黑客攻防基礎(chǔ)知識(shí)

導(dǎo)航要點(diǎn)：
1）認(rèn)識(shí)黑客
2）認(rèn)識(shí)常見的網(wǎng)絡(luò)協(xié)議
3）IP地址與端口
4）認(rèn)識(shí)系統(tǒng)進(jìn)程
5）黑客常用的DOS命令

本章主要內(nèi)容：
什么是黑客？
常見的網(wǎng)絡(luò)協(xié)議。
認(rèn)識(shí)IP地址，端口和系統(tǒng)進(jìn)程以及黑客常用的DOS命令。
黑客常用的專業(yè)術(shù)語。

1.1認(rèn)識(shí)黑客

黑客也有高手和菜鳥之分，只要用戶了解了黑客的基本手段，一般的黑客是無法入侵電腦
的。
而對(duì)于黑客高手來說，可能您的電腦沒有讓他入侵的價(jià)值，所以不用太擔(dān)心。

"黑客"是英文hacker直接音譯過來的，簡(jiǎn)單地說，可將黑客理解為破壞者，黑客一般是利用系統(tǒng)或者軟件的漏洞來入侵用戶電腦，當(dāng)用戶使用了一些較為危險(xiǎn)的操作時(shí)就會(huì)給黑客創(chuàng)造機(jī)會(huì)。

疑問：為何通過軟件的漏洞可以入侵電腦？
條件是軟件是有控制電腦的權(quán)限嗎？

如今的『黑客』定義：
黑客一詞，原意是指計(jì)算機(jī)技術(shù)水平高超的電腦專家，尤其是指程序設(shè)計(jì)人員。但到
了今天，黑客一詞已被用于泛指那些專門利用電腦網(wǎng)絡(luò)搞破壞或惡作劇的家伙，而對(duì)這些
人正確的英文叫法是cracker，音譯為"駭客"。黑客與駭客的主要區(qū)別是黑客們修補(bǔ)相關(guān)
漏洞，而駭客們卻抓住這些漏洞對(duì)其他電腦進(jìn)行入侵。

黑客的發(fā)展：
在網(wǎng)絡(luò)發(fā)展初期，網(wǎng)絡(luò)方面的立法還不夠健全，黑客在法律的漏洞下可以為所欲為。
目前各國(guó)法律的發(fā)展速度仍落后于互聯(lián)網(wǎng)的發(fā)展速度，在黑客活動(dòng)轉(zhuǎn)入地下以后，其攻擊
的隱蔽性更強(qiáng)，使得當(dāng)前法律和技術(shù)缺乏針對(duì)網(wǎng)絡(luò)犯罪卓有成效的法紀(jì)和跟蹤手段，無規(guī)
范的黑客活動(dòng)已經(jīng)成為網(wǎng)絡(luò)安全的重要威脅。

紅客

"紅客"一詞源于黑客，它是指維護(hù)國(guó)家利益，不利用網(wǎng)絡(luò)技術(shù)入侵自己國(guó)家的電
腦，而是維護(hù)正義，為自己國(guó)家爭(zhēng)光的黑客。在中國(guó)，紅色有著特定的價(jià)值含義，代表
正義、道德、進(jìn)步、強(qiáng)大等。紅客是一種精神，它是一種熱愛祖國(guó)、堅(jiān)持正義、開拓進(jìn)
取的精神。所以只要具備這種精神并熱愛著計(jì)算機(jī)技術(shù)的人都可稱為紅客。紅客通常會(huì)
利用自己掌握的技術(shù)去維護(hù)國(guó)內(nèi)網(wǎng)絡(luò)的安全，并對(duì)外來的進(jìn)攻進(jìn)行還擊。

1.2.網(wǎng)絡(luò)攻擊基礎(chǔ) -- 認(rèn)識(shí)網(wǎng)絡(luò)協(xié)議

什么是網(wǎng)絡(luò)協(xié)議？

網(wǎng)絡(luò)協(xié)議是指為在計(jì)算機(jī)網(wǎng)絡(luò)中進(jìn)行數(shù)據(jù)交換而建立的規(guī)則，標(biāo)準(zhǔn)或約定的集合。常見的網(wǎng)絡(luò)協(xié)議有 TCP/IP協(xié)議簇，ARP協(xié)議，ICMP協(xié)議和SMTP協(xié)議，除此之外還有UDP協(xié)議，IPX/SPX協(xié)議等。

1）TCP/IP協(xié)議
傳輸控制協(xié)議/因特網(wǎng)互聯(lián)協(xié)議，又叫網(wǎng)絡(luò)通信協(xié)議。眾所周知，如今計(jì)算機(jī)接入互聯(lián)網(wǎng)后都要設(shè)置TCP/IP協(xié)議，因此TCP/IP協(xié)議是互聯(lián)網(wǎng)最基本的協(xié)議，也是國(guó)際互聯(lián)網(wǎng)網(wǎng)絡(luò)的基礎(chǔ)。
TCP/IP定義了計(jì)算機(jī)如何連入因特網(wǎng)，以及數(shù)據(jù)如何在其中傳輸?shù)臉?biāo)準(zhǔn)。
TCP/IP包含了兩層協(xié)議，即TCP協(xié)議和IP協(xié)議。其中高層的TCP協(xié)議負(fù)責(zé)收集信息或者把文件拆分為更小的數(shù)據(jù)包。發(fā)送端將這些數(shù)據(jù)包通過網(wǎng)絡(luò)傳送到接收端的TCP層，接受端的TCP層把數(shù)據(jù)還原為原始文件；而低層的IP協(xié)議則處理每個(gè)數(shù)據(jù)包的地址部分，使得網(wǎng)絡(luò)上的網(wǎng)關(guān)計(jì)算機(jī)能夠識(shí)別數(shù)據(jù)包的地址并進(jìn)行路由選擇，從而讓這些數(shù)據(jù)包能夠正確到達(dá)目的地。

