端口

端口，是英文port的英译，可以认为是计算机与外接通讯交流的出口，按照端口号可分为三大类：公认端口/知名端口（well known ports）；注册端口（registered ports）；动态和/或私有端口（dynamic and/or private ports）。

端口的作用

一台拥有IP地址的主机可以提供许多服务，主机为了区分不同的网络服务，则用“IP地址 + 端口号”来将其分别进行区分标记。

需要注意的是，端口本身并不是一一对应的，举例来说，当电脑作为客户机访问一台www服务器（World Wide Web）时，服务器使用80端口与你的电脑通信，但你的电脑则可能使用3457这样的端口，如图所示。

ports

总结此处的行为：客户端为了享受一个特定的服务，则用自己的一个随机端口去访问服务器的一个特定端口。

端口的分类

• 知名/公认端口（well known ports）
  知名端口即众所周知的端口号，范围从0到1023，这些端口号一般固定分配给一些服务，比如21端口分配给FTP服务，25端口分配给SMTP（简单邮件传输协议）服务，80端口分配给HTTP服务，135端口分配给RPC（远程过程调用）服务等等。
• 动态端口（dynamic ports）
  动态端口的范围从1024到65535，这些端口号一般不固定分配给某个服务，也即是说许多服务都可以使用这些端口，只要运行的程序向系统提出访问网络的申请。
• 按照协议惊醒划分，可以分为TCP,UDP,IP和ICMP（Internet控制消息协议）等端口。下面主要介绍TCP和UDP端口。
  • TCP端口，即传输控制协议端口，需要在客户端和服务器之间建立连接，这样可以提供可靠的数据传输，常见的有FTP服务21端口，telnet服务23端口，SMTP服务25端口，以及HTTP服务80端口等。
  • UDP端口（user datagram protocol），即用户数据报协议端口，无需在客户端和服务器中间建立连接，安全性得不到保障，常见的有DNS服务的53端口，SNMP（简单网络管理协议）服务的161端口 ，QQ使用的8000和4000端口等。

常见的端口（建议背诵）

1. HTTP协议代理服务器常用端口号：80/8080/3128/8081/9080
2. FTP（文件传输）协议代理服务器常用端口号：21
3. Telnet（远程登录）协议代理服务器常用端口号：23
4. TFTP（Trivial File Transfer Protocol），默认端口号为69/udp
5. SSH（安全登录），SCP（文件传输），端口重定向，默认的端口是22/tcp
6. SMTP（Simple Mail Transfer Protocol），即E-mail，默认的端口号为25/tcp（木马Antigen、Email Password Sender、Haebu Coceda、Shtrilitz Stealth、WinPC、WinSpy都开放这个端口）
7. POP3 Post Office Protocol（E-mail），默认的端口号为110/tcp
8. TOMCAT，默认的款口号为8080
9. Win 2003远程登录，默认的端口号为3389
10. Oracle数据库，默认的端口号为1521
11. MS SQL*SERVER数据库server，默认的端口号为1433/tcp 1433/udp
12. QQ，默认的端口号为1080/udp

通过端口，可以信息收集，目标单侧，服务判断，系统判断 ，系统角色分析。
比如有些服务是一个系统所独有的，当你监测到一些独有的服务时，你就可以轻易的判断机器所使用的系统。
再比如，如果你在一台服务器上只看到了网站服务，那么这就是一台网站服务器。

注册表

注册表（registry），是microsoft windows中的一个重要的数据库，用于存储系统和应用程序的设置信息。通过改注册表可以改桌面，音效等等人们认为默认的东西。
在windows+R，输入regedit ，然后会打开注册表编辑器。

registry.png

在这个编辑器中们首先会出现这五个根键，在这几个根键下则是无穷多的小文件夹彼此嵌套，完全掌握是一件不切实际。

注册表作用

注册表是windows操作系统中的一个核心数据库，其中存放着各种参数，直接控制着windows的启动，硬件驱动程序的装载以及一些windows应用程序的运行，从而在整个系统中起着核心作用。
这些作用包括了软件，硬件的相关配置和状态信息，比如注册表中保存有应用程序和资源管理器外科的初始条件，首选项和卸载数据等。

利用注册表防病毒

不少计算机感染了病毒后，可能会在这些注册表中进行修改。

• HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Runonce
  下次开机运行，并且只运行一次的项
• HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
  开机自动启动的项
• HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\RunServices
  在操作系统启动时就开始运行的程序，优先于run中的程序运行，如果没有也是正常的

我们所使用注册表防病毒的原理在于，上面说到的注册表在整个系统中起着核心的作用，任何软件硬件的使用都被注册表调度，所以只要一个病毒可以修改注册表，一定程度上他就控制了这台电脑。

注册表结构

• HKEY_CLASSES_ROOT
  管理文件系统，根据在windows中安装的应用程序的扩展名，此根键指明其文件类型的名称，相应打开该文件所要调用的程序等等信息。
• HKEY_CURRENT_USER*
  管理系统当前的用户信息，在这个根键中保存了本地计算机中存放的当前登陆的用户信息，包括用户登录用户名和暂存的密码。
• HKEY_LOCAL_MACHINE*
  主要用于提权。管理当前系统硬件配置，在这个根键中保存了本地计算机硬件配置数据，此根键下的子关键字包括在SYSTEM.DAT中，用来提供HKEY_LOCAL_MACHINE所需的信息，或者在远程计算机中可访问的一组键中。
  这个根键里面的许多子键与system.ini文件中的设置项类似。
• HKEY_USERS
  管理系用的用户信息，在这个根键中保存了存放在本地计算机口令列表中的用户标识和密码列表，同时每个用户的预配置信息都存储在HYEY_CURRENT_USERS根键中，HKEY_USERS是远程计算机中访问的根键之一。
• HKEY_CURRENT_CONFIG
  管理当前用户的系统配置，在这个根键中保存着定义当前用户桌面配置（如显示器等等）的数据，该用户使用过的文档列表（MRU）等等。

修改注册表实例

• “运行“按钮被取消&强制实效
  HKEY_CURRENT_USER\Software\Micrrosoft\Windows\Current Version\Poliocies\Explorer
  “NoRun“的键值被改为1了，重新改成0就可以恢复
• IE起始页的修改
  HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main

IE