学习啦>学习电脑>电脑安全>病毒知识>

黑客是如何入侵电脑的呢

时间: 林辉766 分享

  电脑病毒就像黑客一样,无处不在,侵害着人们电脑!你知道黑客是怎么样入侵的吗!下面由学习啦小编给你做出详细的黑客攻击的步骤分解介绍!希望对你有帮助!

  黑客攻击的步骤分解介绍:

  第一:进入系统 

  1. 扫描目标主机。

学习啦在线学习网   2. 检查开放的端口,获得服务软件及版本。

学习啦在线学习网   3. 检查服务软件是否存在漏洞,如果是,利用该漏洞远程进入系统;否则进入下一步。

  4. 检查服务软件的附属程序(*1)是否存在漏洞,如果是,利用该漏洞远程进入系统;否则进入下一步。 5. 检查服务软件是否存在脆弱帐号或密码,如果是,利用该帐号或密码系统;否则进入下一步。 6. 利用服务软件是否可以获取有效帐号或密码,如果是,利用该帐号或密码进入系统;否则进入下一步。

  7. 服务软件是否泄露系统敏感信息,如果是,检查能否利用;否则进入下一步。

  8. 扫描相同子网主机,重复以上步骤,直到进入目标主机或放弃。

  第二:提升权限 

  1. 检查目标主机上的SUID和GUID程序是否存在漏洞,如果是,利用该漏洞提升权限,否则进入下一步。

  ?. 检查本地服务是否存在漏洞,如果是,利用该漏洞提升权限,否则进入下一步。

学习啦在线学习网   3. 检查本地服务是否存在脆弱帐号或密码,如果是,利用该帐号或密码提升权限;否则进入下一步。

  4. 检查重要文件的权限是否设置错误,如果是,利用该漏洞提升权限,否则进入下一步。

学习啦在线学习网   5. 检查配置目录(*2)中是否存在敏感信息可以利用。

学习啦在线学习网   6. 检查用户目录中是否存在敏感信息可以利用。

  7. 检查临时文件目录(*3)是否存在漏洞可以利用。

  8. 检查其它目录(*4)是否存在可以利用的敏感信息。

学习啦在线学习网   9. 重复以上步骤,直到获得root权限或放弃。

  第三:放置后门

  最好自己写后门程序,用别人的程序总是相对容易被发现。

  第四:清理日志

  最好手工修改日志,不要全部删除,也不好使用别人写的工具。

  附加说明:

  *1 例如WWW服务的附属程序就包括CGI程序等

  *2 这里指存在配置文件的目录,如/etc等

学习啦在线学习网   *3 如/tmp等,这里的漏洞主要指条件竞争

  *4 如WWW目录,数据文件目录等 /*****************************************************************************/好了,大家都知道了入侵者入侵一般步骤及思路 那么我们开始做入侵检测了。

  第一步、我们都知道一个入侵者想要入侵一台服务器首先要扫描这台服务器,搜集服务器的信息,以便进一步入侵该系统。系统信息被搜集的越多,此系统就越容易被入侵者入侵。 所以我们做入侵检测时,也有必要用扫描器扫描一下系统,搜集一下系统的一些信息,来看看有没有特别流行的漏洞(呵呵这个年头都时兴流行哦:)

  第二步、扫描完服务器以后,查看扫描的信息---->分析扫描信息。如果有重大漏洞---->修补(亡羊补牢,时未晚),如果没有转下一步。

  第三步、没有漏洞,使用杀毒工具扫描系统文件,看看有没有留下什么后门程序,如:nc.exe、srv.exe……如果没有转下一步。

  第四步、入侵者一般入侵一台机器后留下后门,充分利用这台机器来做一些他想做的事情,如:利用肉鸡扫描内网,进一步扩大战果,利用肉鸡作跳板入侵别的网段的机器,嫁祸于这台机器的管理员,跑流影破邮箱……

  如何检测这台机器有没有装一些入侵者的工具或后门呢?

  查看端口(偏好命令行程序,舒服)

  1、fport.exe--->查看那些端口都是那些程序在使用。有没有非法的程序,和端口 winshell.exe 8110 晕倒~后门 net use 谁在用这个连接我?

  2、netstat -an ---->查看那些端口与外部的ip相连。 23 x.x.x.x 没有开23端口,怎么自己打开了??黑客!?