TCP/IP協(xié)議簇： https://baike.baidu.com/item/tcp%2Fip協(xié)議簇

2）ARP協(xié)議（ARP欺騙攻擊必知）

ARP，即地址解析協(xié)議。
作用：它能夠通過已知的IP地址來獲取與其對(duì)應(yīng)的物理地址（MAC 地址）。
在TCP/IP網(wǎng)絡(luò)環(huán)境下，每個(gè)主機(jī)都分配了一個(gè)32bit（比特）的IP地址（如 220.248.138.166），它是在網(wǎng)絡(luò)中標(biāo)識(shí)主機(jī)的一種邏輯地址，如果想要成功地將報(bào)文（網(wǎng)絡(luò)中主機(jī)之間交換與傳輸?shù)臄?shù)據(jù)單元）傳送給目的主機(jī)，則必須知道目的主機(jī)的物理地址，此時(shí)就可以使用ARP協(xié)議將目的主機(jī)的IP地址轉(zhuǎn)換為物理地址。

簡(jiǎn)單地說，ARP協(xié)議就是主機(jī)在發(fā)送報(bào)文之前將目標(biāo)主機(jī)的IP地址轉(zhuǎn)換為與之對(duì)應(yīng)的MAC地址的過程。
談到ARP就離不開ARP欺騙，第五章將會(huì)介紹ARP欺騙的工作原理以及方法方法。

3）ICMP協(xié)議
即Internet控制報(bào)文協(xié)議，它是TCP/IP協(xié)議簇中的一個(gè)子協(xié)議，用于在IP主機(jī)，路由器之間傳遞控制消息?？刂葡ňW(wǎng)絡(luò)通不通，主機(jī)是否存在，路由是否可用等網(wǎng)絡(luò)本身的消息，這些控制消息雖然并不傳遞用戶數(shù)據(jù)，但是對(duì)于用戶數(shù)據(jù)的傳遞起著非常重要的作用。
ICMP在網(wǎng)絡(luò)中提供了一致，易懂的出錯(cuò)報(bào)告信息，將發(fā)送的出錯(cuò)報(bào)文返回到發(fā)送數(shù)據(jù)的主機(jī)。ICMP唯一的功能是報(bào)告問題，而不是解決問題，解決問題的任務(wù)由發(fā)送方完成。
這是因?yàn)檫@樣（可以任意檢測(cè)，比如ping啊什么的），使得它非常容易被用于攻擊網(wǎng)絡(luò)上的路由器和主機(jī)。例如：
Ping Of Death攻擊，在還沒有發(fā)布限制發(fā)送ICMP數(shù)據(jù)包大小的補(bǔ)丁之前，操作系統(tǒng)規(guī)定了ICMP數(shù)據(jù)包的最大尺寸不超過64KB，因此Ping Of Death根據(jù)這一規(guī)定向主機(jī)發(fā)起攻擊。其工作原理是：如果ICMP數(shù)據(jù)包的尺寸超過64KB上限時(shí)，主機(jī)出現(xiàn)內(nèi)存分配錯(cuò)誤，導(dǎo)致TCP/IP堆棧崩潰，致使主機(jī)死機(jī)。

提示：檢測(cè)
網(wǎng)絡(luò)通不通：可以ping
主機(jī)是否存在：
路由是否可用：
https://segmentfault.com/q/1010000013441887

洪水攻擊
洪水攻擊是現(xiàn)在黑客比較常用的一種攻擊技術(shù)，特點(diǎn)是實(shí)施簡(jiǎn)單，威力強(qiáng)大，無論電腦的防護(hù)措施多么好，都很難保證不受到該攻擊。常見的洪水攻擊包含MAC泛洪，網(wǎng)絡(luò)泛洪和應(yīng)用程序泛洪。
MAC泛洪是指攻擊者進(jìn)入局域網(wǎng)內(nèi)，將假冒的源MAC地址和目的MAC地址數(shù)據(jù)幀發(fā)送到以太網(wǎng)上，使得假冒的源MAC地址和目標(biāo)MAC地址塞滿交換機(jī)的MAC地址表，導(dǎo)致交換機(jī)無法正確地傳送數(shù)據(jù)。
網(wǎng)絡(luò)泛洪包括：Smurf和DDoS。其中Smurf是指攻擊者假冒ICMP廣播ping，如果路由器沒有關(guān)閉定向廣播，那攻擊者就可以在某個(gè)網(wǎng)絡(luò)對(duì)其他網(wǎng)絡(luò)發(fā)送定向廣播ping，網(wǎng)絡(luò)中的主機(jī)越多，造成的結(jié)果就越嚴(yán)重，因?yàn)槊總€(gè)主機(jī)都會(huì)默認(rèn)相應(yīng)這個(gè)ping，導(dǎo)致鏈路流量過大而拒絕服務(wù)。而DDoS是指攻擊者將DDoS控制軟件安裝到連接到互聯(lián)網(wǎng)的系統(tǒng)中，并使之感染其他系統(tǒng)，然后攻擊者將攻擊指令發(fā)送給DDoS控制軟件，讓DDoS控制的系統(tǒng)向某個(gè)IP發(fā)送大量假冒的網(wǎng)絡(luò)流量，受攻擊者的網(wǎng)絡(luò)將被這些假的流量所占據(jù)，導(dǎo)致無法為它們的正常用戶提供服務(wù)。
應(yīng)用程序泛洪的目的就是消耗應(yīng)用程序或者系統(tǒng)資源，常見的形式就是垃圾郵件。

