Coursera - IBM - Cybersecurity Roles, Processes & Operating System Security 觀後摘要(三)

Week 3  - Windows Operating System Security Basics

User and Kernel Modes

Windows 作業系統的電腦，其處理器具有兩種不同的運行模式：用戶模式和內核模式。處理器根據目前運行的代碼類型在兩種模式之間切換。應用程式以用戶模式運行，而核心的操作系統組件則以內核模式運行。大多數的驅動程序在內核模式下運行。

• User Mode
• 當啟動用戶模式的應用程式時，Windows 將為該應用程式創建一個Process。該Process為應用程式提供了專用的虛擬地址空間和 private handle table。
  
  
• 由於應用程式的虛擬地址空間是私有的，應用程式無法更改屬於另一個應用程式的數據。每個應用程式都是獨立運行的，如果一個應用程式崩潰，則崩潰僅限於該應用程式。其他應用程式和操作系統不受崩潰影響。
  
  
• 在用戶模式下運行的處理器無法訪問為操作系統保留的虛擬地址；限制用戶模式應用程式的虛擬地址空間，可防止應用程式更改或破壞作業系統。
  
  
• Kernel Mode
• 在內核模式下運行的所有代碼共享一個虛擬地址空間。這意味著內核模式的驅動程序不會與其他驅動程序以及操作系統本身隔離。
  
  
• 如果內核模式驅動程序意外寫入錯誤的虛擬地址，則可能會破壞屬於操作系統或其他驅動程序的數據。如果內核模式驅動程序崩潰，則整個操作系統崩潰。

兩個模式之間的組件通訊圖

File Systems and Directory Structure

• File Systems
  電腦的檔案系統是一種儲存和組織電腦資料的方法，它使得對其存取和尋找變得容易，檔案系統使用檔案和樹形目錄的抽象邏輯概念代替了硬碟和光碟等物理裝置使用資料塊的概念。

• NTFS (New Technology File System)
  1993年發布的檔案系統，是Windows最通用的檔案系統。
  
  
• FAT (File Allocation Table)
  更早期的檔案系統。常見版本為FAT32，單一檔案大小不得超過4GB。
  
  
• Directory Structure
  典型的Windows目錄結構如下
  
  
• PerfLogs
  電腦性能日誌，預設設定下它會是空的。
  
  
• ProgramData
  存放預期由電腦程式訪問的程式數據，這些程式與目前登入的用戶是誰無關，因為所有用戶都會使用到。例如：程式可能會存取"操作連接到電腦的DVD燒錄機"所需的特定信息。
  
  
• Program Files
  已安裝的64位元程式 (In 64-bit OS)。
  
  
• Program Files (x86)
  已安裝的32位元程式 (In 64-bit OS)。
  
  
• Users
  存放使用者的配置文件。
  
  
• Public
  公用帳號的目錄。
  
  
• Specific User
• Appdata
  該目錄儲存使用者的應用程式數據與設定檔案。
  
  
• Windows
  Windows本身安裝的路徑，以下目錄儲存了Windows 與其API核心功能的DLL檔案：
  
  
• System
  存放16-bit DLLs ，通常在64-bit OS 為空。
  
  
• System32
  存放64-bit DLLs  (In 64-bit OS)。
  
  
• SysWow64
  存放32-bit DLLs  (In 64-bit OS)。
  
  
• WinSxS
  存放了大部分Windows檔案的副本，如所有Windows組件、Windows更新和Service Pack。

Shortcuts and Commands

• Ctrl+Z
  回到上一步
  
  
• Ctrl+W
  關閉目前視窗
  
  
• Ctrl+A
  全選
  
  
• Alt+Tab
  切換應用程式
  
  
• Alt+F4
  關閉應用程式
  
  
• Windows+D
  顯示桌面
  
  
• Windows+←/→
  將視窗置左/右貼齊畫面
  
  
• Windows+↑/↓
  將視窗最大化/最小化
  
  
• Windows+TAB
  顯示所有視窗供選擇
  
  
• Tab/ Shift+TAB
  切換至下一個/上一個
  
  
• F2
  重新命名
  
  
• F5
  重新整理
  
  
• Windows+L
  鎖定螢幕
  
  
• Windows+I
  開啟控制台

• Windows+A
  開啟通知列表
  
  
• Windows+S
  開啟搜尋列
  
  
• Windows+PrintScreen
  擷取螢幕並儲存
  
  
• Alt+PrintScreen
  擷取目前視窗
  
  
• Ctrl+Shift+ESC
  開啟工作管理員
  
  
• Windows+Ctrl+D
  建立虛擬桌面
  
  
• Windows+X
  開啟進階選單

Linux Key Components

LINUX是一款開源的作業系統，遵循GPL條款，主要由兩個組件構成

• Kernel
  操作系統的核心，與硬體直接進行互動，管理系統與使用者的輸入輸出、處理器、文件、記憶體與設備。
  
  
• Shell
  提供介面讓使用者與Kernel互動。

Linux File Systems

• Directories
• / (Root)
  也被稱為Root，每個文件與目錄的起始位置。
  
  
• /bin
  存放二進制的可執行檔，可在此目錄下看到常用的Linux Command，如ls, ps, ping, grep, cp, mv, etc.
  
