第1章 黑客基础知识

1.1 黑客需要了解的基础知识

“黑客”一词最早源自英文“Hacker”，早期在电脑行业内是带有褒义的，泛指擅长IT技术、精通各种编程语言和系统的技术人员。他们具有攻击能力但不具恶意目的，而是专注研究系统漏洞和程序缺陷，并提出修补漏洞的方法。想要成为一个初级黑客，必须了解相关的网络和系统知识，例如黑客的攻击方式、IP地址、端口、服务和进程等。

例 1 了解黑客常用的攻击手段

黑客攻击手段可分为非破坏性攻击和破坏性攻击两大类。非破坏性攻击一般只是为了扰乱系统的运行，并不盗窃系统资料，通常采用拒绝服务攻击；破坏性攻击是指以入侵他人电脑系统、盗窃用户信息、破坏数据为目的。下面介绍几种黑客常用的攻击手段。

※ 预探测攻击：是指利用SATAN等工具扫描网络中其他主机的IP地址和端口，接着通过网络监听截获用户口令等数据，然后破解密码。如果密码被破解，黑客将能以合法的身份访问并控制电脑。这种方式的隐蔽性强，信息泄密不容易被发现。

※ 后门入侵：后门程序是程序员在编写软件时为了便于测试或更改软件模块的功能而留下的程序入口，软件开发完成后应该关掉这些后门。但有时因为疏忽或其他原因，造成某些后门并未关闭，黑客利用这些后门就能轻易地入侵电脑。

※ 系统漏洞入侵：黑客利用操作系统存在的漏洞进行入侵。此外，很多软件（例如SQL Server和FTP等）也存在漏洞，黑客利用这些漏洞也能够获得电脑的访问权和控制权。

※ 木马远程控制：黑客在网络中散布木马程序，如冰河木马、灰鸽子木马等，如果不小心中了木马，该电脑将成为黑客的“肉鸡”，此时黑客能够通过跟踪键盘输入等方式，窃取用户账户和密码等隐私信息，并可对电脑进行持续监控。

※ 拒绝服务攻击（DoS）：是指黑客通过不断向目标发送一定体积的数据包，使目标不停地进行反馈，不断消耗网络带宽和系统资源，最终导致网络瘫痪、目标主机或服务器停止响应的攻击行为。强化版本为分布式拒绝服务攻击（DDoS）。

※ IP地址欺骗攻击：是指黑客假冒受信任的主机对目标进行的攻击。局限于把数据或命令注入到客户机/服务器应用之间，或对等网络连接传送中已存在的数据流。为了达到双向通信，攻击者必须改变指向被欺骗IP地址的所有路由表。

例 2 查看本机的IP地址

IP地址是每一台网络设备或主机在接入网络后被分配的一串标识符，具有唯一性。常用的IP地址为IPv4版本（IPv6是128位，本书中除非特别声明，否则均指IPv4），由32位二进制数组成，为了方便人们使用，采用点分十进制表示法表示，例如“192.168.0.2”、“202.152.128.56”等。

在操作系统中可以查看本机的IP地址，下面以Windows 7操作系统为例进行介绍。

01 在系统桌面上，使用鼠标右键单击“网络”图标，然后在弹出的快捷菜单中单击“属性”命令。

02 打开“网络和共享中心”窗口，在“查看活动网络”栏中单击要设置的网络连接名称，如“本地连接”。

03 在弹出的“本地连接 状态”对话框中单击“属性”按钮。

04 弹出“本地连接 属性”对话框，双击“此连接使用下列项目”列表框中的“Internet协议版本4（TCP/IPv4）”列表项。

05 在弹出的“Internet协议版本4（TCP/IPv4）属性”对话框中，选择“使用下面的IP地址”单选项，在文本框中依次输入本机的IP地址、子网掩码和默认网关，然后连续单击“确定”按钮保存设置即可。

例 3 使用netstat命令查看端口

电脑上有很多的端口（65535个），这些端口大部分都是关闭的，每个网络连接都要占用一个端口。有些端口有特定的用途，例如，Web服务器要开80端口，FTP服务器要开21端口。这里的“端口”是指网络中面向连接服务和无连接服务的通信协议端口，这类端口也是黑客入侵电脑的主要途径之一。电脑中常用端口的功能如下表所示。

黑客在入侵成功后，通常需要为自己运行的木马打开一个端口，为自己以后回来留下后门。

很多电脑用户对系统中开启的端口并不了解，在需要关闭危险端口时显得不知所措，这时就需要想办法查看电脑中的端口。在Windows操作系统中，我们可以使用netstat命令来查看电脑中端口的状态，具体操作如下。