4）SMTP協(xié)議（郵件攻擊必知）
SMTP，即簡(jiǎn)單郵件傳輸協(xié)議，它是一組用于由源地址到目的地址傳送郵件的規(guī)則，由它來控制信件的中轉(zhuǎn)方式。SMTP協(xié)議屬于TCP/IP協(xié)議簇，它幫助每臺(tái)計(jì)算機(jī)在發(fā)送或中轉(zhuǎn)信件時(shí)找到下一個(gè)目的地，通過SMTP協(xié)議所指定的服務(wù)器就可以把電子郵件寄到收件人的服務(wù)器上了，整個(gè)過程只需要幾分鐘。

疑問：幾分鐘是很長(zhǎng)的?。?br> https://segmentfault.com/q/1010000013443514?_ea=3381060

由于SMTP協(xié)議是與郵件傳輸有關(guān)的協(xié)議，因此提到SMTP就不得不讓人想起郵件攻擊，將在第9章具體介紹郵件攻擊與防范的相關(guān)內(nèi)容。

1.3 IP地址與端口

（黑客必須經(jīng)過的兩道門）
黑客攻擊其他人的電腦必須確定目標(biāo)主機(jī)的IP地址和掃描目標(biāo)主機(jī)的開放端口。因此目標(biāo)主機(jī)的IP地址和開放端口對(duì)于黑客來說是非常重要的信息，也是黑客入侵主機(jī)的必備信息。

端口是計(jì)算機(jī)與外界通信交流的端口，而IP地址則是網(wǎng)絡(luò)中主機(jī)的重要標(biāo)識(shí)之一，因此用戶如果想要了解黑客是怎樣獲取IP地址和掃描開放端口的，則必須首先知道什么是IP地址和端口。

1）IP地址
IP地址就是給每個(gè)連接在互聯(lián)網(wǎng)上的主機(jī)分配的一個(gè)32bit（比特）地址。按照TCP/
IP協(xié)議規(guī)定，IP地址用二進(jìn)制來表示，每個(gè)IP地址長(zhǎng)32bit。比特?fù)Q算成字節(jié)，就是4個(gè)字
節(jié)，例如一個(gè)采用二進(jìn)制形式的IP地址是11000000101010000000000100000001，這么
長(zhǎng)的IP地址處理起來會(huì)很費(fèi)勁，因此為了方便人們的使用，IP地址經(jīng)常被寫成十進(jìn)制的形
式，中間使用符號(hào)"."分開不同的字節(jié)，所以上面的IP地址可以寫成192.168.1.1。IP地
址的這種記法叫做點(diǎn)分十進(jìn)制表示法，這顯然比一長(zhǎng)串的1和0要好記得多。
互聯(lián)網(wǎng)中的每個(gè)接口都必須有一個(gè)唯一的IP地址，該地址并不是采用平面形式的地址
空間，它具有一定的結(jié)構(gòu)，一般情況下IP地址可分為A、B、C、D、E 5大類。

A類IP地址由1個(gè)字節(jié)的網(wǎng)絡(luò)地址和3個(gè)字節(jié)主機(jī)地址組成，網(wǎng)絡(luò)地址的最高位必須是 
"0"，其地址范圍為1.0.0.1～126.255.255.254?？捎玫腁類網(wǎng)絡(luò)有126個(gè)，每個(gè)網(wǎng)絡(luò)能夠 
容納16 777 214個(gè)主機(jī)。 
B類IP地址由2個(gè)字節(jié)的網(wǎng)絡(luò)地址和2個(gè)字節(jié)的主機(jī)地址組成，網(wǎng)絡(luò)地址的最高位必須是"10"，其地址范圍為128.0.0.1～191.255.255.254。可用的B類網(wǎng)絡(luò)有16 384個(gè)，每個(gè)網(wǎng) 
絡(luò)能夠容納65  534個(gè)主機(jī)。 
C類IP地址由3個(gè)字節(jié)的網(wǎng)絡(luò)地址和1個(gè)字節(jié)的主機(jī)地址組成，網(wǎng)絡(luò)地址的最高位必 
須是"110"，其地址范圍為192.0.0.1～223.255.255.254。其中192.168.0.0～192. 
168.255.255為私有IP地址，C類網(wǎng)絡(luò)可達(dá)2  097  150個(gè)，每個(gè)網(wǎng)絡(luò)能容納254個(gè)主機(jī)。 
D類IP地址用于多點(diǎn)廣播，其第一個(gè)字節(jié)以"1110"開始。它是一個(gè)專門保留的地址， 
不能在互聯(lián)網(wǎng)上作為接點(diǎn)地址使用。其地址范圍為224.0.0.1～239.255.255.254。
E類IP地址用于實(shí)驗(yàn)和開發(fā)，也不能在互聯(lián)網(wǎng)上使用。其第一個(gè)字節(jié)以"1111"開始， 
為將來使用保留。
除了以上5類IP地址之外，還有兩個(gè)IP地址，即全"0"地址（0.0.0.0）和全"1"地 
址（255.255.255.255），其中全"0"地址是指任意網(wǎng)絡(luò)，全"1"地址是廣播地址（現(xiàn)在 
CISCO上可以使用全0地址）。一般常用的為A、B、C  3類地址。 

