一、操作系统一操作系统的基本概念操作系统Operating System, OS是管理计算机硬件与软件资源的系统软件为用户和应用程序提供接口和服务。核心功能包括进程管理、内存管理、文件系统、设备驱动和用户界面。主要功能模块进程管理负责创建、调度和终止进程实现多任务并行。通过进程控制块PCB记录进程状态调度算法如轮转法Round Robin或优先级调度Priority Scheduling分配CPU资源。内存管理管理物理内存和虚拟内存实现地址映射与内存分配。常用技术包括分页Paging和分段Segmentation虚拟内存通过页面置换算法如LRU优化性能。文件系统组织存储设备上的数据提供文件读写接口。常见文件系统如FAT32、NTFSWindows和EXT4Linux通过目录树结构管理文件。设备驱动作为硬件与OS的桥梁抽象硬件操作。驱动程序通过中断或DMA直接内存访问与设备交互。二常见操作系统类型单用户系统如早期DOS一次仅支持一个用户任务。多用户系统如Unix/Linux支持多用户并发访问。实时系统RTOS用于工业控制严格保证任务时限。分布式系统跨多台机器协调资源如Hadoop集群。三关键性能指标吞吐量单位时间内完成的作业数。响应时间从提交请求到获得响应的时间。可靠性通常用MTBF平均故障间隔时间衡量。四现代操作系统趋势微内核架构将核心功能模块化提高安全性如QNX。容器化轻量级虚拟化技术Docker依赖OS命名空间隔离。AI集成资源调度引入机器学习优化策略。二、Windows系统Microsoft Windows是美国微软公司以图形用户界面为基础研发的操作系统主要运用于计算机、智能手机等设备共有普通版本、服务器版本Windows Server、手机版本Windows Phone等、嵌入式版本Windows CE等等子系列是全球应用最广泛的操作系统之一。其主要特点包括不知不觉都已经用了Windows系统10代图形用户界面采用直观的图形化操作方式支持多窗口任务管理。软件兼容性拥有庞大的应用程序生态支持各类办公、设计、开发软件。硬件适配性支持广泛的硬件设备包括个人电脑、平板及混合设备。安全机制提供实时病毒防护、防火墙及定期安全更新。游戏支持具备成熟的游戏运行环境及相关技术支持。当前主流版本包括Windows 10和Windows 11持续提供功能更新与技术支持。三、Windows基础一桌面与窗口认知开机后看到的整个电脑屏幕就是桌⾯桌⾯就像我们的书桌上⾯可以放常⽤的“东⻄”——软件图标、⽂件、⽂件夹。打开软件、⽂件夹后出现的⻓⽅形界⾯叫做窗⼝窗⼝的常⽤操作⿏标直接点击即可二文件与文件夹⽂件是“具体的内容”⽐如⽂档、图⽚、视频、软件有具体的内容⽂件夹是“装东⻄的柜⼦”本身没有内容⽤来分类存放⽂件避免⽂件杂乱。⽂件夹⼜叫⽬录。三文件扩展名每个⽂件的名字后⾯都会有⼀个“.”“字⺟/数字”这就是⽂件扩展名也叫后缀名它决定了“这个⽂件是什么类型、⽤什么软件打开”。必记常⽤后缀名.txt⽂本⽂档就是咱们平时⽤的记事本⽤来写⽂字、记笔记也能写咱们后⾯要学的命令.bat批处理脚本就是咱们要学的“命令打包⼯具”⾥⾯写好命令双击就能⾃动执⾏.exe可执⾏⽂件就是咱们装的软件、程序⽐如微信、QQ双击就能打开⽤.zip最常⽤的压缩⽂件格式平时⽤来压缩⽂件、打包资料减⼩⽂件体积⽅便传输和保存.rar也是常⽤的压缩⽂件格式和.zip功能类似压缩率更⾼打开需要专⻔的压缩软件⽐如WinRAR.7z压缩率⽐.zip、.rar更⾼的压缩格式占⽤空间更⼩适合压缩⼤型⽂件。四任务管理器当软件卡死、电脑卡顿关闭不了软件时⽤任务管理器应急打开⽅式按快捷键 Ctrl Shift Esc直接打开任务管理器。常⽤作⽤关闭卡死软件找到卡死的软件⽐如“记事本”选中它右击“结束任务”查看电脑状态能看到CPU、内存、磁盘的使⽤率判断电脑是否卡顿。五文件路径路径就是⽂件/⽂件夹在电脑⾥的“地址”就像我们的家庭住址别⼈通过地址能找到你家电脑通过路径能找到对应的 ⽂件/⽂件夹 。先记住2个关键符号所有路径都离不开\ 路径分隔符⽤来分隔不同的⽂件夹⽐如“C:\Users\xiaoming”表示C盘⾥的Users⽂件夹⾥⾯有xiaoming⽂件夹: 盘符后缀每个硬盘的盘符后⾯都要加“:”⽐如C:、D:。六绝对路径定义从最顶层盘符C:、D:开始写完整的地址不管你当前在电脑的哪个位置通过绝对路径都能唯⼀找到这个⽂件/⽂件夹。特点必须以 C:\、D:\ 开头路径完整、固定不会因为你当前的位置变化⽽失效。举例C:\Windows 代表 C盘根⽬录下的Windows⽂件夹系统⽂件夹D:\学习资料\Windows基础.txt 代表 D盘根⽬录下的“学习资料”⽂件夹⾥⾯的“Windows基础.txt”⽂件七相对路径简化写法结合当前位置定义相对于你当前所在的位置简写的路径不⽤写完整的盘符只写“从当前位置到⽬标⽂件/⽂件夹的路径”。特点路径不完整依赖于“当前所在位置”当前位置变了相对路径就可能失效。举例场景1你当前在 C:\Users ⽂件夹打开此电脑→C盘→Users想进⼊“xiaoming”⽂件夹相对路径直接写xiaoming不⽤写C:\Users\xiaoming场景2你当前在 C:\Users\xiaoming ⽂件夹想进⼊桌⾯Desktop相对路径直接写Desktop四、命令提示窗口一命令提示窗口命令提示窗⼝是Windows系统⾃带的纯⽂字操作⼯具不⽤⿏标点击只需要输⼊⽂字命令就能控制电脑管理⽂件、测试⽹络等。图形界⾯是“⽤⿏标点”命令提示窗⼝是“⽤键盘输命令”两者都能操作电脑只是⽅式不同。二打开命令提示窗口的方法Windows系统按下Win R组合键输入cmd后回车即可打开命令提示窗口。在文件资源管理器的地址栏输入cmd后回车可直接在当前目录打开命令提示窗口。管理员权限运行搜索“cmd”右键选择“以管理员身份运行”可获取更高权限。三常用命令提示窗口指令目录操作dir列出当前目录下的文件和文件夹。cd 目录名进入指定目录。cd..返回上一级目录。cd\返回根目录如C:\。