网络信息对抗网络信息对抗提纲BMW＝BreakMyWindows桌面操作系统市场份额桌面操作系统市场份额桌面操作系统市场份额Windows发展历程Windows8Windows8界面Windows10Windows10界面Windows10界面提纲推荐书籍WindowsKernel和软件资源Windows操作系统基本结构Windows操作系统基本结构Windows系统核心结构和组件Windows系统核心结构和组件Windows系统的启动机制Windows系统的启动机制Windows系统的启动机制“开机自启”应用程序位置“开机自启”应用程序位置Autoruns360安全卫生Windows文件系统PE文件格式Windows的进程和线程管理执行体进程块(EPROCESS/KPROCESS/PEB)执行体线程块(ETHREAD/KTHREAD/TEB)Windows的内存管理Windows的内存管理程序装载和运行Windows系统API调用过程APIHooking机制Windows系统的注册表提纲WindowsNT5.x中的网络结构WindowsNT5.x中的网络结构WindowsNetworkingAPINetBIOSMSRPC远程进程调用/DCOMWinSockAPI常用的Windows应用层网络服务Windows服务Windows服务控制面板为何需了解Windows内部机制？Rootkit检测技术总体流程图检测技术分析—活动线程检测检测技术分析—进程、驱动检测检测技术分析—网络端口检测检测技术分析—文件系统隐藏检测检测技术分析—注册表、系统服务、启动项提纲Windows安全性WindowsNT5.x安全体系结构SRM-安全引用监控器Subject–安全主体用户帐户用户组帐户口令管理-SAM和活动目录对象-ObjectDACLAAAAuthentication-身份验证令牌Whoami身份验证-winlogon/GINA/LSASS网络身份验证-netlogonAuthorization:授权(访问控制)Auditing:审计安全审计Windows安全配置策略Windows其他安全机制Windows其他安全机制Windows其他安全机制下堂课预告