2）端口

簡(jiǎn)單地說，端口就是計(jì)算機(jī)和外界連接的通道。
為了解釋清楚端口，接下來用房子來打個(gè)比方，端口就好比房子的門窗，它是信息出入的必經(jīng)通道。另外，就如不同的門窗有不同的用處一樣，不同的端口也有不同的功能，例如：
使用瀏覽器瀏覽網(wǎng)頁用的是80號(hào)端口。計(jì)算機(jī)上可開啟的端口數(shù)值范圍為1～65535。

常用端口：

有21號(hào)端口（FTP——文件傳輸協(xié)議）、
23號(hào)端口（Telnet——遠(yuǎn)程登錄協(xié) 
議）、
53號(hào)端口（DNS——域名服務(wù)器）、
79號(hào)端口（finger——查看機(jī)器的運(yùn)行情況）、 
80號(hào)端口（HTTP——超文本傳輸協(xié)議）、
110號(hào)端口（POP——郵局協(xié)議）、139號(hào)端口 
（NetBIOS服務(wù)，即共享服務(wù)）、
3389號(hào)端口（用于遠(yuǎn)程登錄）。

端口按照端口號(hào)的分布可分為:
公認(rèn)端口、注冊(cè)端口以及動(dòng)態(tài)和私有端口。

公認(rèn)端口，也稱常用端口。這類端口包括0～1023號(hào)端口，它們緊密地綁定一些特定的
服務(wù)。通常這些端口的通信明確地表明了某種服務(wù)的協(xié)議，這類端口不可再重新定義它的
作用對(duì)象。

注冊(cè)端口，包括1024～49151號(hào)端口，它們松散地綁定于一些服務(wù)。也就是說有許多服
務(wù)綁定于這些端口，這些端口同樣用于許多其他的目的。這些端口多數(shù)沒有明確的定義服
務(wù)對(duì)象，不同程序可以根據(jù)實(shí)際需要自己定義。這些端口會(huì)定義一些遠(yuǎn)程控制軟件和木馬
程序，因此對(duì)這些端口的防護(hù)和查殺是非常有必要的。

動(dòng)態(tài)和私有端口，包括49152～65535號(hào)端口，從理論上講不應(yīng)該把常用服務(wù)分配在
這些端口上。但實(shí)際上有些較為特殊的程序，特別是一些木馬程序就非常喜歡使用這些端
口，因?yàn)檫@些端口常常不會(huì)引起注意，容易隱藏。

3）IP

IP地址是網(wǎng)絡(luò)中主機(jī)的重要標(biāo)識(shí)之一，因此電腦中安裝了網(wǎng)卡之后，需要對(duì)電腦設(shè)置IP地址后才可以連接到網(wǎng)絡(luò)。設(shè)置IP地址的操作方法如下所示。

圖片.png

圖片.png

圖片.png

圖片.png

提示：
設(shè)置連接了路由器的電腦IP地址。
當(dāng)用戶使用路由器實(shí)現(xiàn)共享上網(wǎng)時(shí)，由于路由器具有自動(dòng)分配IP地址的功能，因此用戶在設(shè)置電腦IP地址時(shí)只需要選擇自動(dòng)獲得IP地址和DNS服務(wù)器即可。

查看目標(biāo)主機(jī)的端口方式：

• 端口掃描軟件（X-Scan,SuperScan）
  （端口掃描軟件不僅能夠查看本機(jī)的開放端口，還能查看網(wǎng)絡(luò)中其他電腦的端口）
• 在Win系統(tǒng)或者其他系統(tǒng)中可以使用netstat命令進(jìn)行查看。端口掃描軟件不僅能夠查看本臺(tái)電腦的端口，還能查看網(wǎng)絡(luò)中其他電腦的端口，而netstat命令只能查看本臺(tái)電腦中已經(jīng)開放的端口。
  （netstat命令只能查看本臺(tái)電腦的端口）

4）關(guān)閉與限制端口

系統(tǒng)在默認(rèn)的情況下有很多不安全或者是沒有用的端口是開啟的，因此用戶需要對(duì)這
些端口進(jìn)行關(guān)閉或者限制操作。

1.關(guān)閉端口
當(dāng)用戶安裝了Windows XP操作系統(tǒng)之后，系統(tǒng)中一些不安全的端口在默認(rèn)情況下是開
啟的，例如Telnet服務(wù)的23號(hào)端口、FTP服務(wù)的21號(hào)端口等，這里以Telnet服務(wù)的23號(hào)端口
為例介紹關(guān)閉端口的操作步驟。

圖片.png

圖片.png

圖片.png

圖片.png

2.限制端口

在Windows XP 操作系統(tǒng)中，除了關(guān)閉端口對(duì)應(yīng)的服務(wù)之外，還可以使用TCP/IP篩選功能限制電腦的某些端口。

圖片.png

圖片.png

圖片.png

1.4 認(rèn)識(shí)系統(tǒng)進(jìn)程

進(jìn)程是指程序在電腦上的一次執(zhí)行活動(dòng)，當(dāng)用戶運(yùn)行了一個(gè)程序時(shí)，就啟動(dòng)了一個(gè)進(jìn)程。進(jìn)程可以分為系統(tǒng)進(jìn)程和用戶進(jìn)程。范式用于完成操作系統(tǒng)的各種功能的進(jìn)程就是系統(tǒng)進(jìn)程，然而就是出于運(yùn)行狀態(tài)下的操作系統(tǒng)本身；用戶進(jìn)程就是所有由用戶啟動(dòng)的進(jìn)程。本節(jié)主要講系統(tǒng)進(jìn)程的相關(guān)知識(shí)。