文件操作copy 源文件 目标路径复制文件。del 文件名删除文件。move 源文件 目标路径移动文件。网络相关ipconfig查看本机IP配置。ping 域名/IP测试网络连接。tracert 域名/IP追踪网络路径。系统管理shutdown /s /t 0立即关机。systeminfo查看系统信息。tasklist显示正在运行的进程。四自定义命令提示窗口修改外观右键标题栏选择“属性”可调整字体、颜色和窗口大小。快捷方式参数在快捷方式目标后添加/k或/c可控制窗口行为如cmd /k ipconfig。高级功能管道与重定向命令 文件.txt将输出保存到文件。命令1 | 命令2将前一个命令的输出作为后一个命令的输入。环境变量输入set查看所有环境变量或使用%变量名%调用如echo %PATH%。注意事项部分命令需管理员权限如系统级操作。路径含空格时需用引号包裹如cd Program Files。输入help可查看内置命令列表及简要说明。五常见错误错误1输⼊命令时⽤了中⽂符号⽐如把 \ 写成 、把 : 写成 会提示“不是内部或外部命令”错误2输⼊ cd 命令时路径写错⽐如把 Desktop 写成 Desketop会提示“系统找不到指定的路径”错误3切换盘符时忘记加冒号⽐如输⼊ D ⽽不是 D:命令不会执⾏错误4复制粘贴命令时多复制了空格导致命令报错粘贴后可以先看⼀下删除多余空格五、BAT批处理文件了解一BAT批处理文件基础概念BAT批处理文件是Windows系统中以.bat或.cmd为扩展名的脚本文件⾥⾯可以写多条“命令提示窗⼝”的命令双击这个.bat ⽂件电脑会⾃动批量执⾏⾥⾯的所有命令不⽤我们⼿动⼀条⼀条输⼊节省时间。简单说BAT⽂件 把多条命令“打包”双击⼀次⾃动执⾏所有命令。通过批量执行命令可自动化重复任务如文件管理、程序启动等。二第一步显示文件扩展名因为默认情况下电脑会隐藏⽂件的后缀名我们⽆法将 .txt ⽂本⽂档改成 .bat ⽂件所以第⼀步要开启“显示⽂件扩展名”步骤如下⼀步⼀步来1. 双击桌⾯“此电脑”打开资源管理器2. 点击顶部菜单栏的查看选项3. 在“查看”的下拉菜单中找到⽂件扩展名勾选它勾选后所有⽂件都会显示后缀名⽐如“笔记.txt”“练习.bat”。三创建BAT批处理文件1. 右键点击桌⾯空⽩处 → 选择“新建” → 选择“⽂本⽂档”新建⼀个 .txt ⽂件2. 双击打开这个⽂本⽂档在⾥⾯输⼊命令后续会给示例3. 点击⽂本⽂档顶部的⽂件→ 选择另存为⽂件名输⼊“XXX.bat”⽐如“练习1.bat”必须带 .bat 后缀保存类型选择所有⽂件不要选“⽂本⽂档”否则还是 .txt ⽂件保存位置选桌⾯⽅便找到点击“保存”保存后桌⾯会出现⼀个“练习1.bat”的⽂件BAT⽂件就创建完成了。四BAT批处理基础语法所有BAT⽂件都可以从这3句基础语法开始每⼀句的作⽤都要记住echo off 隐藏命令本身只显示命令执⾏的结果让窗⼝更⼲净不会显示乱七⼋糟的命令echo ⽂字内容 在窗⼝中显示指定的⽂字⽐如 echo 正在执⾏命令...窗⼝就会显示这句话pause 让窗⼝执⾏完命令后保持打开状态不会⼀闪⽽过⼩⽩必加否则看不到执⾏效五最简单的BAT示例创建BAT⽂件双击运⾏感受⼀下效果重点看窗⼝显示的内容按步骤保存为“欢迎脚本.bat”双击运⾏查看窗⼝显示的内容。六BAT常见错误错误1忘记显示⽂件扩展名保存时还是 .txt ⽂件双击⽆法执⾏错误2保存时保存类型选了“⽂本⽂档”导致后缀名还是 .txt错误3命令⾥的路径写错⽐如桌⾯路径写错导致命令执⾏失败错误4忘记加 pause 命令窗⼝⼀闪⽽过看不到执⾏效果。注意事项避免使用系统保留字如con、nul作为文件名。管理员权限需求部分命令需右键“以管理员身份运行”。安全性谨慎执行来源不明的BAT文件可能包含恶意命令。通过组合基础命令和逻辑控制BAT文件能高效完成自动化任务适合Windows环境下的批量操作。六、Windows版本差异一个人设备⽼旧个⼈设备系统⾼漏洞⻛险代表版本Windows 72009年发布已停⽌官⽅⽀持应⽤场景制造业 CNC 设备控制、医疗影像终端、⽼旧办公电脑渗透关注点系统漏洞多、默认防御弱易成为内⽹突破的⼊⼝现代个⼈设备系统防御强化代表版本Windows 102015年发布、Windows 112021年发布应⽤场景企业办公终端搭配 BitLocker 加密Intune 管理、开发者⼯作站⽀持WSL2Hyper-V渗透关注点需突破硬件级防护如 TPM 2.0与⾏为检测机制攻击难度显著提升。二服务器系统高价值攻击目标代表版本Windows Server 2008/2012/2016/2019/2022应⽤场景企业内⽹⽂件服务器、数据库服务器、Web 服务器、域控制器渗透关注点掌握服务器核⼼服务如 SMB、RDP、IIS的配置漏洞是获取内⽹控制权的关键七、Windows核心服务认识RDP服务远程桌面服务定义微软专有远程控制协议默认占⽤3389端⼝⽀持图形化界⾯远程操作应⽤场景远程办公配合 VPN 使⽤、服务器远程管理、技术⽀持通过 msra.exe 发起协助、云桌⾯服务安全关联弱密码、未限制登录 IP、开启默认端⼝等配置不当情况易被暴⼒破解或远程攻击是渗透测试中⾼频关注的服务Windows远程RDP连接远程桌面连接的前提1. 两台电脑控制端、被控制端必须处于同⼀⽹络⽐如连同⼀个 WiFi、同⼀个路由器或都接⼊公司内⽹⽹络能正常连通不能断⽹。2. 被控制的电脑要被远程的那台必须开启 “远程桌⾯” 功能默认关闭需⼿动设置开启允许其他电脑远程控制它。⽅法1图形化开启远程桌⾯服务⽅法⼆命令开启远程桌⾯服务需要管理员身份运⾏cmd窗⼝reg add HKLM\SYSTEM\CurrentControlSet\Control\Terminal Server /vfDenyTSConnections /t REG_DWORD /d 0 /f3. 被控制电脑需有可登录的 Windows 账号和密码账号需有远程访问权限没有密码或权限不够⽆法成功连接。4. 