之前的博客因为含有EICAR测试文件内容，被360隔离后不知道干了啥，恢复后有问题了，差点儿把博客弄没了
报错是Error: EPERM: operation not permitted, unlink
解决措施就是把相关文件都删了，然后hexo clean，哪里报错删哪个文件，删的都是与之前这篇博客相关的

Windows日志服务

windows下查看日志是在计算机管理->事件查看器

计算机管理是个非常好的应用，很多信息都可以在这里面获取
林老师技巧：如果发现在日志中，读取硬盘读了几次后才成功，说明该硬盘可能存在问题
在日志中的信息分类：

应用程序日志：由应用程序或系统程序记录的事件。例如，数据库程序可在应用日志中记录文件错误；程序开发员决定记录哪一个事件
系统日志：包含Windows的系统组件记录的事件。例如，在启动过程将加载的驱动程序或其他系统组件的失败记录在系统日志中。Windows预先确定由系统组件记录的事件类型
安全日志：记录安全事件，如有效的和无效的登录尝试，以及与创建、打开或删除文件等资源使用相关联的事件。管理器可以指定在安全日志中记录什么事件。例如，如果您已启用登录审核，登录系统的尝试将记录在安全日志里

几种日志状态：

错误：重要的问题，如数据丢失或功能丧失。例如，如果在启动过程中某个服务加载失败，这个错误将会被记录下来
警告：并不是非常重要，但有可能说明将来的潜在问题的事件。例如，当磁盘空间不足时，将会记录警告
信息：描述了应用程序、驱动程序或服务的成功操作的事件。例如，当网络驱动程序加载成功时，将会记录一个信息事件
成功审核：成功的审核安全访问尝试。例如，用户试图登录系统成功会被作为成功审核事件记录下来
失败审核：失败的审核安全登录尝试。例如，如果用户试图访问网络驱动器并失败了，则该尝试将会作为失败审核事件记录下来

tasklist /m

任务管理器的命令行版，类似的有taskmgr/taskkill
该命令可以显示exe进程挂载了哪些dll

Sysinternals

系统管理员手中的利器，一些工具集
有：Autoruns、winternals、filemon等等

NTFS 流

命令行下：
notepad abc.txt我们输入123
notepad abc.txt:123发现打开了一个新文件，我们输入123
查看文件发现没有abc.txt:123这个文件，查看abc.txt属性，发现只有3字节
在命令行里再次输入notepad abc.txt:123发现还在
这其实是ntfs的一种流机制，使用dir /r

流依附该文件存在，每个文件可以有很多流
然后这种隐藏信息的会不会被用来做危险事情呢？
由于不想使用病毒文件，所以找了一个测试文件，EICAR测试文件
在abc.txt:123中输入（具体内容是啥再上网查吧，360把这篇博客隔离后，恢复时不知道干啥了，差点儿博客没了hh）
（加引号的目的是今天360杀毒给我扫出来了，然后把这个文件隔离了）
用360手动扫一下：

没有发现
那是不是这个没用了呢，不是有害木马所以就测不出来了呢？我们在abc.txt中试试

它发现了
好吧，有时间找个病毒文件试一试

net stop

有些服务图形化时关不掉，那就用net stop吧

ssh内网穿透

利用的是ssh反向代理技术
假设A是内网服务器，ip是IPA，用户是rootA，要使用的端口是22
B是一个外网服务器，ip是IPB，用户是rootB，要使用的端口假设是100
而我使用的是C，ip是IPC，用户是rootC，要使用的端口加设是23
方法：A与B间反向代理，B与C间正向代理
操作：
在A机器上，ssh -fCNR 100:localhost:22 rootB@IPB
在C机器上，ssh -fCNL 23:localhost:100 rootB@IPB
然后在本机23端口就可访问，当然你也可以在B机器上设置正向代理，然后访问B
ssh -fCNL *:122:localhost:100 localhost
然后就可以访问B的122端口，*代表允许任何IP访问

正向代理与反向代理

知乎神图：

正向代理

是我们平常所理解的代理，它代替客户端去请求数据

反向代理

反向代理隐藏了服务端，我们不需要知道服务端是谁，比如10086客服有很多
还比如我们在访问一个网站时，输上它的域名，我们也不知道到底请求的是哪一台服务器