1）系統(tǒng)進(jìn)程概述
系統(tǒng)進(jìn)程是系統(tǒng)能夠正常運(yùn)行的基本條件，有了這些進(jìn)程，系統(tǒng)才能正常運(yùn)行，按下Ctrl+Alt+Delete組合鍵后可在任務(wù)管理器的進(jìn)程選項(xiàng)卡夏看見所有的進(jìn)程，當(dāng)然也包括系統(tǒng)進(jìn)程，Windows XP系統(tǒng)中基本的系統(tǒng)進(jìn)程以及對(duì)應(yīng)的含義可以參見下圖：

圖片.png

除了這些基本的進(jìn)程之外，XP系統(tǒng)還有很多附件的系統(tǒng)進(jìn)程，比如：mstask.exe（允許程序在指定時(shí)間運(yùn)行），regsvc.exe（允許遠(yuǎn)程注冊(cè)表操作）和winmgmt.exe（提供系統(tǒng)管理信息）等進(jìn)程。要是想關(guān)閉一些附件的系統(tǒng)進(jìn)程，用戶只需要在服務(wù)窗口中關(guān)閉與之對(duì)應(yīng)的服務(wù)即可。

2）關(guān)閉與新建系統(tǒng)進(jìn)程
用戶可以對(duì)系統(tǒng)進(jìn)程進(jìn)行關(guān)閉與新建操作，但是并非所有的系統(tǒng)進(jìn)程都能夠被關(guān)閉或者新建，例如：svchost.exe進(jìn)程，關(guān)閉該進(jìn)程可能會(huì)導(dǎo)致系統(tǒng)自動(dòng)重啟，因此這里以explorer.exe進(jìn)程為例介紹關(guān)閉與新建系統(tǒng)進(jìn)程的操作。

圖片.png

圖片.png

圖片.png

提示：查看系統(tǒng)進(jìn)程時(shí)要仔細(xì)
在常見的系統(tǒng)進(jìn)程中，越是被用戶熟悉的進(jìn)程越容易被病毒所利用，例如：
explorer.exe，svchost.exe，spoolsv.exe，winlogon.exe，rundll32.exe。例如在2006年流行的威金病毒，其進(jìn)程主要是：rund1132.exe，log_1.exe，vd11.dll,logo1_.exe等，不法分子就是利用1和l等字母與數(shù)字的相似性來偽裝病毒。所以用戶在查看系統(tǒng)進(jìn)程時(shí)一定要仔細(xì)，房子類似系統(tǒng)進(jìn)程的病毒乘虛而入。

1.5 認(rèn)識(shí)病毒

電腦在各行各業(yè)大量使用的同時(shí)，病毒也隨之滲透到了電腦世界的每個(gè)角落，常常以人們意向不到的方式侵入電腦系統(tǒng)，并且造成了驗(yàn)證的破壞，因此掌握計(jì)算機(jī)病毒的基本方式是防范計(jì)算機(jī)病毒入侵電腦的前提。

1）病毒概述

計(jì)算機(jī)病毒是指編制或者在計(jì)算機(jī)程序中插入的一組計(jì)算機(jī)指令或者程序代碼，這組指令或者代碼能夠破壞計(jì)算機(jī)的功能，影響計(jì)算機(jī)的使用，同事它能夠自我復(fù)制。
病毒不是來源于突發(fā)或者偶然的原因，一次突發(fā)的停電或者操作部當(dāng)，可能會(huì)在計(jì)算機(jī)的磁盤和內(nèi)存中產(chǎn)生一些代碼和隨機(jī)指令，但是這些代碼和指令是無需和混亂的，而病毒則是一組比較完美的，精巧嚴(yán)謹(jǐn)?shù)拇a，并且按照嚴(yán)格的次序組織起來。病毒是由人故意編寫，目的是想要謀求一些不正當(dāng)?shù)睦妗?/p>

1.計(jì)算機(jī)病毒的分類
計(jì)算機(jī)病毒的分類是相對(duì)的，同一種病毒按照不同的分類可以屬于不同的類型。

• 按照計(jì)算機(jī)病毒的傳染方式可分為引導(dǎo)型、文件型和混合型病毒。
• 按照計(jì)算機(jī)病毒的連接方式可分為源碼型、入侵型、操作系統(tǒng)型和外殼型病毒。
• 按照計(jì)算機(jī)病毒的破壞性可以分為良性病毒和惡性病毒。

除此之外，還有宏病毒、網(wǎng)絡(luò)病毒等，其中網(wǎng)絡(luò)病毒只在網(wǎng)上運(yùn)行和傳播，是影響和
破壞網(wǎng)絡(luò)系統(tǒng)的病毒；宏病毒是一種寄存在文檔或模板的宏中的計(jì)算機(jī)病毒，按傳染方式分類屬于文件型病毒。

在word中， 宏是一個(gè)批量處理程序命令。也就是說是可以執(zhí)行的代碼。

2.計(jì)算機(jī)病毒的特點(diǎn)
根據(jù)計(jì)算機(jī)病毒的產(chǎn)生，傳染和破壞欣慰，可以總結(jié)出病毒的特點(diǎn)：

