端口

端口，是英文port的英譯，可以認為是計算機與外接通訊交流的出口，按照端口號可分為三大類：公認端口/知名端口（well known ports）；注冊端口（registered ports）；動態(tài)和/或私有端口（dynamic and/or private ports）。

端口的作用

一臺擁有IP地址的主機可以提供許多服務(wù)，主機為了區(qū)分不同的網(wǎng)絡(luò)服務(wù)，則用“IP地址 + 端口號”來將其分別進行區(qū)分標記。

需要注意的是，端口本身并不是一一對應(yīng)的，舉例來說，當電腦作為客戶機訪問一臺www服務(wù)器（World Wide Web）時，服務(wù)器使用80端口與你的電腦通信，但你的電腦則可能使用3457這樣的端口，如圖所示。

ports

總結(jié)此處的行為：客戶端為了享受一個特定的服務(wù)，則用自己的一個隨機端口去訪問服務(wù)器的一個特定端口。

端口的分類

• 知名/公認端口（well known ports）
  知名端口即眾所周知的端口號，范圍從0到1023，這些端口號一般固定分配給一些服務(wù)，比如21端口分配給FTP服務(wù)，25端口分配給SMTP（簡單郵件傳輸協(xié)議）服務(wù)，80端口分配給HTTP服務(wù)，135端口分配給RPC（遠程過程調(diào)用）服務(wù)等等。
• 動態(tài)端口（dynamic ports）
  動態(tài)端口的范圍從1024到65535，這些端口號一般不固定分配給某個服務(wù)，也即是說許多服務(wù)都可以使用這些端口，只要運行的程序向系統(tǒng)提出訪問網(wǎng)絡(luò)的申請。
• 按照協(xié)議驚醒劃分，可以分為TCP,UDP,IP和ICMP（Internet控制消息協(xié)議）等端口。下面主要介紹TCP和UDP端口。
  • TCP端口，即傳輸控制協(xié)議端口，需要在客戶端和服務(wù)器之間建立連接，這樣可以提供可靠的數(shù)據(jù)傳輸，常見的有FTP服務(wù)21端口，telnet服務(wù)23端口，SMTP服務(wù)25端口，以及HTTP服務(wù)80端口等。
  • UDP端口（user datagram protocol），即用戶數(shù)據(jù)報協(xié)議端口，無需在客戶端和服務(wù)器中間建立連接，安全性得不到保障，常見的有DNS服務(wù)的53端口，SNMP（簡單網(wǎng)絡(luò)管理協(xié)議）服務(wù)的161端口 ，QQ使用的8000和4000端口等。

常見的端口（建議背誦）

1. HTTP協(xié)議代理服務(wù)器常用端口號：80/8080/3128/8081/9080
2. FTP（文件傳輸）協(xié)議代理服務(wù)器常用端口號：21
3. Telnet（遠程登錄）協(xié)議代理服務(wù)器常用端口號：23
4. TFTP（Trivial File Transfer Protocol），默認端口號為69/udp
5. SSH（安全登錄），SCP（文件傳輸），端口重定向，默認的端口是22/tcp
6. SMTP（Simple Mail Transfer Protocol），即E-mail，默認的端口號為25/tcp（木馬Antigen、Email Password Sender、Haebu Coceda、Shtrilitz Stealth、WinPC、WinSpy都開放這個端口）
7. POP3 Post Office Protocol（E-mail），默認的端口號為110/tcp
8. TOMCAT，默認的款口號為8080
9. Win 2003遠程登錄，默認的端口號為3389
10. Oracle數(shù)據(jù)庫，默認的端口號為1521
11. MS SQL*SERVER數(shù)據(jù)庫server，默認的端口號為1433/tcp 1433/udp
12. QQ，默認的端口號為1080/udp