控制端电脑操作的那台需知道被控制电脑的IP 地址可通过前⾯学的 ipconfig 命令查询或同⼀⽹络下的电脑名称才能定位并连接。补充两台电脑的防⽕墙需允许 “远程桌⾯” 相关连接默认开启远程桌⾯后防⽕墙会⾃动放⾏不⽤额外操作。八、Windows系统服务安全一Windows 经典系统漏洞MS17-010永恒之蓝1、漏洞背景爆发时间2017年4⽉披露2017年5⽉衍⽣出 Wannacry 勒索病毒全球爆发影响范围波及全球学校、企业、政府机构病毒加密⽤户⽂件后要求⽀付⽐特币赎⾦才能恢复漏洞原理利⽤ Windows SMB v1 协议的漏洞⽆需⽤户交互即可远程执⾏恶意代码永恒之蓝是一种利用Windows系统的SMB协议漏洞来获取系统的最高权限以此来控制被入侵的计算机。永恒之蓝是在 Windows 的SMB服务处理SMB v1请求时发生的漏洞这个漏洞导致攻击者在目标系统上可以执行任意代码。2、SMB协议基础定义客户机/服务器架构的请求/响应协议主要⽤于⽂件共享、打印机共享、⽹络登录等关联端⼝TCP 139 端⼝NetBIOS 会话端⼝、TCP 445 端⼝SMB 直接连接端⼝⽇常应⽤Windows 系统⽹上邻居功能的底层依赖协议3、漏洞利用实验kaliWindows71实验环境攻击机Kali Linux需联⽹配置安装 Metasploit 框架⽬标机Windows 7 旗舰版IP192.168.157.130开启 SMB 服务未安装 MS17-010 补丁2利⽤步骤A、漏洞扫描通过 nmap 脚本检测⽬标是否存在 MS17-010 漏洞若输出中显示VULNERABLE则确认⽬标存在该漏洞B、启动 Metasploit 框架C、搜索并加载漏洞利⽤模块D、配置攻击参数E、执⾏攻击获取 Meterpreter 会话攻击成功后将获得⽬标机的 Meterpreter 交互式会话3Meterpreter 核⼼操作常⽤命令二Windows用户与组Windows是多用户操作系统用户组是一系列用户的集合组内的用户自动具备该组所设置的权限。1、windows用户system本地机器上拥有最高权限的用户为系统核心组件访问文件资源提供权限Administrator默认系统管理员用户Standard User标准用户guest来宾用户2、Windows账户权限等级3、文件、文件夹权限NTFS系统Windows利用用户与组进行文件与软件执行的权限管理。1图形界⾯配置⽅法1. 右键⽬标⽂件/⽂件夹 → 选择「属性」→ 切换到「安全」选项卡2. 点击「编辑」→ 「添加」输⼊⽤户名/组名如 everyone 代表所有⽤户3. 为⽤户/组分配权限勾选对应权限类型点击「确定」保存2常⽤权限类型说明4、核心管理命令CMD命令行#查看用户net user#创建普通用户net user 用户名 密码 /add#修改用户密码net user 用户名 新密码#删除用户账户net user 用户名 /delete#将用户添加到特定组net localgroup 组名 用户名 /add注意删除⽤户、修改管理员组等操作需谨慎⽣产环境中需提前获得授权避免影响业务运⾏5、安全后门隐藏用户与影子用户1隐藏⽤户简单隐藏易排查创建命令 net user gaga$ 123456 /add ⽤户名后加 $ 默认不在计算机管理和 net user 列表中显示排查⽅法 net user gaga$ 直接指定⽤户名查询、计算机管理→本地⽤户和组→⽤户开启隐藏已知⽂件类型的扩展名仍可看到2影⼦⽤户注册表隐藏难排查原理复制管理员账户Administrator的注册表权限信息赋予普通⽤户实现普通⽤户名管理员权限的隐藏控制操作步骤a. 打开注册表编辑器 WinR → 输⼊ regedit → 回⻋b. 定位路径 HKEY_LOCAL_MACHINE\SAM\SAM 右键「SAM」→「权限」→ 勾选当前⽤户的「完全控制」→「确定」c. 展开路径 SAM\Domains\Account\Users\Names 找到「Administrator」记录其对应的数值名称通常为 0x1f4 d. 点击数值名称如 0x1f4 复制右侧「F」键值的数据e. 创建普通隐藏⽤户 net user gaga$ 123456 /addf. 在「Names」路径下找到「gaga$」记录其对应的数值名称如 0x1f5 g. 点击「gaga$」对应的数值名称将右侧「F」键值替换为步骤4复制的管理员「F」键值h. 导出该注册表项⽂件→导出然后删除 gaga$ ⽤户 net user gaga$ /deletei. 后续可通过导⼊注册表⽂件恢复影⼦⽤户且⽆明显账户记录排查建议同时检查「计算机管理→本地⽤户和组」和注册表 SAM\Domains\Account\Users\Names 路径对⽐异常数值名称与⽤户的对应关系三漏洞防御策略针对 MS17-0101. 禁⽤ SMBv1 协议漏洞载体⽅法控制⾯板→程序→程序和功能→启⽤或关闭 Windows 功能→取消勾选「SMB 1.0/CIFS⽂件共享⽀持」→「确定」2. 安装安全补丁通过 Windows Update ⾃动更新或⼿动下载 MS17-010 对应补丁KB4012212/KB4012215 等根据系统版本选择3. 防⽕墙端⼝管控阻⽌ TCP 139、445 端⼝的⼊站和出站连接企业内⽹可根据业务需求配置 IP ⽩名单仅允许授权设备访问4. 终端防护强化不打开陌⽣邮件附件、不点击可疑链接启⽤ Windows Defender 或安装第三⽅杀毒软件保持病毒库更新四Goby - 系统漏洞扫描神器核⼼功能快速扫描⽬标系统的已知漏洞⽀持 Windows、Linux 等系统扫描速度快、误报率低下载地址https://gobies.org/#dl前置依赖需安装 Npcap 组件可通过安装 Wireshark 附带安装或直接从 Npcap 官⽹下载使⽤场景渗透测试前期的漏洞探测、企业内⽹安全⾃查九、Windows第三方应用程序漏洞一Windows第三方应用程序漏洞概述Windows第三方应用程序漏洞是指非微软官方开发的软件在Windows操作系统上运行时存在的安全缺陷。