1）刻意人為破壞：計(jì)算機(jī)病毒不是偶然發(fā)生的，而是人為編寫的有意破壞、精巧嚴(yán)謹(jǐn) 
的程序段，它是嚴(yán)格組織的程序代碼，與所在環(huán)境相互適應(yīng)并緊密配合。 
2）破壞性：計(jì)算機(jī)中毒后，可能會(huì)導(dǎo)致正常的程序無法運(yùn)行，按照指令將計(jì)算機(jī)內(nèi)部 
的文件刪除或者格式化磁盤等操作，對(duì)計(jì)算機(jī)造成不同程度的損壞。 
3）傳染性：計(jì)算機(jī)病毒不但本身具有破壞性，更可怕的是具有傳染性，一旦病毒被復(fù) 
制，其傳染速度快得令人難以預(yù)防。傳染性是病毒的基本特征。 
4）奪取系統(tǒng)控制權(quán)：計(jì)算機(jī)病毒為了達(dá)到感染、破壞系統(tǒng)的目的，必須要取得系統(tǒng)的 
控制權(quán)，反病毒技術(shù)也正是抓住計(jì)算機(jī)病毒的這一特點(diǎn)提前取得系統(tǒng)控制權(quán)，然后識(shí)別計(jì) 
算機(jī)病毒的代碼和行為。 
5）隱蔽性：計(jì)算機(jī)受到病毒的傳染后仍然能夠正常運(yùn)行，被感染的程序也能夠執(zhí)行， 
用戶將不會(huì)感覺到明顯的異常。不經(jīng)過程序代碼分析或者殺毒軟件的掃描，病毒程序與正 
常程序是不易被區(qū)分開的。 
6）潛伏性：潛伏性的第一種表現(xiàn)是指病毒程序不用專用檢測(cè)程序是檢查不出來的， 
因此病毒可以靜靜地躲在磁盤或者文件里幾天甚至幾年，一旦時(shí)機(jī)成熟，得到運(yùn)行機(jī)會(huì)， 
就會(huì)四處繁殖、擴(kuò)散，危害其他的電腦；第二種表現(xiàn)是指計(jì)算機(jī)病毒的內(nèi)部往往有一種觸 
發(fā)機(jī)制，不滿足觸發(fā)條件時(shí)，計(jì)算機(jī)病毒除了傳染外不做任何破壞。觸發(fā)條件一旦得到滿 
足，有的在屏幕上顯示信息、圖形或特殊標(biāo)識(shí)，有的則執(zhí)行破壞系統(tǒng)的操作，如格式化磁 
盤、刪除磁盤文件等。 
7）不可預(yù)見性：不同種類病毒的代碼千差萬別，并且病毒的制作技術(shù)也在不斷地提 
高，病毒比反病毒軟件永遠(yuǎn)是超前的。新的操作系統(tǒng)和應(yīng)用系統(tǒng)的出現(xiàn)，軟件技術(shù)的不斷 
發(fā)展，也為計(jì)算機(jī)病毒提供了新的發(fā)展空間，對(duì)未來病毒的預(yù)測(cè)將會(huì)更加困難。這就要求 
人們不斷提高對(duì)病毒的認(rèn)識(shí)，增強(qiáng)防范意識(shí)。

計(jì)算機(jī)病毒的傳播途徑

了解病毒的概念和特點(diǎn)之后，就要了解最重要的一點(diǎn)，就是計(jì)算機(jī)病毒的傳播途徑，常見的傳播途徑有：移動(dòng)存儲(chǔ)設(shè)備傳播，局域網(wǎng)傳播，互聯(lián)網(wǎng)傳播等。

a）移動(dòng)存儲(chǔ)設(shè)備傳播
U盤、手機(jī)、移動(dòng)硬盤等移動(dòng)存儲(chǔ)設(shè)備的出現(xiàn)雖然 
方便了人們對(duì)電腦數(shù)據(jù)和資源的攜帶與移動(dòng)，但這也是計(jì)算機(jī)病毒傳播的主要途徑之一。
一旦將帶有病毒的U盤或者手機(jī)與電腦相連接，病毒就會(huì)悄無聲息地入侵到電腦中隱蔽起來。
b）局域網(wǎng)傳播
局域網(wǎng)是由相互連接的一組計(jì)算機(jī)組成的，這是數(shù)據(jù)共享和相互協(xié)作的需要。 
組成局域網(wǎng)的每一臺(tái)計(jì)算機(jī)都能連接到其他計(jì)算機(jī)，數(shù)據(jù)也能從一臺(tái)計(jì)算機(jī)發(fā)送到其他計(jì)算機(jī)上，如果發(fā)送的數(shù)據(jù)感染了病毒，則接收的計(jì)算機(jī)也會(huì)遭受病毒的感染，從而導(dǎo)致在很短的時(shí)間內(nèi)感染整個(gè)局域網(wǎng)中的計(jì)算機(jī)。局域網(wǎng)的出現(xiàn)為企業(yè)的發(fā)展做出了貢獻(xiàn)，同事也為計(jì)算機(jī)病毒鋪平了道路。因此一旦發(fā)現(xiàn)局域網(wǎng)中某一臺(tái)電腦傳染病毒之后，應(yīng)該及時(shí)拔掉本臺(tái)電腦與局域網(wǎng)的網(wǎng)線，盡最大可能防止本臺(tái)電腦遭受病毒的感染，同時(shí)立即使用殺毒軟件掃描電腦。
c）互聯(lián)網(wǎng)傳播：隨著網(wǎng)絡(luò)的普及，當(dāng)人們?cè)谑褂秒娮余]件相互發(fā)送郵件、瀏覽器網(wǎng)頁、下載軟件時(shí)多可能使電腦遭受病毒的入侵，這也是的通過互聯(lián)網(wǎng)傳播病毒稱為當(dāng)前計(jì)算機(jī)病毒主要的傳播方式之一。

