Hacker
IP地址:某台计算机(内网地址则是局域网电脑,外网地址则是外部的服务器;)
端口:相应的应用程序或服务;
主机中每个需连接到网络的应用程序,都被赋予在该机上的唯一端口,当任何连接请求到达该端口时,对应的应用程序的通信数据就被发送出去;
1 物理意义上的端口:如连接网络设备(ADSL modem,集线器、交换机、路由器等)的RJ端口、SC端口;
2 逻辑意义上的端口:一般是指TCP/IP端口,与某些逻辑服务相对应;0-65535;一台拥有IP地址的主机可以提供许多服务,如web服务,TCP服务,SMTP服务,主机怎样区分不同的网络服务呢?通过与端口号的绑定;即网络服务(或网络应用程序,或网络通信)=IP地址+端口号;
1 公认端口:0-1024,大家习惯、或公认的用较固定的端口号与相应的服务绑定,如80的HTTP通信;
2 注册端口:1024-49151;端口号与网络服务没有固定的对应关系,一个端口可用于不同的网络服务绑定;
3 动态和/或私有端口:机器通常从1024开始分配动态端口;
病毒是一种暗侵入计算机并且能够自主生存的可执行程序。病毒会自己寄生在其它软件中,而木马则以独立文件出现,伪装成合法程序;
服务是一种在后台运行的应用程序类型,服务通常可以在本地和通过网络为用户提供一些功能,也就是说,服务只供OS调用,并在后台为OS提供各种功能的支持环境,而OS则负责将各种功能的操作权交给用户,服务可以在用户登录系统前后分别予以加载;
每项服务都是一个具体的文件存在,对应的文件一般都存储在C:\windows\systme32或drives文件夹中,其扩展名一般是exe,sys,dll(被rundll32.exe或rundll.exe程序调用)
服务可以独立存在,也可和其他服务紧密配合运行,关闭某个服务时,有时会影响到储存的组件和服务,它们之间的储存关系可以在某个服务的属性对话框中查看;
扫描过程:
1 主机存活扫描,确定对方主机是否在线(或是否存活,是否激活)(获取IP地址,主机名);Ping扫描,对目标主机发送Ping命令,根据响应情况确定目标主机是否在线。对防火墙后面主机在线的情况目前还没有成熟的办法;
2 端口扫描:向目标主机发达TCP/IP服务端口发送探测数据包,并记录目标主机的响应,通过分析响应来判断服务端口是打开还是关闭,就可以得知端口提供的服务和信息;
3 漏洞扫描:根据开启的端口和端口上的网络服务,将这些信息与漏洞扫描系统提供的漏洞库进行匹配,查看是否有满足匹配条件的漏洞存在;如测试弱口令等;补丁是否安装?共享和权限怎样分配?
4 获得某些访问权限
5 为了下一次的访问而建立新的安全漏洞、后门;
6 在系统中安装探测软件,包括木马,用以掌握你的一切活动,以收集他感兴趣的一些东西如电子银行帐号和密码;如果你的PC处于某局域网中,还可以利用你的PC做为据点来攻击其它局域网中的PC;
telnet:
一般采用授权的用户名和密码登录,登录之后,就如同使用本地计算机一样使用远程计算机的硬盘、运行应用程序;
目的:获取相应网络服务的帐户和密码;或是通过木马打开后门,建立隐蔽通信;
当前网络设备大多采用身份认证来进行身份识别和安全防范,其中其于帐号、密码认证最为普通;
网络之间的数据传输和通信都采用数据包的形式进行,其中的帐号、密码也包含在这些数据包中,有的以暗码的形式传输,有的以明码的形式传输;如TCP;
密码和帐户的破解一般采用数据字典进行猜解;当然,越是简单或符合一般常情,越是容易破解;
当然,不同的网络程序都有自己的一套认证体系、有相应的网络协议(一套规则)和端口号;如mail,ftp,telnet,ipc$;所以要攻击的话,要有的放矢,必须是活动的主机(即有打开并联网的主机);和其开放的一些端口(通过数据包应答去判断);
所以一般的黑客攻击所经历的两步,一是扫描(扫描出活动的主机IP和打开的端口,以及漏洞扫描,包括弱口令扫描);一是嗅探,截取数据包,分析user and password;
QQ密码暴力破解:
通过数字字典中包含的最有可能密码去一一尝试,如果尝试成功,则密码被破解;
恶意代码或木马来源:
网页(打开网页或点击网页上的某个按钮,则可能会运行一段恶意代码或一个包含恶意代码的小程序;
QQ;
mail;
阻止访问注册表编辑工具:
win+r---mc---文件---添加删除管理单元---组策略对象编辑器---添加---用户配置---管理模板---系统---阻止访问注册表编辑工具---启用---保存(下次修改直接双击即可进入管理单元);