这些漏洞可能被攻击者利用导致数据泄露、系统崩溃或恶意代码执行。常见的漏洞类型包括缓冲区溢出、权限提升、远程代码执行等。二常见漏洞类型缓冲区溢出当程序向缓冲区写入超过其容量的数据时可能导致相邻内存区域被覆盖从而执行任意代码。例如char buffer[10]; strcpy(buffer, This string is too long);权限提升应用程序未正确验证用户权限时低权限用户可能获得管理员权限。例如# 利用漏洞提权的伪代码 if (IsUserAdmin() false) { ExploitVulnerability(); GrantAdminRights(); }远程代码执行攻击者通过网络发送特制数据包诱使应用程序执行恶意代码。例如# 模拟RCE漏洞利用 malicious_payload calc.exe vulnerable_app.process_input(malicious_payload)三漏洞检测方法静态分析使用工具如IDA Pro、Ghidra反编译二进制文件查找危险函数调用如strcpy、system。动态分析通过调试器OllyDbg、x64dbg监控程序运行时的内存和寄存器状态观察异常行为。模糊测试向应用程序输入随机或变异数据检测崩溃情况。例如使用AFLAmerican Fuzzy Lopafl-fuzz -i testcases/ -o findings/ ./target_app 四漏洞防护措施及时更新定期检查第三方应用更新安装供应商发布的安全补丁。可通过Windows Update或软件内置更新功能实现。最小权限原则以标准用户身份运行应用程序避免使用管理员权限。通过组策略限制高危操作gpedit.msc - 计算机配置 - Windows设置 - 安全设置 - 本地策略 - 用户权限分配应用沙箱使用Sandboxie等工具隔离应用程序限制其对系统资源的访问[DefaultBox] Enabledy ConfigLevel7五应急响应流程漏洞确认通过CVE编号或供应商公告确认漏洞细节例如CVE-2021-44228Log4j漏洞。临时缓解禁用受影响功能或添加防火墙规则阻断攻击路径New-NetFirewallRule -DisplayName Block Vulnerable Port -Direction Inbound -Protocol TCP -LocalPort 1234 -Action Block彻底修复卸载易受攻击版本安装已修复的版本。验证修复效果Get-WmiObject -Class Win32_Product | Where-Object {$_.Name -eq Vulnerable App}六漏洞攻击Windows系统第三方漏洞攻击1、向位日葵版本漏洞分析向位日葵Sunflower是一款知名的远程控制软件主要用于合法远程管理。然而其某些旧版本存在安全漏洞可能被攻击者利用。以下是已知漏洞及应对措施2、已知漏洞列表CVE-2014-XXXX该漏洞存在于早期版本如1.0.0至1.2.3攻击者可通过特制数据包触发缓冲区溢出导致远程代码执行。认证绕过漏洞部分版本如2.0.0以下的认证机制存在缺陷攻击者可能绕过密码验证直接访问受控主机。DLL劫持漏洞安装目录的DLL加载未严格校验攻击者可替换恶意DLL文件实现权限提升。3、漏洞修复建议升级至最新版本官方已修复已知漏洞建议升级至当前稳定版如3.0.0及以上。配置网络防火墙限制软件仅允许可信IP访问关闭非必要端口默认端口通常为3000或3008。启用强认证使用复杂密码并启用双因素认证如支持避免默认凭证。定期安全审计检查系统日志及进程列表排查异常连接或未授权操作。4、临时缓解措施若无法立即升级在受控主机上禁用向位日葵服务改用其他远程管理工具如TeamViewer或AnyDesk。通过杀毒软件添加规则拦截已知漏洞利用特征码。5、向日葵版本漏洞攻击实验1准备第一步向日葵的软件向日葵个人版for Windows 11.0.0.33向日葵简约版 V1.0.1.433152021.122攻击视角端口扫描向日葵运行状态下会自动随机开启一个大于40000的端口使用nmap扫描目标服务器端口向日葵的端口范围一般在40000-65535之间nmap -p 40000-65535 10.0.0.1023攻击视角漏洞利用工具启动方式cmd命令行java -jar Sunlogin漏洞利用工具.jar4攻击视角木马投放1、做木马病毒2、植入木马3、启动木马4、控制靶机5系统故障排查1、Windows进程排查任务管理器DOS命令排查tasklist2、网络连接排查netstat -ano 查看网络连接状态、端口占用、进程关联【主要看有无外联ip以及对应的端口查询可疑的网络连接】可通过情报分析平台进行分析如微步https://x.threatbook.com/3、启动项、计划任务、服务故障排查启动项启动项是指Windows系统在开机或用户登录时自动运行的程序或服务。计划任务计划任务是Windows系统用于定时执行特定任务的功能如数据备份、软件更新、自动化脚本等。查看服务net start4、Windows系统日志每种事件ID对应一种类型的事件https://www.cnblogs.com/zhaolongisme/p/17546870.html应用程序日志安全性日志系统日志Windows powershell日志5、Windows系统 Defender病毒与威胁防护核心功能实时保护扫描恶意软件基于云AI和签名库检测威胁。离线扫描应对顽固病毒可在系统启动前清除感染。行为监控检测异常进程。防火墙与网络保护双向防火墙管理入站/出站流量规则阻止未授权访问。网络隔离标记不安全网络自动启用严格防护。6、第三方工具排查PCHunter7、Windows基础安全防御总结系统服务漏洞防御手段 升级打补丁第三方软件防御手段 升级定期排查启动系统防护提高意识
