Quartz 🪬

Search

SearchSearch

TryHackMe - Windows Fundamentals

Nov 21, 20247 min read

Windows Editions

Sự khác biệt giữa phiên bản Home và Pro của Windows là bản Pro có chức năng mã hóa ổ đĩa BitLocker1.

The File System

File system sử dụng trong các phiên bản mới của Windows là NTFS. Trước kia, Windows sử dụng FAT12/16 và HPFS (High Performance File System). NTFS được biết đến là một hệ thống tập tin nhật ký: trong trường hợp có lỗi xảy ra thì hệ thống sẽ tự động sửa lỗi thư mục/tập tin trên ổ đĩa dựa trên thông tin được lưu ở trong một tập tin nhật ký (log file).

NTFS giải quyết các vấn đề của các file system trước đó, chẳng hạn như:

  • Hỗ trợ tập tin có kích thước lớn hơn 4GB.
  • Thiết lập các quyền cụ thể trên thư mục và tập tin.
  • Nén thư mục và tập tin.
  • Mã hóa (Encryption File System hoặc EFS).

Danh sách các quyền có thể thiết lập trên thư mục và tập tin:

Info

Một tính năng khác của NTFS là Alternate Data Streams (ADS). Đây là một thuộc tính tập tin của NTFS. Mỗi tập tin đều có ít nhất một data stream ($DATA) và ADS cho phép tập tin có thể chứa nhiều hơn một data stream. Chúng ta có thể sử dụng PowerShell để xem ADS của file.

Từ góc độ bảo mật, các người viết mã độc thường dùng ADS để giấu dữ liệu.

Khi download tập tin từ internet, sẽ có các định danh được ghi vào ADS nhằm cho biết rằng file được download từ internet.

The Windows\System32 Folders

Biến môi trường cho thư mục C:\Windows%windir%.

Trong C:\Windows có thư mục System32. Đây là một thư mục quan trọng, việc chỉnh sửa trong thư mục này có thể làm Windows không hoạt động được.

User Accounts, Profiles, and Permissions

Các tài khoản trong Windows có hai loại: Administrator và Standard User.

Mỗi tài khoản người dùng luôn có một profile tương ứng được tạo ra khi người dùng đăng nhập lần đầu tiên. Các profile này nằm trong thư mục C:\Users. Ví dụ, profile cho người dùng Max sẽ nằm trong thư mục C:\Users\Max.

Mỗi profile sẽ bao gồm những thư mục giống nhau như sau:

  • Desktop
  • Documents
  • Downloads
  • Music
  • Pictures

Chúng ta có thể xem danh sách các người dùng và nhóm người dùng bằng cách nhấn phím “Window + R” rồi gõ vào lusrmgr.msc.

User Account Control (UAC)

Để bảo vệ các local user có đặc quyền cao, Windows sử dụng User Account Control (UAC).

Note

UAC không áp dụng cho các built-in local administrator account.

UAC hoạt động như sau: khi một người dùng admin đăng nhập vào hệ thống, session của họ sẽ không được cấp các đặc quyền. Chỉ khi nào một thao tác nào đó cần sử dụng đến đặc quyền thì sẽ có một hộp thoại hiện ra để người dùng xác nhận xem có cho thao tác đó sử dụng đặc quyền hay không.

System Configuration

Là một công cụ giúp chỉnh sửa các cấu hình liên quan đến việc khởi động. Có thể chạy thông qua PowerShell bằng câu lệnh MSConfig.

Gồm 5 tab:

General

Các thiết bị và dịch vụ (service - là ứng dụng chạy ngầm) sẽ được chạy khi hệ thống được khởi động. Bao gồm 3 option: normal, diagnostic, và selective:

Boot

Các tùy chọn boot:

Services

Danh sách các service được cấu hình trong hệ thống:

Startup

Quản lý các ứng dụng được chạy sau khi máy được khởi động.

Tools

Danh sách các công cụ dùng để cấu hình hệ điều hành:

Chú ý rằng trong phần Select command có câu lệnh tương ứng với từng công cụ.