通過端口，可以信息收集，目標單側(cè)，服務(wù)判斷，系統(tǒng)判斷 ，系統(tǒng)角色分析。
比如有些服務(wù)是一個系統(tǒng)所獨有的，當你監(jiān)測到一些獨有的服務(wù)時，你就可以輕易的判斷機器所使用的系統(tǒng)。
再比如，如果你在一臺服務(wù)器上只看到了網(wǎng)站服務(wù)，那么這就是一臺網(wǎng)站服務(wù)器。

注冊表

注冊表（registry），是microsoft windows中的一個重要的數(shù)據(jù)庫，用于存儲系統(tǒng)和應(yīng)用程序的設(shè)置信息。通過改注冊表可以改桌面，音效等等人們認為默認的東西。
在windows+R，輸入regedit ，然后會打開注冊表編輯器。

registry.png

在這個編輯器中們首先會出現(xiàn)這五個根鍵，在這幾個根鍵下則是無窮多的小文件夾彼此嵌套，完全掌握是一件不切實際。

注冊表作用

注冊表是windows操作系統(tǒng)中的一個核心數(shù)據(jù)庫，其中存放著各種參數(shù)，直接控制著windows的啟動，硬件驅(qū)動程序的裝載以及一些windows應(yīng)用程序的運行，從而在整個系統(tǒng)中起著核心作用。
這些作用包括了軟件，硬件的相關(guān)配置和狀態(tài)信息，比如注冊表中保存有應(yīng)用程序和資源管理器外科的初始條件，首選項和卸載數(shù)據(jù)等。

利用注冊表防病毒

不少計算機感染了病毒后，可能會在這些注冊表中進行修改。

• HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Runonce
  下次開機運行，并且只運行一次的項
• HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
  開機自動啟動的項
• HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\RunServices
  在操作系統(tǒng)啟動時就開始運行的程序，優(yōu)先于run中的程序運行，如果沒有也是正常的

我們所使用注冊表防病毒的原理在于，上面說到的注冊表在整個系統(tǒng)中起著核心的作用，任何軟件硬件的使用都被注冊表調(diào)度，所以只要一個病毒可以修改注冊表，一定程度上他就控制了這臺電腦。

注冊表結(jié)構(gòu)

• HKEY_CLASSES_ROOT
  管理文件系統(tǒng)，根據(jù)在windows中安裝的應(yīng)用程序的擴展名，此根鍵指明其文件類型的名稱，相應(yīng)打開該文件所要調(diào)用的程序等等信息。
• HKEY_CURRENT_USER*
  管理系統(tǒng)當前的用戶信息，在這個根鍵中保存了本地計算機中存放的當前登陸的用戶信息，包括用戶登錄用戶名和暫存的密碼。
• HKEY_LOCAL_MACHINE*
  主要用于提權(quán)。管理當前系統(tǒng)硬件配置，在這個根鍵中保存了本地計算機硬件配置數(shù)據(jù)，此根鍵下的子關(guān)鍵字包括在SYSTEM.DAT中，用來提供HKEY_LOCAL_MACHINE所需的信息，或者在遠程計算機中可訪問的一組鍵中。
  這個根鍵里面的許多子鍵與system.ini文件中的設(shè)置項類似。
• HKEY_USERS
  管理系用的用戶信息，在這個根鍵中保存了存放在本地計算機口令列表中的用戶標識和密碼列表，同時每個用戶的預(yù)配置信息都存儲在HYEY_CURRENT_USERS根鍵中，HKEY_USERS是遠程計算機中訪問的根鍵之一。
• HKEY_CURRENT_CONFIG
  管理當前用戶的系統(tǒng)配置，在這個根鍵中保存著定義當前用戶桌面配置（如顯示器等等）的數(shù)據(jù)，該用戶使用過的文檔列表（MRU）等等。

修改注冊表實例

• “運行“按鈕被取消&強制實效
  HKEY_CURRENT_USER\Software\Micrrosoft\Windows\Current Version\Poliocies\Explorer
  “NoRun“的鍵值被改為1了，重新改成0就可以恢復(fù)
• IE起始頁的修改
  HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main

IE