圖片.png

計(jì)算機(jī)病毒一般都是通過各種方式把自己植入內(nèi)存，獲取系統(tǒng)最高控制權(quán)，然后感染在內(nèi)存中運(yùn)行的程序。計(jì)算機(jī)系統(tǒng)的內(nèi)存是一個(gè)非常重要的資源，系統(tǒng)所有的程序都是在內(nèi)存中運(yùn)行，一旦內(nèi)存感染病毒后，系統(tǒng)中所有運(yùn)行過的程序都有可能會(huì)被病毒感染，而感染哪些文件則是由病毒的特征所決定的。

程序型病毒是目前最多的一類病毒，它主要感染擴(kuò)展名為.exe的可執(zhí)行文件和擴(kuò)展名為.dll的動(dòng)態(tài)鏈接庫文件。例如：很多的蠕蟲病毒，其實(shí)蠕蟲病毒不是一個(gè)病毒，而是一個(gè)種類。它的特點(diǎn)就是針對(duì)目前互聯(lián)網(wǎng)的高速發(fā)展，主要在網(wǎng)絡(luò)上傳播，當(dāng)蠕蟲病毒感染了一臺(tái)電腦之后，它可以自動(dòng)把自己通過網(wǎng)絡(luò)發(fā)送出去，例如發(fā)送給同一局域網(wǎng)中的其他用戶或者自動(dòng)讀取電腦上的E-mail列表，自動(dòng)向好友們發(fā)送帶有木馬的電子郵件等。蠕蟲病毒并不會(huì)破壞計(jì)算機(jī)里的信息，但是會(huì)瘋狂地感染其他電腦，感染了蠕蟲病毒的電腦會(huì)不停地向外發(fā)送信息，占用CPU資源達(dá)到80%以上，造成電腦運(yùn)行緩慢，網(wǎng)絡(luò)擁塞，甚至可以導(dǎo)致網(wǎng)絡(luò)癱瘓。

對(duì)于程序型病毒，也許有人會(huì)說："只要我啟動(dòng)電腦后不運(yùn)行染毒程序，直接將它們刪除不久可以了嗎？" 實(shí)際上，現(xiàn)在的病毒沒有這么簡(jiǎn)單，例如引導(dǎo)型病毒，引導(dǎo)型病毒感染的不是文件，而是磁盤引導(dǎo)區(qū)，它把自己寫入引導(dǎo)區(qū)，這樣一來，只要讀寫磁盤，病毒就會(huì)被讀取入內(nèi)存，這就是為什么殺毒要用干凈的啟動(dòng)盤啟動(dòng)，為的就是防止引導(dǎo)型病毒。

無論哪種病毒，它都是首先把自己復(fù)制到內(nèi)存中，然后感染在內(nèi)存中運(yùn)行的其他文件，而沒有被讀入內(nèi)存的文件是不會(huì)被感染的。所以，內(nèi)存和殺毒軟件爭(zhēng)奪的焦點(diǎn)就在多去內(nèi)存控制權(quán)。

3.防范計(jì)算機(jī)病毒的常用技巧

有些病毒感染電腦后會(huì)隱蔽一段時(shí)間，因此對(duì)于這類病毒是比較難以判斷，而有的病毒則會(huì)立即發(fā)作，造成電腦藍(lán)屏，死機(jī)等故障。電腦感染病毒后可能會(huì)出現(xiàn)系統(tǒng)運(yùn)行、IE
彈出無限多的窗口、計(jì)算機(jī)自動(dòng)關(guān)機(jī)、所有文件的圖標(biāo)都變成統(tǒng)一圖案（如熊貓燒香）、
系統(tǒng)時(shí)間被更改等癥狀。當(dāng)電腦出現(xiàn)這些癥狀時(shí)，應(yīng)立即使用殺毒軟件掃描并查殺系統(tǒng)。
為了阻止病毒入侵電腦，用戶必須掌握下面幾種防范病毒入侵的常用技巧。

1）使用U盤前先殺毒：U盤是病毒傳播的主要途徑之一。許多用戶在將U盤接入電腦后
直接就雙擊打開，這樣很有可能使得病毒感染電腦。正確的操作方法是首先使用殺毒軟件
掃描或者在資源管理器左側(cè)的文件夾中操作。
2）不要輕易打開網(wǎng)頁上的廣告：不要輕易打開不熟悉的網(wǎng)站或者廣告網(wǎng)頁，這些網(wǎng)頁
中很有可能帶有病毒和木馬，一旦打開將會(huì)使病毒或木馬入侵電腦。
3）不要輕易打開陌生人發(fā)來的網(wǎng)頁鏈接和文件：隨著QQ、MSN等通信軟件的流行，一
些不法分子可能利用這些軟件向其他人發(fā)送帶有病毒或木馬的文件或者網(wǎng)頁鏈接，一旦打
開這些網(wǎng)頁和文件，系統(tǒng)就會(huì)遭受病毒和木馬的入侵。
4）不要打開不明身份的電子郵件：網(wǎng)絡(luò)中的電子郵箱為用戶提供了很大的方便，用
戶可以與世界上任何一個(gè)角落的網(wǎng)絡(luò)用戶聯(lián)系。但是有些不法分子會(huì)向其他用戶發(fā)送帶
有病毒和木馬的電子郵件，收到陌生人發(fā)送的郵件時(shí)，不要輕易打開，建議先使用殺毒
軟件進(jìn)行掃描。

1.6 黑客常用的DOS命令

黑客在入侵目標(biāo)主機(jī)的過程中會(huì)使用一些DOS命令進(jìn)行探測(cè)并且獲取目標(biāo)主機(jī)的信息，比如：ping,netstat,net等命令，這些命令是黑客入門必須掌握的DOS命令知識(shí)。

