Hacker

IP地址：某台计算机(内网地址则是局域网电脑,外网地址则是外部的服务器；)

端口：相应的应用程序或服务；

主机中每个需连接到网络的应用程序，都被赋予在该机上的唯一端口，当任何连接请求到达该端口时，对应的应用程序的通信数据就被发送出去；

1 物理意义上的端口：如连接网络设备（ADSL modem,集线器、交换机、路由器等）的RJ端口、SC端口；

2 逻辑意义上的端口：一般是指TCP/IP端口，与某些逻辑服务相对应；0-65535；一台拥有IP地址的主机可以提供许多服务，如web服务，TCP服务，SMTP服务，主机怎样区分不同的网络服务呢？通过与端口号的绑定；即网络服务（或网络应用程序，或网络通信）＝IP地址+端口号；

1 公认端口：0-1024,大家习惯、或公认的用较固定的端口号与相应的服务绑定，如80的HTTP通信；

2 注册端口：1024-49151；端口号与网络服务没有固定的对应关系，一个端口可用于不同的网络服务绑定；

3 动态和/或私有端口：机器通常从1024开始分配动态端口；

病毒是一种暗侵入计算机并且能够自主生存的可执行程序。病毒会自己寄生在其它软件中，而木马则以独立文件出现，伪装成合法程序；

服务是一种在后台运行的应用程序类型,服务通常可以在本地和通过网络为用户提供一些功能,也就是说,服务只供OS调用,并在后台为OS提供各种功能的支持环境,而OS则负责将各种功能的操作权交给用户,服务可以在用户登录系统前后分别予以加载;

每项服务都是一个具体的文件存在,对应的文件一般都存储在C:\windows\systme32或drives文件夹中,其扩展名一般是exe,sys,dll(被rundll32.exe或rundll.exe程序调用)

服务可以独立存在,也可和其他服务紧密配合运行,关闭某个服务时,有时会影响到储存的组件和服务,它们之间的储存关系可以在某个服务的属性对话框中查看;

扫描过程：

1 主机存活扫描，确定对方主机是否在线（或是否存活，是否激活）（获取IP地址，主机名）；Ping扫描，对目标主机发送Ping命令，根据响应情况确定目标主机是否在线。对防火墙后面主机在线的情况目前还没有成熟的办法；

2 端口扫描：向目标主机发达TCP/IP服务端口发送探测数据包，并记录目标主机的响应，通过分析响应来判断服务端口是打开还是关闭，就可以得知端口提供的服务和信息；

3 漏洞扫描：根据开启的端口和端口上的网络服务，将这些信息与漏洞扫描系统提供的漏洞库进行匹配，查看是否有满足匹配条件的漏洞存在；如测试弱口令等；补丁是否安装？共享和权限怎样分配？

4 获得某些访问权限

5 为了下一次的访问而建立新的安全漏洞、后门；

6 在系统中安装探测软件，包括木马，用以掌握你的一切活动，以收集他感兴趣的一些东西如电子银行帐号和密码；如果你的PC处于某局域网中，还可以利用你的PC做为据点来攻击其它局域网中的PC；

telnet:

一般采用授权的用户名和密码登录，登录之后，就如同使用本地计算机一样使用远程计算机的硬盘、运行应用程序；

目的：获取相应网络服务的帐户和密码；或是通过木马打开后门，建立隐蔽通信；

当前网络设备大多采用身份认证来进行身份识别和安全防范，其中其于帐号、密码认证最为普通；

网络之间的数据传输和通信都采用数据包的形式进行，其中的帐号、密码也包含在这些数据包中，有的以暗码的形式传输，有的以明码的形式传输；如TCP；

密码和帐户的破解一般采用数据字典进行猜解；当然，越是简单或符合一般常情，越是容易破解；

当然，不同的网络程序都有自己的一套认证体系、有相应的网络协议（一套规则）和端口号；如mail,ftp,telnet，ipc$；所以要攻击的话，要有的放矢，必须是活动的主机（即有打开并联网的主机）；和其开放的一些端口（通过数据包应答去判断）；

所以一般的黑客攻击所经历的两步，一是扫描（扫描出活动的主机IP和打开的端口，以及漏洞扫描，包括弱口令扫描）；一是嗅探，截取数据包，分析user and password;

QQ密码暴力破解：

通过数字字典中包含的最有可能密码去一一尝试，如果尝试成功，则密码被破解；

恶意代码或木马来源：

网页（打开网页或点击网页上的某个按钮，则可能会运行一段恶意代码或一个包含恶意代码的小程序；

QQ；

mail;

阻止访问注册表编辑工具：

win+r---mc---文件---添加删除管理单元---组策略对象编辑器---添加---用户配置---管理模板---系统---阻止访问注册表编辑工具---启用---保存（下次修改直接双击即可进入管理单元）；