离开运维行业十年后,再次进入网络安全行业之三 Windows系统
一、操作系统一操作系统的基本概念操作系统Operating System, OS是管理计算机硬件与软件资源的系统软件为用户和应用程序提供接口和服务。核心功能包括进程管理、内存管理、文件系统、设备驱动和用户界面。主要功能模块进程管理负责创建、调度和终止进程实现多任务并行。通过进程控制块PCB记录进程状态调度算法如轮转法Round Robin或优先级调度Priority Scheduling分配CPU资源。内存管理管理物理内存和虚拟内存实现地址映射与内存分配。常用技术包括分页Paging和分段Segmentation虚拟内存通过页面置换算法如LRU优化性能。文件系统组织存储设备上的数据提供文件读写接口。常见文件系统如FAT32、NTFSWindows和EXT4Linux通过目录树结构管理文件。设备驱动作为硬件与OS的桥梁抽象硬件操作。驱动程序通过中断或DMA直接内存访问与设备交互。二常见操作系统类型单用户系统如早期DOS一次仅支持一个用户任务。多用户系统如Unix/Linux支持多用户并发访问。实时系统RTOS用于工业控制严格保证任务时限。分布式系统跨多台机器协调资源如Hadoop集群。三关键性能指标吞吐量单位时间内完成的作业数。响应时间从提交请求到获得响应的时间。可靠性通常用MTBF平均故障间隔时间衡量。四现代操作系统趋势微内核架构将核心功能模块化提高安全性如QNX。容器化轻量级虚拟化技术Docker依赖OS命名空间隔离。AI集成资源调度引入机器学习优化策略。二、Windows系统Microsoft Windows是美国微软公司以图形用户界面为基础研发的操作系统主要运用于计算机、智能手机等设备共有普通版本、服务器版本Windows Server、手机版本Windows Phone等、嵌入式版本Windows CE等等子系列是全球应用最广泛的操作系统之一。其主要特点包括不知不觉都已经用了Windows系统10代图形用户界面采用直观的图形化操作方式支持多窗口任务管理。软件兼容性拥有庞大的应用程序生态支持各类办公、设计、开发软件。硬件适配性支持广泛的硬件设备包括个人电脑、平板及混合设备。安全机制提供实时病毒防护、防火墙及定期安全更新。游戏支持具备成熟的游戏运行环境及相关技术支持。当前主流版本包括Windows 10和Windows 11持续提供功能更新与技术支持。三、Windows基础一桌面与窗口认知开机后看到的整个电脑屏幕就是桌⾯桌⾯就像我们的书桌上⾯可以放常⽤的“东⻄”——软件图标、⽂件、⽂件夹。打开软件、⽂件夹后出现的⻓⽅形界⾯叫做窗⼝窗⼝的常⽤操作⿏标直接点击即可二文件与文件夹⽂件是“具体的内容”⽐如⽂档、图⽚、视频、软件有具体的内容⽂件夹是“装东⻄的柜⼦”本身没有内容⽤来分类存放⽂件避免⽂件杂乱。⽂件夹⼜叫⽬录。三文件扩展名每个⽂件的名字后⾯都会有⼀个“.”“字⺟/数字”这就是⽂件扩展名也叫后缀名它决定了“这个⽂件是什么类型、⽤什么软件打开”。必记常⽤后缀名.txt⽂本⽂档就是咱们平时⽤的记事本⽤来写⽂字、记笔记也能写咱们后⾯要学的命令.bat批处理脚本就是咱们要学的“命令打包⼯具”⾥⾯写好命令双击就能⾃动执⾏.exe可执⾏⽂件就是咱们装的软件、程序⽐如微信、QQ双击就能打开⽤.zip最常⽤的压缩⽂件格式平时⽤来压缩⽂件、打包资料减⼩⽂件体积⽅便传输和保存.rar也是常⽤的压缩⽂件格式和.zip功能类似压缩率更⾼打开需要专⻔的压缩软件⽐如WinRAR.7z压缩率⽐.zip、.rar更⾼的压缩格式占⽤空间更⼩适合压缩⼤型⽂件。四任务管理器当软件卡死、电脑卡顿关闭不了软件时⽤任务管理器应急打开⽅式按快捷键 Ctrl Shift Esc直接打开任务管理器。常⽤作⽤关闭卡死软件找到卡死的软件⽐如“记事本”选中它右击“结束任务”查看电脑状态能看到CPU、内存、磁盘的使⽤率判断电脑是否卡顿。五文件路径路径就是⽂件/⽂件夹在电脑⾥的“地址”就像我们的家庭住址别⼈通过地址能找到你家电脑通过路径能找到对应的 ⽂件/⽂件夹 。先记住2个关键符号所有路径都离不开\ 路径分隔符⽤来分隔不同的⽂件夹⽐如“C:\Users\xiaoming”表示C盘⾥的Users⽂件夹⾥⾯有xiaoming⽂件夹: 盘符后缀每个硬盘的盘符后⾯都要加“:”⽐如C:、D:。六绝对路径定义从最顶层盘符C:、D:开始写完整的地址不管你当前在电脑的哪个位置通过绝对路径都能唯⼀找到这个⽂件/⽂件夹。特点必须以 C:\、D:\ 开头路径完整、固定不会因为你当前的位置变化⽽失效。举例C:\Windows 代表 C盘根⽬录下的Windows⽂件夹系统⽂件夹D:\学习资料\Windows基础.txt 代表 D盘根⽬录下的“学习资料”⽂件夹⾥⾯的“Windows基础.txt”⽂件七相对路径简化写法结合当前位置定义相对于你当前所在的位置简写的路径不⽤写完整的盘符只写“从当前位置到⽬标⽂件/⽂件夹的路径”。特点路径不完整依赖于“当前所在位置”当前位置变了相对路径就可能失效。举例场景1你当前在 C:\Users ⽂件夹打开此电脑→C盘→Users想进⼊“xiaoming”⽂件夹相对路径直接写xiaoming不⽤写C:\Users\xiaoming场景2你当前在 C:\Users\xiaoming ⽂件夹想进⼊桌⾯Desktop相对路径直接写Desktop四、命令提示窗口一命令提示窗口命令提示窗⼝是Windows系统⾃带的纯⽂字操作⼯具不⽤⿏标点击只需要输⼊⽂字命令就能控制电脑管理⽂件、测试⽹络等。图形界⾯是“⽤⿏标点”命令提示窗⼝是“⽤键盘输命令”两者都能操作电脑只是⽅式不同。二打开命令提示窗口的方法Windows系统按下Win R组合键输入cmd后回车即可打开命令提示窗口。在文件资源管理器的地址栏输入cmd后回车可直接在当前目录打开命令提示窗口。管理员权限运行搜索“cmd”右键选择“以管理员身份运行”可获取更高权限。三常用命令提示窗口指令目录操作dir列出当前目录下的文件和文件夹。cd 目录名进入指定目录。cd..返回上一级目录。