01 单击系统桌面左下角的“开始”按钮，在弹出的开始菜单的搜索框中执行“cmd”命令。

02 在弹出的命令提示符窗口中输入“netstat -a -n”命令，按下“Enter”键，然后在接着出现的界面中即可查看当前电脑中端口的状态。

例 4 使用TCPView软件扫描端口

除了可以使用netstat命令查看端口外，还可以使用第三方软件来扫描系统中的端口，并通过扫描结果查看端口的状态。这里以TCPView端口查看器为例进行介绍。

01 在网上搜索并下载TCPView软件，然后根据提示进行安装，有些版本为绿色版，可直接运行，功能上没有差别。

02 启动TCPView软件，在主界面的网络连接显示框中会显示所有进程的网络连接，包括病毒建立的由内到外的连接，并且会实时显示这些连接的动态变化，以及详细的网络连接参数信息，包括进程名、本地地址和端口号以及远程地址等信息。由此可以分析出每个网络连接的使用情况。

03 在使用TCPView软件查看端口信息时，如果发现程序窗口中有不熟悉的进程名，并且这个进程名的连接数量非常多，变化频率也很快，这就说明这些连接很可能是病毒建立的恶意的由内到外的网络连接。为了防止病毒的蔓延和传播，应记录下病毒进程使用的本地端口号。

04 使用鼠标右键单击不明进程，在弹出的菜单中单击“结束进程”命令，结束病毒由内到外的网络连接，然后关闭前面记录下的端口即可（关闭端口的方法将在后面进行介绍）。

例 5 通过关闭系统服务来关闭端口

默认情况下，系统中开启了很多不安全的和无用的端口。这类端口通常都是与系统中的某些服务相对应的，关闭相应的服务也就关闭了与其对应的端口。在“开始”菜单的搜索框中执行“services.msc”命令，可在打开的窗口中查看系统服务的状态，根据各服务的描述可了解其对应的作用。

下面以关闭360杀毒全盘扫描辅助服务对应的57575端口为例，介绍关闭端口的方法，具体操作步骤如下。

01 在系统桌面左下角单击“开始”按钮，在“开始”菜单的搜索框中执行“services.msc”命令。

02 在打开的窗口中切换到“标准”视图模式，然后找到并双击“360杀毒全盘扫描辅助服务”项。

03 在打开的服务属性对话框中单击“启动类型”栏的下拉按钮，在弹出的菜单中单击“禁用”命令，然后单击“确定”按钮即可。

例 6 通过IP安全策略限制端口

除了可以通过关闭或禁用系统服务来关闭端口外，还可以通过设置IP安全策略来限制相应的端口，以阻止他人访问该端口，下面以限制3389端口为例进行介绍。

01 在系统桌面左下角单击“开始”按钮，在“开始”菜单的搜索框中执行“secpol.msc”命令。

02 打开“本地安全策略”窗口，单击左侧目录树中的“IP安全策略，在本地计算机”项，在右侧的空白处单击鼠标右键，然后在弹出的菜单中单击“创建IP安全策略”命令。

03 在弹出的对话框中单击“下一步”按钮。在接着打开的“IP安全策略名称”界面中根据提示设置策略名和策略信息，然后单击“下一步”按钮。

04 在打开的“安全通讯要求”界面单击“下一步”按钮。在接着打开的“正在完成IP安全策略向导”界面保持默认设置，单击“完成”按钮。

05 在弹出的对话框中取消勾选“使用‘添加向导’”复选框，然后单击“添加”按钮。在弹出的“新规则属性”对话框中单击“添加”按钮。

06 在弹出的“IP筛选器列表”对话框中取消勾选“使用‘添加向导’”复选框，然后单击“添加”按钮。

07 在弹出的对话框中单击对应的下拉按钮，将源地址设置为“任何IP地址”，将目标地址设置为“我的IP地址”，然后单击“确定”按钮。

08 在接着打开的对话框中单击“选择协议类型”栏的下拉按钮，将协议类型设置为“TCP”，然后在“设置IP协议端口”组合框中选中“从任意端口”单选项，在其下方再选中“到此端口”单选项，并在该选项下方的文本框中输入“3389”文本，然后单击“确定”按钮。

09 在返回的对话框中，如果读者需要添加其他限制端口，可单击“添加”按钮，按照上述方法继续添加，然后单击“确定”按钮。

10 在返回的“新规则属性”对话框中选中新添加的IP筛选器，然后切换到“筛选器操作”选项卡，取消勾选“使用‘添加向导’”复选框，然后单击“添加”按钮。

11 在弹出的“筛选器操作 属性”对话框中选中“阻止”单选项，然后单击“确定”按钮。

12 返回到“新规则属性”对话框，选中“新筛选器操作”选项，然后单击“关闭”按钮。

13 返回到“限制3389端口属性”对话框，勾选新添加的IP筛选器列表，然后单击“确定”按钮。

14 在返回的“本地安全策略”窗口中，右键单击新建的IP安全策略，在弹出的菜单中单击“分配”命令（Windows XP系统中应单击“指派”命令），然后重启电脑即可。