  3、letmain.exe \ip -admin -d 列出本机的administrators组的用户名查看是否有异常。 怎么多了一个hacker用户??<==>net user id

  4、pslist.exe---->列出进程<==>任务管理器

学习啦在线学习网   5、pskill.exe---->杀掉某个进程,有时候在任务管理器中无法中止程序那就用这个工具来停止进程吧。

  6、login.exe ---->列出当前都有那些用户登录在你的机器上,不要你在检测的同时,入侵者就在破坏:

  7、查看日志文件--->庞大的日志文件--->需要借助第三方软件来分析日志 记录了入侵者扫描的信息和合法用户的正确请求

  Find “scirpts/..” C:\WINNT\system32\LogFiles\W3SVC1\ex010705.log --解码漏洞??谁在扫描我?

学习啦在线学习网   8、查看 Web 目录下文件改动与否 留没有留 asp php 后门……查看存放日志文件的目录 GUI 查看显示所有文件和文件夹 z[-6QwE

学习啦在线学习网   技巧:查看文件的修改日期,我两个月没有更新站点了(好懒:),怎么 Web 目录下有最近修改文件的日期??奇怪吧?:) "DYN}

学习啦在线学习网   ####################################### 驱动器 C 中的卷是 system Server D7

  卷的序列号是 F4EE-CE39

学习啦在线学习网   R-hgl8F

  C:\WINNT\system32\LogFiles\W3SVC1 的目录 ?

  2001-07-05 02:43 1,339 ex010704.log

  2001-07-05 23:54 52,208 ex010705.log

学习啦在线学习网   2001-07-07 22:59 0 ex010707.log

学习啦在线学习网   2001-07-08 22:45 0 ex010708.log

  2001-07-10 08:00 587 ex010709.log

学习啦在线学习网   恩?奇怪?怎么没有 2001-07-06 那天的日志文件??可疑……2001-07-07、2001-07-08 两天的日志文件大小为零,我得网站访问量怎么两天都是空??没有那么惨吧:(好奇怪?!#######################################

  驱动器 D 中的卷是 新加卷

  卷的序列号是 28F8-B814 D:\win 2000 的目录

学习啦在线学习网   2001-06-03 17:43

  2001-06-03 17:43

  ..

  2001-06-03 17:43

  CLIENTS

  2001-06-03 17:43

  BOOTDISK

学习啦在线学习网   2001-06-03 17:43

  I386

  2001-06-03 17:46

  PRINTERS

  2001-06-03 17:46

学习啦在线学习网   SETUPTXT

学习啦在线学习网   2001-06-03 17:46

  SUPPORT

  2001-06-03 17:46

  VALUEADD

  2000-01-10 20:00 45 AUTORUN.INF

学习啦在线学习网   2000-01-10 20:00 304,624 BOOTFONT

  2000-01-10 20:00 5 CDROM_IS.5

  2000-01-10 20:00 5 CDROM_NT.

学习啦在线学习网   2000-01-10 20:00 12,354 READ1ST

学习啦在线学习网   2000-01-10 20:00 465,408 README.DOC

学习啦在线学习网   2000-01-10 20:00 267,536 SETUP.EXE

  2001-06-04 17:37

  SP1

  2001-06-27 16:03

  sp2

  2001-07-06 00:05

学习啦在线学习网   system --->从来没有修改或安装什么文件程序啊 什么时候多了system目录?这个是我安装 win 2000 的安装文件。 日期怎么不对 2001-07-06,日志文件也没有 2001-07-06 的这一天的记录,可疑…….

学习啦在线学习网   7 个文件 1,049,977 字节 12 个目录 10,933,551,104 可用字节

  ####################################### 总的来说

入侵检测包括:

学习啦在线学习网   一、基于80端口入侵的检测 CGI IIS 程序漏洞……

学习啦在线学习网   二、基于安全日志的检测 工作量庞大

学习啦在线学习网   三、文件访问日志与关键文件保护 )