cd\返回根目录如C:\。文件操作copy 源文件 目标路径复制文件。del 文件名删除文件。move 源文件 目标路径移动文件。网络相关ipconfig查看本机IP配置。ping 域名/IP测试网络连接。tracert 域名/IP追踪网络路径。系统管理shutdown /s /t 0立即关机。systeminfo查看系统信息。tasklist显示正在运行的进程。四自定义命令提示窗口修改外观右键标题栏选择“属性”可调整字体、颜色和窗口大小。快捷方式参数在快捷方式目标后添加/k或/c可控制窗口行为如cmd /k ipconfig。高级功能管道与重定向命令 文件.txt将输出保存到文件。命令1 | 命令2将前一个命令的输出作为后一个命令的输入。环境变量输入set查看所有环境变量或使用%变量名%调用如echo %PATH%。注意事项部分命令需管理员权限如系统级操作。路径含空格时需用引号包裹如cd Program Files。输入help可查看内置命令列表及简要说明。五常见错误错误1输⼊命令时⽤了中⽂符号⽐如把 \ 写成 、把 : 写成 会提示“不是内部或外部命令”错误2输⼊ cd 命令时路径写错⽐如把 Desktop 写成 Desketop会提示“系统找不到指定的路径”错误3切换盘符时忘记加冒号⽐如输⼊ D ⽽不是 D:命令不会执⾏错误4复制粘贴命令时多复制了空格导致命令报错粘贴后可以先看⼀下删除多余空格五、BAT批处理文件了解一BAT批处理文件基础概念BAT批处理文件是Windows系统中以.bat或.cmd为扩展名的脚本文件⾥⾯可以写多条“命令提示窗⼝”的命令双击这个.bat ⽂件电脑会⾃动批量执⾏⾥⾯的所有命令不⽤我们⼿动⼀条⼀条输⼊节省时间。简单说BAT⽂件 把多条命令“打包”双击⼀次⾃动执⾏所有命令。通过批量执行命令可自动化重复任务如文件管理、程序启动等。二第一步显示文件扩展名因为默认情况下电脑会隐藏⽂件的后缀名我们⽆法将 .txt ⽂本⽂档改成 .bat ⽂件所以第⼀步要开启“显示⽂件扩展名”步骤如下⼀步⼀步来1. 双击桌⾯“此电脑”打开资源管理器2. 点击顶部菜单栏的查看选项3. 在“查看”的下拉菜单中找到⽂件扩展名勾选它勾选后所有⽂件都会显示后缀名⽐如“笔记.txt”“练习.bat”。三创建BAT批处理文件1. 右键点击桌⾯空⽩处 → 选择“新建” → 选择“⽂本⽂档”新建⼀个 .txt ⽂件2. 双击打开这个⽂本⽂档在⾥⾯输⼊命令后续会给示例3. 点击⽂本⽂档顶部的⽂件→ 选择另存为⽂件名输⼊“XXX.bat”⽐如“练习1.bat”必须带 .bat 后缀保存类型选择所有⽂件不要选“⽂本⽂档”否则还是 .txt ⽂件保存位置选桌⾯⽅便找到点击“保存”保存后桌⾯会出现⼀个“练习1.bat”的⽂件BAT⽂件就创建完成了。四BAT批处理基础语法所有BAT⽂件都可以从这3句基础语法开始每⼀句的作⽤都要记住echo off 隐藏命令本身只显示命令执⾏的结果让窗⼝更⼲净不会显示乱七⼋糟的命令echo ⽂字内容 在窗⼝中显示指定的⽂字⽐如 echo 正在执⾏命令...窗⼝就会显示这句话pause 让窗⼝执⾏完命令后保持打开状态不会⼀闪⽽过⼩⽩必加否则看不到执⾏效五最简单的BAT示例创建BAT⽂件双击运⾏感受⼀下效果重点看窗⼝显示的内容按步骤保存为“欢迎脚本.bat”双击运⾏查看窗⼝显示的内容。六BAT常见错误错误1忘记显示⽂件扩展名保存时还是 .txt ⽂件双击⽆法执⾏错误2保存时保存类型选了“⽂本⽂档”导致后缀名还是 .txt错误3命令⾥的路径写错⽐如桌⾯路径写错导致命令执⾏失败错误4忘记加 pause 命令窗⼝⼀闪⽽过看不到执⾏效果。注意事项避免使用系统保留字如con、nul作为文件名。管理员权限需求部分命令需右键“以管理员身份运行”。安全性谨慎执行来源不明的BAT文件可能包含恶意命令。通过组合基础命令和逻辑控制BAT文件能高效完成自动化任务适合Windows环境下的批量操作。六、Windows版本差异一个人设备⽼旧个⼈设备系统⾼漏洞⻛险代表版本Windows 72009年发布已停⽌官⽅⽀持应⽤场景制造业 CNC 设备控制、医疗影像终端、⽼旧办公电脑渗透关注点系统漏洞多、默认防御弱易成为内⽹突破的⼊⼝现代个⼈设备系统防御强化代表版本Windows 102015年发布、Windows 112021年发布应⽤场景企业办公终端搭配 BitLocker 加密Intune 管理、开发者⼯作站⽀持WSL2Hyper-V渗透关注点需突破硬件级防护如 TPM 2.0与⾏为检测机制攻击难度显著提升。二服务器系统高价值攻击目标代表版本Windows Server 2008/2012/2016/2019/2022应⽤场景企业内⽹⽂件服务器、数据库服务器、Web 服务器、域控制器渗透关注点掌握服务器核⼼服务如 SMB、RDP、IIS的配置漏洞是获取内⽹控制权的关键七、Windows核心服务认识RDP服务远程桌面服务定义微软专有远程控制协议默认占⽤3389端⼝⽀持图形化界⾯远程操作应⽤场景远程办公配合 VPN 使⽤、服务器远程管理、技术⽀持通过 msra.exe 发起协助、云桌⾯服务安全关联弱密码、未限制登录 IP、开启默认端⼝等配置不当情况易被暴⼒破解或远程攻击是渗透测试中⾼频关注的服务Windows远程RDP连接远程桌面连接的前提1. 两台电脑控制端、被控制端必须处于同⼀⽹络⽐如连同⼀个 WiFi、同⼀个路由器或都接⼊公司内⽹⽹络能正常连通不能断⽹。2. 被控制的电脑要被远程的那台必须开启 “远程桌⾯” 功能默认关闭需⼿动设置开启允许其他电脑远程控制它。⽅法1图形化开启远程桌⾯服务⽅法⼆命令开启远程桌⾯服务需要管理员身份运⾏cmd窗⼝reg add HKLM\SYSTEM\CurrentControlSet\Control\Terminal Server /vfDenyTSConnections /t REG_DWORD /d 0 /f3. 被控制电脑需有可登录的 Windows 账号和密码账号需有远程访问权限没有密码或权限不够⽆法成功连接。