  
• /sbin
  與/bin類似，但此處存放的檔案大多與系統維護任務相關，如iptables, reboot, fdisk, ifconfig, etc.
  
  
• /etc
  所有已安裝程式的參數配置文件。
  
  
• /var
  用於存放不斷增長的文件，如系統與應用程式的日誌
  
  
• /tmp
  存放臨時文件，在系統重新啟動食此處的文件會被刪除。
  
  
• /home
  所有用戶的主目錄。
  
  
• /boot
  存放開機時需載入的文件。
  
  
• Run Level
• Level 0(Halt)
  關機。不能設定為預設值。
  
  
• Level 1(Single User)
  只有root帳號可以登入，用於系統維護。
  
  
• Level 2(MultiUser without Network support)
  無網路功能的多用戶模式。
  
  
• Level 3(MultiUser with Network support)
  啟動網路功能的多用戶模式，但為文字介面。
  
  
• Level 4(Custom)
  用戶自定義模式。預設值跟Level 3相同。
  
  
• Level 5(Graphical X11)
  與Level 3 相同，但啟動了圖形介面。
  
  
• Level 6(Reboot)
  重新啟動系統。不能設定為預設值。

Linux Basic Commands

• cd
  切換當前目錄
  
  
• cp
  複製檔案或目錄
  
  
• mv
  移動檔案或目錄
  
  
• ls
  列出檔案/目錄的相關資訊，如擁有者與權限。
  
  
• df
  顯示系統硬碟空間
  
  
• kill
  停止程序
  
  
• rm
  刪除檔案或目錄
  
  
• rmdir
  刪除空資料夾
  
  
• cat
  顯示檔案內容或合併檔案
  
  
• mkdir
  建立新目錄
  
  
• ifconfig
  顯示與修改網路介面設定
  
  
• locate
  搜尋檔案所在目錄
  
  
• tail
  顯示檔案結尾的部分資料
  
  
• less
  顯示檔案內容。因其不會一次性載入完整檔案，在檢閱大檔案時很有用
  
  
• more
  顯示文字檔，一次一個頁面
  
  
• nano
  文字編輯器
  
  
• chmod
  修改檔案或目錄權限
  
  
• Permission
  Linux 中，檔案權限分為三種角色，檔案擁有者、群組以及其他使用者，若使用ls檢視目錄與檔案，會出現如下圖的資訊：
  
• 第一碼代表檔案類別
• d：目錄
• -：檔案
• 第二碼到第十碼分為三組，表示三種身份的角色對此檔案的權限
  
• r(4)：讀取
• w(2)：寫入
• x(1)：執行
• 第十一碼為硬連結的個數
• 再來為檔案的擁有者、群組、檔案大小、異動時間與檔案名稱…等
• 指令範例
• chmod 755 filename
• chmod u=rw,g=r,o=r filename
• chown user:group filename
  
  

Pentest Monkey

Chrome一直跳警告，菜逼八不敢進去

MacOS Security Overview

• Auditing
• About my Mac
  此處顯示了硬體規格與裝置序號。
  
  
• Display
  顯示器相關資訊。
  
  
• Storage
  顯示內部儲存空間與各類型檔案數量與大小。
  
  
• Support
  連接至Apple.com。
  
  
• System Report
  顯示電腦連接的裝置、網路介面設定、已安裝軟體與驅動等資訊。
  
  
• Activity Monitor
  顯示每個程序的資源使用情形，如CPU、記憶體、電量、硬碟與網路存取。
  
  
• Console
  存放於Utility目錄下的應用程式，可以在此看到各系統或故障日誌。
  
  
• Settings
  
• System preferences
• Security and Privacy
• General
  設定管理員密碼與允許從App Store外取得並安裝第三方應用程式。
  
  
• FileVault
  MacOS的加密機制。
  
  
• Firewall
  設定允許或封鎖的網路流量規則。
  
  
• Privacy
  管理每個應用程式存取電腦上服務與其他應用程式的權限。
  
  
• Startup Disk
  可以在此處選擇開機使用的硬碟。
  
  
• Recovery
  MacOS自帶了一個隱藏的磁區，名為MacOS Recovery，可取代電腦出廠時隨附的安裝光碟；另外它也附加了一些實用的工具程式：
  
  
• MacOS Utilities
  在重新啟動Mac時按住R呼叫視窗。
  
  
• Restore From Time Machine Backup
  將作業系統從外部或裝有備份資料的儲存媒體還原。
  
  
• Reinstall MacOS
  重新安裝作業系統；可以僅針對作業系統部分進行置換，不影響使用者個人檔案。
  
  
• Get Help Online
  連線至Apple.com尋找問題解決方案。
  
  
• Disk Utility
  可藉此對硬碟進行簡易修復、抹除、格式化或重新分配磁區。
  
  
• Internet Recovery
  當裝有Utility的隱藏磁區被移除時，可在開機過程中按住R鍵啟動連線修復，電腦將連線至Apple.com安裝與當前Mac相容的最新版本。