Windows Fundamentals 1 (Try Hack Me Writeup)

Task 1 Introduction to Windows

Home 版本跟 Pro 的差別可以使用 BitLocker
可以使用 WIP
https://www.microsoft.com/en-us/windows/compare-windows-10-home-vs-proWhat encryption can you enable on Pro that you can’t enable in Home?- A: BitLocker

Which selection will hide/disable the Search box?
HiddenWhich selection will hide/disable the Task View button?-
Show Task View buttonBesides Clock, Volume, and Network, what other icon is visible in the Notification Area?-
action center

檔案系統FAT16 / FAT32File Allocation Table
USB 裝置之類ㄉ還是看ㄉ到HPFS- High Performance File SystemNTFS- New Technology File SystemNTFS 優勢- 文件紀錄系統，可以自動修復日誌
單檔案 >= 4G
可以針對資料夾跟黨按設定權限
資料夾跟檔案的壓縮
加密 (Encryption File System, EFS)NTFS 權限- Read對資料夾：可以觀看，跟顯示資料夾中的檔案與子資料夾
對檔案：可以觀看或存取檔案的內容Write- 對資料夾：可以在資料夾中增加檔案或子資料夾
對檔案：可以對檔案進行寫入Read & Execute- 對資料夾：可以觀看，顯示資料夾中的檔案與子資料夾；可以直行檔案，會繼承給檔案以及資料夾
對檔案：可以觀看、存取檔案的內容，也可以直行黨按List folder contents- 對資料夾：可以觀看，並列出檔案以及子資料夾，以及執行檔案，只能給資料夾繼承Modify- 對資料夾：可以讀取、寫入檔案以及子資料夾；允許刪除資料夾
對檔案：可以讀取，寫入檔案；允許刪除檔案Full Control- 對資料夾，允許讀取、寫入、變更以及刪除檔案與子資料夾
對檔案：允許讀取、寫入、變更予刪除檔案

一種 NTFS 的 attribute
每一個檔案至少都會有一個 Data Stream ($DATA)
ADS 允許一個檔案包含多個 Data Stream
Windows Explorer 不會對使用者顯示 ADS，需要透過特定的第三方軟體或是 Powershell
所以有時候 Malware 會使用 ADS 來隱藏資料
延伸閱讀 https://blog.malwarebytes.com/101/2015/07/introduction-to-alternate-data-streams/
範例建立一個 ADS 的東東用 Dir 看不出來- 用 Type 也看不出來- 可以用 powershell GET-Item -path C:\Users\Administrator\Desktop\example -stream *- CMD 需要裝 Sysinternals 的 Streams- https://docs.microsoft.com/zh-tw/sysinternals/downloads/streamsWhat is the meaning of NTFS?- New Technology File System

%windir%最常見的位子在 C:\Windows
裡面存放著作業系統，但他不一定需要在 C，也有一些喪心病狂的人會把他設定在其他地方
所以我們可以使用環境變數，或是說系統環境變數(System environment variables) 來正確的訪問System32- 資料夾中有許多對作業系統來說很重要的檔案
在變動、刪除時要特別小心，很可能讓系統爛掉What is the system variable for the Windows folder?- %windir%

兩種類型的帳戶Administrator增、刪使用者
修改 Group
修改作業系統設定Standard User- 修改與該使用者相關的資料夾、檔案的屬性
不能做系統層級的修改，例如安裝軟體使用者家目錄- C:\Users\{Username}
預設會有Desktop
Documents
Downloads
Music
PicturesLocal User and Group Management- lusrmgr.msc
可以看到各種使用者、群組的資訊What is the name of the other user account?- tryhackmebillyWhat groups is this user a member of?-
Remote Desktop Users,UsersWhat built-in account is for guest access to the computer?- GuestWhat is the account status?-
Account is disabled

UACUser Account ControlVista 後開始使用的可以觀察到一個安裝檔案可能並沒有使用者相關的權限- 登入一個普通使用者- tryhackmebilly / window$Fun1!
10.10.229.121
會發現多出盾牌 icon如果執行安裝- 會需要輸入 Administrator 的密碼
What does UAC mean?- User Account Control

Win8 後出現 Settings 頁面舊版控制台 (Control Panel)- In the Control Panel, change the view to Small icons. What is the last setting in the Control Panel view?-
右上角選 small icons
最後一個選項是 Windows Defender Firewall