黑客是如何入侵電腦的呢

　　電腦病毒就像黑客一樣，無處不在，侵害著人們電腦!你知道黑客是怎么樣入侵的嗎!下面由學(xué)習(xí)啦小編給你做出詳細(xì)的黑客攻擊的步驟分解介紹!希望對你有幫助!

　　黑客攻擊的步驟分解介紹：

　　第一：進(jìn)入系統(tǒng) 

　　1. 掃描目標(biāo)主機。

　　2. 檢查開放的端口，獲得服務(wù)軟件及版本。

　　3. 檢查服務(wù)軟件是否存在漏洞，如果是，利用該漏洞遠(yuǎn)程進(jìn)入系統(tǒng);否則進(jìn)入下一步。

　　4. 檢查服務(wù)軟件的附屬程序(*1)是否存在漏洞，如果是，利用該漏洞遠(yuǎn)程進(jìn)入系統(tǒng);否則進(jìn)入下一步。 5. 檢查服務(wù)軟件是否存在脆弱帳號或密碼，如果是，利用該帳號或密碼系統(tǒng);否則進(jìn)入下一步。 6. 利用服務(wù)軟件是否可以獲取有效帳號或密碼，如果是，利用該帳號或密碼進(jìn)入系統(tǒng);否則進(jìn)入下一步。

　　7. 服務(wù)軟件是否泄露系統(tǒng)敏感信息，如果是，檢查能否利用;否則進(jìn)入下一步。

　　8. 掃描相同子網(wǎng)主機，重復(fù)以上步驟，直到進(jìn)入目標(biāo)主機或放棄。

　　第二：提升權(quán)限 

　　1. 檢查目標(biāo)主機上的SUID和GUID程序是否存在漏洞，如果是，利用該漏洞提升權(quán)限，否則進(jìn)入下一步。

　　?. 檢查本地服務(wù)是否存在漏洞，如果是，利用該漏洞提升權(quán)限，否則進(jìn)入下一步。

　　3. 檢查本地服務(wù)是否存在脆弱帳號或密碼，如果是，利用該帳號或密碼提升權(quán)限;否則進(jìn)入下一步。

　　4. 檢查重要文件的權(quán)限是否設(shè)置錯誤，如果是，利用該漏洞提升權(quán)限，否則進(jìn)入下一步。

　　5. 檢查配置目錄(*2)中是否存在敏感信息可以利用。

　　6. 檢查用戶目錄中是否存在敏感信息可以利用。

　　7. 檢查臨時文件目錄(*3)是否存在漏洞可以利用。

　　8. 檢查其它目錄(*4)是否存在可以利用的敏感信息。

　　9. 重復(fù)以上步驟，直到獲得root權(quán)限或放棄。

　　第三：放置后門

　　最好自己寫后門程序，用別人的程序總是相對容易被發(fā)現(xiàn)。

　　第四：清理日志

　　最好手工修改日志，不要全部刪除，也不好使用別人寫的工具。

　　附加說明：

　　*1 例如WWW服務(wù)的附屬程序就包括CGI程序等

　　*2 這里指存在配置文件的目錄，如/etc等

　　*3 如/tmp等，這里的漏洞主要指條件競爭

　　*4 如WWW目錄，數(shù)據(jù)文件目錄等 /*****************************************************************************/好了，大家都知道了入侵者入侵一般步驟及思路 那么我們開始做入侵檢測了。

　　第一步、我們都知道一個入侵者想要入侵一臺服務(wù)器首先要掃描這臺服務(wù)器，搜集服務(wù)器的信息，以便進(jìn)一步入侵該系統(tǒng)。系統(tǒng)信息被搜集的越多，此系統(tǒng)就越容易被入侵者入侵。 所以我們做入侵檢測時，也有必要用掃描器掃描一下系統(tǒng)，搜集一下系統(tǒng)的一些信息，來看看有沒有特別流行的漏洞(呵呵這個年頭都時興流行哦：)

