计算机安全:数据与黑客工具解析
1. 数据收集与分析
在计算机安全领域,收集易失性数据只是第一步,理解这些数据的含义才是关键。每一个案例都是独特的,收集到的信息也会因情况而异。在分析数据时,不能仅仅满足于收集和理解数据,还需要将这些信息进行关联。要把收集到的易失性数据与shell历史记录、本地日志、网络日志以及客户提供的其他信息进行对比。任何单一的信息都不应被视为调查的终点,而应看作是一个更大谜题的一部分,需要找出它在整个拼图中的位置。
Linux系统的优势在于,完成一项任务往往有多种方法,并且可能有多个工具在记录相关信息。如果遇到不熟悉的工具或实用程序,可以在实验室中进行测试,了解它的功能、工作方式以及输出结果。实验室中的工作往往能对实际案例起到决定性作用。
2. 现实中的黑客与攻击
在计算机犯罪的世界里,好莱坞电影常常给人们带来不切实际的幻想。例如在《黑客》《通天神偷》《碟中谍》以及《不可追踪》等电影中,黑客被描绘成拥有超人智慧、从不犯错,只有在惊心动魄的追逐场景后才会被正义一方抓获。但在实际工作中,绝大多数情况并非如此。虽然“超级黑客”确实存在,但遇到他们并将其抓获的概率微乎其微。我们需要熟悉普通黑客常用的工具,包括这些工具的位置、外观、用途以及它们可能在系统中留下的痕迹。
一般来说,Linux机器常被用作攻击的发起点,而Windows机器则是攻击目标。黑客在选择目标时,通常会进行“主动侦察”,即探测具有外部接口且存在易受攻击服务的系统。常见的易受攻击服务包括超文本传输协议(HTTP)、安全超文本传输协议(HTTPS)、Telnet、安全外壳协议(SSH)、文件传输协议(FTP)和网络基本输入/输出系统(NetBIOS)。例如,在