学习啦在线学习网   四、进程监控 后门什么的

学习啦在线学习网   五、注册表校验 木马

  六、端口监控 21 23 3389 …

  七、用户 我觉得这个很重要,因为入侵者进入系统以后,为了方便以后的“工作”通常会加一个用户或者激活guest帐号提升为管理员的

  /************** 借助第三方软件协助分析 IDS Firewall …..***********************/

  对 unix & linux 入侵检测说几句

学习啦在线学习网   有必要先用扫描器扫描一下系统,搜集一下资料 CGI RPC TELNETD FTP ……本地远程溢出漏洞……

学习啦在线学习网   1、检查 suid sgid 程序

  find / -user root -perm -4000 -print --常用

学习啦在线学习网   find / -group kmem -perm -2000 -print 

学习啦在线学习网   2、查看系统的二进制文件是否被更改

学习啦在线学习网   如:ls su telnet netstat ifconfig find du df sync login……

  建议做入侵检测时候,从一个干净的系统 copy 过来这些文件 来做检测

学习啦在线学习网   使用 MD5 Tripwire 校验工具检测

  3、检查 /etc/passwd 文件 ,

  有没有新增的用户、没有口令的帐号、uid等于0的帐号……

  4、检查有没有网络监听程序在运行

学习啦在线学习网   5、检查系统非正常的隐藏文件

学习啦在线学习网   find / -name ".. " -print -xdev

学习啦在线学习网   find / -name ".*" -print -xdev

  6、在系统正常运作的情况下,系统管理员要经常使用下列命令(必要的话,系统管理员可以改变 path,或者修改二进制文件名称,放到一个只有自己知道的目录下)在保证二进制文件没有被篡改的情况下用绝对路径 iW[BxyR\x

  /bin/who

  /bin/w

  /bin/last my

学习啦在线学习网   /bin/lastcomm

学习啦在线学习网   /bin/netstat

  /bin/snmpnetstat

学习啦在线学习网   shell 的历史文件 如:.history 、.rchist、.bash_history……

  7、日志

  8、…….. 因为 unix&vlinux系列源代码是开放的,所以如果入侵者装上了内核后门 强烈建议备份您机器上重要文件,重装系统,打好补丁,迎接入侵者

  /******************借助第三方软件协助分析 IDS Firewall …..***********************/ 入侵检测介绍就到这里,在实际运用中,系统管理员对基础知识掌握的情况直接关系到他的安全敏感度,只有身经百战而又知识丰富、仔细小心的系统管理员才能从一点点的蛛丝马迹中发现入侵者的影子。
看了“黑客是如何入侵电脑的呢”文章的还看了:

1.黑客如何入侵

2.如何防止电脑被黑客入侵

3.网吧内如何入侵别人电脑

4.黑客入侵Windows XP的方法

5.解读黑客对电脑攻击常用方法

6.如何防范黑客入侵

黑客是如何入侵电脑的呢

电脑病毒就像黑客一样,无处不在,侵害着人们电脑!你知道黑客是怎么样入侵的吗!下面由学习啦小编给你做出详细的黑客攻击的步骤分解介绍!希望对你有帮助! 黑客攻击的步骤分解介绍: 第一:进入系统 1. 扫描目标主机。 2. 检查开放的端口
推荐度:
点击下载文档文档为doc格式

精选文章

  • 如何剿灭电脑中的病毒木马
    如何剿灭电脑中的病毒木马

    电脑中了木马病毒,要怎么去剿灭呢!学习啦小编这有好的方法!希望对你有用!下面由学习啦小编给你做出详细的剿灭电脑木马病毒方法介绍! 剿灭电脑木马

  • 如何让电脑病毒及其他流氓软件入侵不了电脑
    如何让电脑病毒及其他流氓软件入侵不了电脑

    学习啦在线学习网怎么样才能让电脑病毒和木马以及其他流氓软件不能入侵我们的电脑呢!有什么好的方法介绍吗!下面由学习啦小编给你做出详细的不让电脑病毒等其它流氓

  • 黑客程序有哪四大特征
    黑客程序有哪四大特征

    学习啦在线学习网黑客程序是指黑客开发的各种为了完成某种需要或获得某种信息而编写的程序,自网络诞生起,它们就存在了。在2006年,黑客程序经过长期的完善,具备了

  • 怎么样才能更高效预防和防止电脑病毒
    怎么样才能更高效预防和防止电脑病毒

    如何更高效的防止和预防电脑病毒呢!学习啦小编这里有好的方法,下面由学习啦小编给你做出详细的更高效预防和防止电脑病毒介绍!希望对你有帮助! 更高

631295