4. 控制端电脑操作的那台需知道被控制电脑的IP 地址可通过前⾯学的 ipconfig 命令查询或同⼀⽹络下的电脑名称才能定位并连接。补充两台电脑的防⽕墙需允许 “远程桌⾯” 相关连接默认开启远程桌⾯后防⽕墙会⾃动放⾏不⽤额外操作。八、Windows系统服务安全一Windows 经典系统漏洞MS17-010永恒之蓝1、漏洞背景爆发时间2017年4⽉披露2017年5⽉衍⽣出 Wannacry 勒索病毒全球爆发影响范围波及全球学校、企业、政府机构病毒加密⽤户⽂件后要求⽀付⽐特币赎⾦才能恢复漏洞原理利⽤ Windows SMB v1 协议的漏洞⽆需⽤户交互即可远程执⾏恶意代码永恒之蓝是一种利用Windows系统的SMB协议漏洞来获取系统的最高权限以此来控制被入侵的计算机。永恒之蓝是在 Windows 的SMB服务处理SMB v1请求时发生的漏洞这个漏洞导致攻击者在目标系统上可以执行任意代码。2、SMB协议基础定义客户机/服务器架构的请求/响应协议主要⽤于⽂件共享、打印机共享、⽹络登录等关联端⼝TCP 139 端⼝NetBIOS 会话端⼝、TCP 445 端⼝SMB 直接连接端⼝⽇常应⽤Windows 系统⽹上邻居功能的底层依赖协议3、漏洞利用实验kaliWindows71实验环境攻击机Kali Linux需联⽹配置安装 Metasploit 框架⽬标机Windows 7 旗舰版IP192.168.157.130开启 SMB 服务未安装 MS17-010 补丁2利⽤步骤A、漏洞扫描通过 nmap 脚本检测⽬标是否存在 MS17-010 漏洞若输出中显示VULNERABLE则确认⽬标存在该漏洞B、启动 Metasploit 框架C、搜索并加载漏洞利⽤模块D、配置攻击参数E、执⾏攻击获取 Meterpreter 会话攻击成功后将获得⽬标机的 Meterpreter 交互式会话3Meterpreter 核⼼操作常⽤命令二Windows用户与组Windows是多用户操作系统用户组是一系列用户的集合组内的用户自动具备该组所设置的权限。1、windows用户system本地机器上拥有最高权限的用户为系统核心组件访问文件资源提供权限Administrator默认系统管理员用户Standard User标准用户guest来宾用户2、Windows账户权限等级3、文件、文件夹权限NTFS系统Windows利用用户与组进行文件与软件执行的权限管理。1图形界⾯配置⽅法1. 右键⽬标⽂件/⽂件夹 → 选择「属性」→ 切换到「安全」选项卡2. 点击「编辑」→ 「添加」输⼊⽤户名/组名如 everyone 代表所有⽤户3. 为⽤户/组分配权限勾选对应权限类型点击「确定」保存2常⽤权限类型说明4、核心管理命令CMD命令行#查看用户net user#创建普通用户net user 用户名 密码 /add#修改用户密码net user 用户名 新密码#删除用户账户net user 用户名 /delete#将用户添加到特定组net localgroup 组名 用户名 /add注意删除⽤户、修改管理员组等操作需谨慎⽣产环境中需提前获得授权避免影响业务运⾏5、安全后门隐藏用户与影子用户1隐藏⽤户简单隐藏易排查创建命令 net user gaga$ 123456 /add ⽤户名后加 $ 默认不在计算机管理和 net user 列表中显示排查⽅法 net user gaga$ 直接指定⽤户名查询、计算机管理→本地⽤户和组→⽤户开启隐藏已知⽂件类型的扩展名仍可看到2影⼦⽤户注册表隐藏难排查原理复制管理员账户Administrator的注册表权限信息赋予普通⽤户实现普通⽤户名管理员权限的隐藏控制操作步骤a. 打开注册表编辑器 WinR → 输⼊ regedit → 回⻋b. 定位路径 HKEY_LOCAL_MACHINE\SAM\SAM 右键「SAM」→「权限」→ 勾选当前⽤户的「完全控制」→「确定」c. 展开路径 SAM\Domains\Account\Users\Names 找到「Administrator」记录其对应的数值名称通常为 0x1f4 d. 点击数值名称如 0x1f4 复制右侧「F」键值的数据e. 创建普通隐藏⽤户 net user gaga$ 123456 /addf. 在「Names」路径下找到「gaga$」记录其对应的数值名称如 0x1f5 g. 点击「gaga$」对应的数值名称将右侧「F」键值替换为步骤4复制的管理员「F」键值h. 导出该注册表项⽂件→导出然后删除 gaga$ ⽤户 net user gaga$ /deletei. 后续可通过导⼊注册表⽂件恢复影⼦⽤户且⽆明显账户记录排查建议同时检查「计算机管理→本地⽤户和组」和注册表 SAM\Domains\Account\Users\Names 路径对⽐异常数值名称与⽤户的对应关系三漏洞防御策略针对 MS17-0101. 禁⽤ SMBv1 协议漏洞载体⽅法控制⾯板→程序→程序和功能→启⽤或关闭 Windows 功能→取消勾选「SMB 1.0/CIFS⽂件共享⽀持」→「确定」2. 安装安全补丁通过 Windows Update ⾃动更新或⼿动下载 MS17-010 对应补丁KB4012212/KB4012215 等根据系统版本选择3. 防⽕墙端⼝管控阻⽌ TCP 139、445 端⼝的⼊站和出站连接企业内⽹可根据业务需求配置 IP ⽩名单仅允许授权设备访问4. 终端防护强化不打开陌⽣邮件附件、不点击可疑链接启⽤ Windows Defender 或安装第三⽅杀毒软件保持病毒库更新四Goby - 系统漏洞扫描神器核⼼功能快速扫描⽬标系统的已知漏洞⽀持 Windows、Linux 等系统扫描速度快、误报率低下载地址https://gobies.org/#dl前置依赖需安装 Npcap 组件可通过安装 Wireshark 附带安装或直接从 Npcap 官⽹下载使⽤场景渗透测试前期的漏洞探测、企业内⽹安全⾃查九、Windows第三方应用程序漏洞一Windows第三方应用程序漏洞概述Windows第三方应用程序漏洞是指非微软官方开发的软件在Windows操作系统上运行时存在的安全缺陷。