每台設備的相關資訊，包括設備所使用的資源，然後Windows再利用registry來配置電腦

2. 登入Windows系統。在登入對話方塊中，用戶輸入自己的姓名和密碼，成功透過驗證後，作業系統會從registry中載入使用者的配置資訊。作業系統中每個使用者的配置是相對獨立的，並且只在登錄Windows系統時才載入相應的用戶設置。

3.打開系統中的檔案。使用者開啟檔案時，系統會根據該檔的副檔名，在registry中搜索相應的應用程式，並調用該程式來開啟檔案

4.安裝應用程式。安裝軟體時，安裝程式會將軟體的設置資訊添加到registry中。

5.registry中存放著各種參數，受其控制和影響的包括：Windows的啟動、硬體驅動程式的載入及應用程式的運行

6.registry中的鍵值項資料分為二進位值（BINARY）、DWORD值、字串值（SZ）。其中字串值用來表示檔的描述、硬體的標示等

7.registry結構解析：

HKEY_CLASSES_ROOT：保存作業系統所有的關聯資料，類型標示以及滑鼠的常規和擴展功能資料等。此外也與目前註冊的用戶有關

HKEY_CURRENT_USER：與HKEY_USERS內容相同

HKEY_LOCAL_MACHINE：包含作業系統絕大多數應用軟體配置的資訊，這些設置與目前登錄的具體用戶無關具體用戶無關

HKEY_USERS：保存預設的使用者（.DEFAULT）。主要是目前登錄使用者與軟體的資訊。保存預設的使用者。.DEFAULT子鍵的配置是針對新建的使用者。系統建立新使用者時，首先讀取.DEAFULT子鍵下的內容，然後建立使用者的專用配置資訊

HKEY_CURRENT_CONFIG：保存系統目前硬體的設定資訊

8.NTFS檔案系統與FAT32系統的比較

（1）.NTFS可支援2TB的分區大小；而FAT32最大只支援32GB

（2）.NTFS是一個可恢復的檔案系統。透過使用標準的事件處理日誌和恢復技術來保證分區的一致性。發生系統失敗事件時，NTFS會使用日誌檔和檢查點資訊自動恢復檔案系統的一致性

（3）.NTFS支援對分區、資料夾和檔案的壓縮。任何基於Windows的應用程式對NTFS分區上的壓縮檔進行讀寫時，不需事先由其他程式進行解壓縮，當對檔案進行讀取時，檔案將自動進行解壓縮；檔案關閉或保存時會自動對檔案進行壓縮

（4）.NTFS採用了更小的簇，可以更有效率地管理磁碟空間，避免了磁碟空間的浪費

﹡簇：檔案在磁片上是以簇的方式存放，簇裡若存放了一個檔案，就不能在存放另外的檔案

（5）.在NTFS分區上，可以為共用資源、資料夾與檔案設置訪問的許可權

（6）.NTFS使用一個「變更」的日誌來跟蹤記錄檔所發生的變更

（7）.NTFS具備錯誤預警、自我修復功能

9.Windows許可權

存取控制實體（Access Control Entity, ACE）：包含一個存取權限集合和安全標誌(SID)，表明相關的許可權對特定的用戶是否允許、拒絕還是需要審計

存取控制清單（Access Control List, ACL）：對特定物件的安全保護清單。物件可能是檔案、進程、事件以及其他任何帶有安全性描述的實體，ACE是ACL中的一個實體。通常有兩種存取控制清單:1.判別存取控制清單 2.系統存取控制清單

判別存取控制清單（Discretionary Access Control List, DACL）：被物件所有者控制的存取控制清單，它指定特定的使用者對該物件的存取權限

系統存取控制清單（System Access Control List, SACL）：控制生成對安全物件訪問的審計消息的存取控制清單

10.Linux檔案系統

Windows中有不同的分區，同時目錄都存於分區上。Linux則透過「載入」的方式把所有分區都設置在「根」下制定的目錄裡

﹡Windows下，目錄結構屬於分區；Linux下，分區是「載入」於目錄結構

/sbin：包含了所有使系統運行的關鍵二進位可執行檔。包含了系統管理和維護硬體設定等程式

/usr/sbin：另一個包含系統可執行檔的目錄。包含了系統管理員使用的一些其他程式

/bin：相對於/sbin，bin目錄包含一些系統管理員和普通使用者都可以使用的命令

/usr/bin：包含一些其他用戶的命令，但這些命令本質上並不是為用戶準備的

/boot：包含system.map與Linux kernel

/dev：包含裝置檔

/lib：包含系統程式所需要的所有共用庫檔，類似於Windows的共用庫DLL檔

/lost+found：存放系統因崩潰或意外關機所修復的不正確檔案

/mnt：為一載入目錄，在這裡可以載入檔案系統或設備

/opt：包含所有預設系統安裝之外的軟體和添加的安裝包

/tmp：包含大多數要用到的暫存檔。許多程式會在這裡建立lock檔和儲存臨時資料

/usr：包含所有使用者的二進位檔案、使用者程式等

/usr/doc：包含系統文檔

﹡/usr/src/linux包含Linux kernel的源碼

/var：儲存常態變動性的檔案，包括快取、登錄檔、系統日誌等

11.分頁顯示命令 more

Ch2 系統安全性原則實戰技巧

一.”最少服務”換取安全

1.禁用列印後台服務程式

2.禁用NetBIOS

3.禁用Windows預設共用

二.禁用其他不必要的服務

1.Computer Browser：維護網路上電腦的更新清單，並將清單提供給電腦指定瀏覽

2.Help and Support：電腦上的說明和支援中心

3.Messenger：傳輸用戶端和伺服器之間的NET SEND和Alerter服務消息

4.Remote Registry：使遠端使用者能修改此電腦上的註冊表設定

5.Telnet：允許遠端使用者登錄到此電腦並執行程式，並支援多種TCP/IP Talnet的客戶

6.Terminal Services：允許多位用戶連接並控制一台機器，並且在遠端電腦上顯示桌面和應用程式