1）ping
ping命令是Win或者其他系統(tǒng)自帶的可以執(zhí)行的命令，利用它可以檢查網(wǎng)絡(luò)是否連通，從而幫助用戶分析判定網(wǎng)絡(luò)故障，該命令只有在安裝TCP/IP協(xié)議后才能使用。

ping命令的主要作用是通過發(fā)送數(shù)據(jù)包并接收應(yīng)答的數(shù)據(jù)包來檢測(cè)網(wǎng)絡(luò)是否通暢。需要注意的是：一次或者兩次的數(shù)據(jù)包交換并不表示TCP/IP配置就是正確的，本地主機(jī)與遠(yuǎn)程主機(jī)必須執(zhí)行大量的數(shù)據(jù)包交換，才能確保TCP/IP配置的正確性。
（檢測(cè)IP或者域名）

2）netstat
Netstat是一個(gè)監(jiān)控TCP/IP網(wǎng)絡(luò)的非常有用的工具，它可以顯示路由表、實(shí)際的網(wǎng)絡(luò)連接以及每個(gè)網(wǎng)絡(luò)接口設(shè)備的狀態(tài)信息。netstat用于顯示與IP，TCP，UDP，和ICMP協(xié)議相關(guān)的統(tǒng)計(jì)數(shù)據(jù)，一般用于檢驗(yàn)本機(jī)各個(gè)端口的網(wǎng)絡(luò)連接情況。
（檢測(cè)本機(jī)各個(gè)端口）

Netstat命令常用的參數(shù)有：[-a]、[-e]、[-n]、[-o]、[-r]、[-s]，其用法如下所示。

1. netstat -a: 顯示所有連接和監(jiān)聽的端口。
2. netstat -e: 顯示以太網(wǎng)的統(tǒng)計(jì)信息，此選項(xiàng)可以與-s組合使用。
3. netstat -n： 以數(shù)字形式顯示主機(jī)地址和端口號(hào)。

3）ipconfig （在mac,linux中是ifconfig）
ipconfig命令可用于顯示當(dāng)前電腦的TCP/IP配置的設(shè)置值。這些信息一般用來檢驗(yàn)人工配置的TCP/IP是否正確。但是，如果用戶的電腦與所在的局域網(wǎng)使用了動(dòng)態(tài)主機(jī)配置協(xié)議（類似于撥號(hào)上網(wǎng)的動(dòng)態(tài)IP分配），使用這個(gè)命令所顯示的信息會(huì)更加實(shí)用。此時(shí)，該命令可以讓用戶了解自己的電腦是否成功地租用到一個(gè)IP地址，如果租用到則可以了解它目前分配到的是什么地址。了解計(jì)算機(jī)當(dāng)前的IP地址、子網(wǎng)掩碼和默認(rèn)網(wǎng)關(guān)實(shí)際上是進(jìn)行測(cè)試和故障分析的必要項(xiàng)目。

4）
net命令是一種基于網(wǎng)絡(luò)的命令，屬于命令行命令，它內(nèi)置于Windows系統(tǒng)中，該命令
的功能很強(qiáng)大，可以管理網(wǎng)絡(luò)、環(huán)境、服務(wù)用戶、登錄等本地以及遠(yuǎn)程信息。下面介紹net
命令不同參數(shù)的基本用法。

5）telnet（現(xiàn)在過時(shí)了，不是很安全，應(yīng)該使用ssh）

黑客攻防相關(guān)術(shù)語

1）肉雞
"肉雞"是一種形象的比喻，指那些可以隨意被黑客控制的電腦，對(duì)方可以是Windows系統(tǒng)，也可以是UNIX/Linux系統(tǒng)；可以是普通的個(gè)人電腦，也可以是大型的服務(wù)器，黑客可以像操作自己的電腦那樣來操作它們，而不被對(duì)方所發(fā)覺。
2）掛馬
就是指在別人的網(wǎng)站文件里面放入網(wǎng)頁木馬或者是將代碼潛入到對(duì)方正常的網(wǎng)頁文件里，導(dǎo)致瀏覽者的電腦遭受木馬的入侵。
（在肉雞上面掛馬）
3）后門
這也是一種形象的比喻，黑客在利用某些方法成功地控制了目標(biāo)主機(jī)后，可以在對(duì)方的系統(tǒng)中植入特定的程序，或者是修改某些設(shè)置。這些改動(dòng)表面上是很難被察覺的，但是入侵者卻可以使用相應(yīng)的程序或者方法來輕易地與這臺(tái)電腦建立連接，重新控制這臺(tái)電腦，就如同入侵者偷偷地配了一把主人房間的鑰匙，可以隨時(shí)進(jìn)出而不被主人發(fā)現(xiàn)一樣。通常大多數(shù)的木馬程序都可以被黑客用于制作后門程序。
4）shell
它是一種命令執(zhí)行環(huán)境，Windows中的命令提示符窗口就是win系統(tǒng)的shell執(zhí)行環(huán)境。
5）IPC$
是共享命令管道的資源，它是為了讓進(jìn)程間相互通信而開放的命令管道，可以通過驗(yàn)證用戶和密碼獲得相應(yīng)的權(quán)限，在遠(yuǎn)程管理電腦和查看電腦的共享資源時(shí)使用。
6）免殺
就是利用特殊的算法，將.exe可執(zhí)行程序或者.dll動(dòng)態(tài)鏈接庫文件的編碼進(jìn)行改變（例如，實(shí)現(xiàn)嚴(yán)肅哦，加密），以達(dá)到縮小文件體積或者加密程序編碼，甚至是躲過殺毒軟件查殺目的。目前常用的殼有UPX,ASPack,PePack，免疫007，木馬彩衣等。