　　第二步、掃描完服務(wù)器以后，查看掃描的信息---->分析掃描信息。如果有重大漏洞---->修補(亡羊補牢，時未晚)，如果沒有轉(zhuǎn)下一步。

　　第三步、沒有漏洞，使用殺毒工具掃描系統(tǒng)文件，看看有沒有留下什么后門程序，如：nc.exe、srv.exe……如果沒有轉(zhuǎn)下一步。

　　第四步、入侵者一般入侵一臺機器后留下后門，充分利用這臺機器來做一些他想做的事情，如：利用肉雞掃描內(nèi)網(wǎng)，進(jìn)一步擴大戰(zhàn)果，利用肉雞作跳板入侵別的網(wǎng)段的機器，嫁禍于這臺機器的管理員，跑流影破郵箱……

　　如何檢測這臺機器有沒有裝一些入侵者的工具或后門呢?

　　查看端口(偏好命令行程序，舒服)

　　1、fport.exe--->查看那些端口都是那些程序在使用。有沒有非法的程序，和端口 winshell.exe 8110 暈倒～后門 net use 誰在用這個連接我?

　　2、netstat -an ---->查看那些端口與外部的ip相連。 23 x.x.x.x 沒有開23端口，怎么自己打開了??黑客!?

　　3、letmain.exe \ip -admin -d 列出本機的administrators組的用戶名查看是否有異常。 怎么多了一個hacker用戶??<==>net user id

　　4、pslist.exe---->列出進(jìn)程<==>任務(wù)管理器

　　5、pskill.exe---->殺掉某個進(jìn)程，有時候在任務(wù)管理器中無法中止程序那就用這個工具來停止進(jìn)程吧。

　　6、login.exe ---->列出當(dāng)前都有那些用戶登錄在你的機器上，不要你在檢測的同時，入侵者就在破壞:

　　7、查看日志文件--->龐大的日志文件--->需要借助第三方軟件來分析日志 記錄了入侵者掃描的信息和合法用戶的正確請求

　　Find “scirpts/..” C:\WINNT\system32\LogFiles\W3SVC1\ex010705.log --解碼漏洞??誰在掃描我?

　　8、查看 Web 目錄下文件改動與否 留沒有留 asp php 后門……查看存放日志文件的目錄 GUI 查看顯示所有文件和文件夾 z[-6QwE

　　技巧：查看文件的修改日期，我兩個月沒有更新站點了(好懶：)，怎么 Web 目錄下有最近修改文件的日期??奇怪吧?：) "DYN}

　　####################################### 驅(qū)動器 C 中的卷是 system Server D7

　　卷的序列號是 F4EE-CE39

　　R-hgl8F

　　C:\WINNT\system32\LogFiles\W3SVC1 的目錄 ?

　　2001-07-05 02:43 1,339 ex010704.log

　　2001-07-05 23:54 52,208 ex010705.log

　　2001-07-07 22:59 0 ex010707.log

　　2001-07-08 22:45 0 ex010708.log

　　2001-07-10 08:00 587 ex010709.log

　　恩?奇怪?怎么沒有 2001-07-06 那天的日志文件??可疑……2001-07-07、2001-07-08 兩天的日志文件大小為零，我得網(wǎng)站訪問量怎么兩天都是空??沒有那么慘吧：(好奇怪?!#######################################

　　驅(qū)動器 D 中的卷是 新加卷

　　卷的序列號是 28F8-B814 D:\win 2000 的目錄

　　2001-06-03 17:43

　　2001-06-03 17:43

　　..

　　2001-06-03 17:43

　　CLIENTS

　　2001-06-03 17:43

　　BOOTDISK

　　2001-06-03 17:43

　　I386

　　2001-06-03 17:46

　　PRINTERS

　　2001-06-03 17:46

　　SETUPTXT

　　2001-06-03 17:46

　　SUPPORT

　　2001-06-03 17:46

　　VALUEADD

　　2000-01-10 20:00 45 AUTORUN.INF

　　2000-01-10 20:00 304,624 BOOTFONT

　　2000-01-10 20:00 5 CDROM_IS.5

　　2000-01-10 20:00 5 CDROM_NT.