这些漏洞可能被攻击者利用导致数据泄露、系统崩溃或恶意代码执行。常见的漏洞类型包括缓冲区溢出、权限提升、远程代码执行等。二常见漏洞类型缓冲区溢出当程序向缓冲区写入超过其容量的数据时可能导致相邻内存区域被覆盖从而执行任意代码。例如char buffer[10]; strcpy(buffer, This string is too long);权限提升应用程序未正确验证用户权限时低权限用户可能获得管理员权限。例如# 利用漏洞提权的伪代码 if (IsUserAdmin() false) { ExploitVulnerability(); GrantAdminRights(); }远程代码执行攻击者通过网络发送特制数据包诱使应用程序执行恶意代码。例如# 模拟RCE漏洞利用 malicious_payload calc.exe vulnerable_app.process_input(malicious_payload)三漏洞检测方法静态分析使用工具如IDA Pro、Ghidra反编译二进制文件查找危险函数调用如strcpy、system。动态分析通过调试器OllyDbg、x64dbg监控程序运行时的内存和寄存器状态观察异常行为。模糊测试向应用程序输入随机或变异数据检测崩溃情况。例如使用AFLAmerican Fuzzy Lopafl-fuzz -i testcases/ -o findings/ ./target_app 四漏洞防护措施及时更新定期检查第三方应用更新安装供应商发布的安全补丁。可通过Windows Update或软件内置更新功能实现。最小权限原则以标准用户身份运行应用程序避免使用管理员权限。通过组策略限制高危操作gpedit.msc - 计算机配置 - Windows设置 - 安全设置 - 本地策略 - 用户权限分配应用沙箱使用Sandboxie等工具隔离应用程序限制其对系统资源的访问[DefaultBox] Enabledy ConfigLevel7五应急响应流程漏洞确认通过CVE编号或供应商公告确认漏洞细节例如CVE-2021-44228Log4j漏洞。临时缓解禁用受影响功能或添加防火墙规则阻断攻击路径New-NetFirewallRule -DisplayName Block Vulnerable Port -Direction Inbound -Protocol TCP -LocalPort 1234 -Action Block彻底修复卸载易受攻击版本安装已修复的版本。验证修复效果Get-WmiObject -Class Win32_Product | Where-Object {$_.Name -eq Vulnerable App}六漏洞攻击Windows系统第三方漏洞攻击1、向位日葵版本漏洞分析向位日葵Sunflower是一款知名的远程控制软件主要用于合法远程管理。然而其某些旧版本存在安全漏洞可能被攻击者利用。以下是已知漏洞及应对措施2、已知漏洞列表CVE-2014-XXXX该漏洞存在于早期版本如1.0.0至1.2.3攻击者可通过特制数据包触发缓冲区溢出导致远程代码执行。认证绕过漏洞部分版本如2.0.0以下的认证机制存在缺陷攻击者可能绕过密码验证直接访问受控主机。DLL劫持漏洞安装目录的DLL加载未严格校验攻击者可替换恶意DLL文件实现权限提升。3、漏洞修复建议升级至最新版本官方已修复已知漏洞建议升级至当前稳定版如3.0.0及以上。配置网络防火墙限制软件仅允许可信IP访问关闭非必要端口默认端口通常为3000或3008。启用强认证使用复杂密码并启用双因素认证如支持避免默认凭证。定期安全审计检查系统日志及进程列表排查异常连接或未授权操作。4、临时缓解措施若无法立即升级在受控主机上禁用向位日葵服务改用其他远程管理工具如TeamViewer或AnyDesk。通过杀毒软件添加规则拦截已知漏洞利用特征码。5、向日葵版本漏洞攻击实验1准备第一步向日葵的软件向日葵个人版for Windows 11.0.0.33向日葵简约版 V1.0.1.433152021.122攻击视角端口扫描向日葵运行状态下会自动随机开启一个大于40000的端口使用nmap扫描目标服务器端口向日葵的端口范围一般在40000-65535之间nmap -p 40000-65535 10.0.0.1023攻击视角漏洞利用工具启动方式cmd命令行java -jar Sunlogin漏洞利用工具.jar4攻击视角木马投放1、做木马病毒2、植入木马3、启动木马4、控制靶机5系统故障排查1、Windows进程排查任务管理器DOS命令排查tasklist2、网络连接排查netstat -ano 查看网络连接状态、端口占用、进程关联【主要看有无外联ip以及对应的端口查询可疑的网络连接】可通过情报分析平台进行分析如微步https://x.threatbook.com/3、启动项、计划任务、服务故障排查启动项启动项是指Windows系统在开机或用户登录时自动运行的程序或服务。计划任务计划任务是Windows系统用于定时执行特定任务的功能如数据备份、软件更新、自动化脚本等。查看服务net start4、Windows系统日志每种事件ID对应一种类型的事件https://www.cnblogs.com/zhaolongisme/p/17546870.html应用程序日志安全性日志系统日志Windows powershell日志5、Windows系统 Defender病毒与威胁防护核心功能实时保护扫描恶意软件基于云AI和签名库检测威胁。离线扫描应对顽固病毒可在系统启动前清除感染。行为监控检测异常进程。防火墙与网络保护双向防火墙管理入站/出站流量规则阻止未授权访问。网络隔离标记不安全网络自动启用严格防护。6、第三方工具排查PCHunter7、Windows基础安全防御总结系统服务漏洞防御手段 升级打补丁第三方软件防御手段 升级定期排查启动系统防护提高意识