Một số công cụ phổ biến kèm câu lệnh:

  • Control panel: control.exe
  • Windows Troubleshooting: control.exe /name Microsoft.Troubleshooting

Change UAC Settings

Chúng ta có thể chỉnh sửa cấu hình của UAC thông qua công cụ Change UAC Settings được liệt kê trong tool System Configuration:

Câu lệnh của tool:

UserAccountControlSettings.exe

Computer Management

Công cụ này có câu lệnh như sau:

compmgmt.msc

Giao diện:

Công cụ này có ba phần:

System Tools

Task Scheduler

Giúp chúng ta quản lý các tác vụ tự thực thi tại một thời điểm hoặc sau một khoảng thời gian nào đó cụ thể. Tác vụ có thể là một ứng dụng, script, … và có thể được cấu hình để chạy khi đã hoặc chưa đăng nhập.

Event Viewer

Cho phép xem các sự kiện đã xảy ra trên máy.

Các loại log trong phần Windows Logs:

Shared Folders

Giúp quản lý các thư mục chia sẻ. Bao gồm ba phần là Shares, SessionsOpen Files.

Trong hình trên có một thư mục chia sẻ mặc định là C:\ và một thư mục chia sẻ khác là C:\Windows.

Trong phần Sessions là danh sách các người dùng đang kết nối đến các share. Các thư mục hoặc tập tin chia sẻ mà người dùng đang truy cập sẽ được liệt kê trong phần Open Files.

Others

  • Local Users and Groups chính là tool lusrmgr.
  • Performance có công cụ Performance Monitor (perfmon) giúp theo dõi hiệu năng của máy.
  • Device Manager giúp quản lý các thiết bị phần cứng.

Storage

Phần này bao gồm Windows Server Backup và Disk Management.

Services and Applications

Services: giúp enable, disable và xem chi tiết các service (ứng dụng chạy ngầm) WMI Control: cho phép cấu hình và kiểm soát dịch vụ Windows Management Instrumentation (WMI)2.

System Information

Câu lệnh: msinfo32.exe.

Là công cụ hiển thị các thông tin về phần cứng, các thành phần hệ thống và các môi trường phần mềm. Cụ thể, nó gồm 3 mục:

  • Hardware Resources
  • Components: thông tin chi tiết về các thiết bị phần cứng.
  • Software Environment: chúng ta có thể xem thông tin về các biến môi trường ở trong mục này.

Resource Monitor

Câu lệnh: resmon.exe.

Là một công cụ giúp theo dõi CPU, ổ cứng, mạng và RAM.

Ngoài ra, đối với từng loại tài nguyên, sẽ có thêm những thông tin chi tiết về các tiến trình, dịch vụ, … đang sử dụng tài nguyên đó. Có thể xem những thông tin này trong từng tab (CPU, Memory, Disk, Network).

Command Prompt

Câu lệnh: cmd.exe.

Một số câu lệnh phổ biến.

  • hostname: tên máy.
  • whoami: tên của người dùng đang đăng nhập.
  • ipconfig: các địa chỉ mạng. Có thể dùng suffix /? để hiển thị cách sử dụng.
  • cls: xóa màn hình.
  • netstat: các thông số mạng và các kết nối TCP/IP.
  • net: quản lý các tài nguyên mạng.

Registry Editor

Câu lệnh: regedit.exe hoặc regedt32.exe.

Là một cơ sở dữ liệu lưu các thông tin cần thiết cho việc cấu hình hệ thống của một hoặc nhiều người dùng, các ứng dụng và các dịch vụ. Các thông tin này được hệ điều hành truy xuất liên tục trong quá trình vận hành, chẳng hạn như:

  • Profile của từng người dùng.
  • Các ứng dụng đã được cài đặt và loại file mà từng ứng dụng có thể tạo ra.
  • Các thiết lập cho icon của thư mục và ứng dụng.
  • Các phần cứng đang tồn tại trong hệ thống.
  • Port đang được sử dụng.
list
from outgoing([[TryHackMe - Windows Fundamentals]])
sort file.ctime asc

Resources

Footnotes

  1. tham khảo thêm tại Compare Windows 11 Versions: Home & Pro vs. Windows 10 | Microsoft

  2. là dịch vụ cho phép chạy các scripting language chẳng hạn như VBScript hoặc PowerShell để quản lý các máy tính cá nhân hoặc server ở local hoặc remote.

Backlinks