　　2000-01-10 20:00 12,354 READ1ST

　　2000-01-10 20:00 465,408 README.DOC

　　2000-01-10 20:00 267,536 SETUP.EXE

　　2001-06-04 17:37

　　SP1

　　2001-06-27 16:03

　　sp2

　　2001-07-06 00:05

　　system --->從來沒有修改或安裝什么文件程序啊 什么時候多了system目錄?這個是我安裝 win 2000 的安裝文件。 日期怎么不對 2001-07-06，日志文件也沒有 2001-07-06 的這一天的記錄，可疑…….

　　7 個文件 1,049,977 字節(jié) 12 個目錄 10,933,551,104 可用字節(jié)

　　####################################### 總的來說

入侵檢測包括：

　　一、基于80端口入侵的檢測 CGI IIS 程序漏洞……

　　二、基于安全日志的檢測 工作量龐大

　　三、文件訪問日志與關(guān)鍵文件保護(hù) )

　　四、進(jìn)程監(jiān)控 后門什么的

　　五、注冊表校驗 木馬

　　六、端口監(jiān)控 21 23 3389 …

　　七、用戶 我覺得這個很重要，因為入侵者進(jìn)入系統(tǒng)以后，為了方便以后的“工作”通常會加一個用戶或者激活guest帳號提升為管理員的

　　/************** 借助第三方軟件協(xié)助分析 IDS Firewall …..***********************/

　　對 unix & linux 入侵檢測說幾句

　　有必要先用掃描器掃描一下系統(tǒng)，搜集一下資料 CGI RPC TELNETD FTP ……本地遠(yuǎn)程溢出漏洞……

　　1、檢查 suid sgid 程序

　　find / -user root -perm -4000 -print --常用

　　find / -group kmem -perm -2000 -print 

　　2、查看系統(tǒng)的二進(jìn)制文件是否被更改

　　如：ls su telnet netstat ifconfig find du df sync login……

　　建議做入侵檢測時候，從一個干凈的系統(tǒng) copy 過來這些文件 來做檢測

　　使用 MD5 Tripwire 校驗工具檢測

　　3、檢查 /etc/passwd 文件 ,

　　有沒有新增的用戶、沒有口令的帳號、uid等于0的帳號……

　　4、檢查有沒有網(wǎng)絡(luò)監(jiān)聽程序在運行

　　5、檢查系統(tǒng)非正常的隱藏文件

　　find / -name ".. " -print -xdev

　　find / -name ".*" -print -xdev

　　6、在系統(tǒng)正常運作的情況下，系統(tǒng)管理員要經(jīng)常使用下列命令(必要的話，系統(tǒng)管理員可以改變 path，或者修改二進(jìn)制文件名稱，放到一個只有自己知道的目錄下)在保證二進(jìn)制文件沒有被篡改的情況下用絕對路徑 iW[BxyR\x

　　/bin/who

　　/bin/w

　　/bin/last my

　　/bin/lastcomm

　　/bin/netstat

　　/bin/snmpnetstat

　　shell 的歷史文件 如：.history 、.rchist、.bash_history……

　　7、日志

　　8、…….. 因為 unix&vlinux系列源代碼是開放的，所以如果入侵者裝上了內(nèi)核后門 強烈建議備份您機器上重要文件，重裝系統(tǒng)，打好補丁，迎接入侵者

　　/******************借助第三方軟件協(xié)助分析 IDS Firewall …..***********************/ 入侵檢測介紹就到這里，在實際運用中，系統(tǒng)管理員對基礎(chǔ)知識掌握的情況直接關(guān)系到他的安全敏感度，只有身經(jīng)百戰(zhàn)而又知識豐富、仔細(xì)小心的系統(tǒng)管理員才能從一點點的蛛絲馬跡中發(fā)現(xiàn)入侵者的影子。
看了“黑客是如何入侵電腦的呢”文章的還看了：

1.黑客如何入侵

2.如何防止電腦被黑客入侵

3.網(wǎng)吧內(nèi)如何入侵別人電腦

4.黑客入侵Windows XP的方法

5.解讀黑客對電腦攻擊常用方法

6.如何防范黑客入侵