黑客协会：黑客入门技术
在学黑客之前，你要知道什么是黑客，黑客就是那些对计算机有着强烈探索欲的人，一个真正的黑客，必须要至少掌握一门编程技术和熟悉系统的操作命令。 我刚开始的时候，第一个学习的编程语言是c语言，当时老师说，c语言是人和机器沟通的钥匙，如果你能掌握了c语言，那么你就等于掌握了机器，因为大家的语言不通，所以你要学习他们的语言，就像你要和英国人说话，就必须学习英语一样。 老师还用了一个比喻，如果说“世界，你好” 中文（世界，你好） 英语（hello,world） 法语（bonjour le monde） 日语（こんにちは） c语言（printf（“世界，你好”）；） 如果你真的打算学习黑客的话，看看书和教程 经典书 网络黑白 某宝有黑客有很多方向，较为常见的方向是基于网络攻击的。要做一个真正的黑客，编程是必须要学的。我的建议就是先学python，然后学c。基于这两种，大部分的黑客工作都能解决。
黑客基本知识
一.黑客相关概念
黑客：英文名hacker，原来指的是热心于研究电脑技术、熟练掌握电脑编程技术并且水平高超的电脑专家，是“好”的，现在，黑客已经成为那些专门利用电脑网络搞破坏或者恶作剧的人的代名词。骇客：英文名cracker，是对电脑系统和程序进行恶意攻击和破坏的人，自身技术不一定高超，是“坏”的。
世界头号电脑骇客：凯文·米特尼克
二.黑客入侵方法
1.入侵方法
1.软件各个模块的后门程序
2.拒绝服务（分布式dos攻击）：集中大量的网络带宽，对特定目标实施攻击看，导致服务器瘫痪。
3.信息炸弹：用特殊的工具短时间内向目标服务器发送大量信息，以至于超过系统负荷，造成目标服务器网络不通、系统崩溃。
4.网络监听：监视网络状态，并且截取网络上所传输的信息。
2.黑客入侵的目的
1.获取目标主机上面的文件和传输的数据，造成信息泄露，或者修改目标主机上的文件内容，对用户造成损失。
2.获得超级用户权限，做权限以外的事情。
3.黑客入侵流程
收集目标资料-->扫描目标机的弱点（漏洞）-->获取目标机的访问权限-->在该权限下任意操作-->清除入侵痕迹并建立后门。
4.黑客获取权限的方式
1.通过系统或者软件漏洞
2.监听获取敏感信息
3.以弱口令或穷举法获得远程管理员的用户密码。
4.破坏与目标主机有信任关系的其他电脑，进而获得目标主机的控制权。
三.电脑病毒的特征
寄生性：是一种直接或者间接执行的文件，没有文件名，不能单独存在，必须寄生在其他程序中。
传染性、破坏性、隐蔽性（有的病毒杀毒软件查不出来）
潜伏性：在磁盘中静静潜伏，一旦触发，就开始破坏，扩散。
常见的电脑病毒类型：（前缀不过是用来区分病毒的种类而已）
系统病毒：前缀是win32、pe、win95、w32等，可以感染windows的*.exe 和*.dll文件，并且通过这些文件传播。
木马病毒和黑客病毒：前缀分别是trojan 和 hack。木马病毒主要通过网络或者系统漏洞进入用户的体统并隐藏，然后向外界泄露用户的信息；黑客病毒是有一个可视化的界面，能对用户的电脑进行远程控制。
脚本病毒：前缀是script、vbs、js。利用脚本语言进行编写并且通过网页进行传播。宏病毒（主要感染office软件）是脚本病毒的特殊一种。
四.病毒的查杀
大部分的杀毒软件只能针对已经出现过的病毒起作用，而不能扫描和查杀新型病毒，所以必要时需要进行手动查杀。1.关闭任务管理器中的该进程。
2.在都是界面下输入指令 “taskkill/im 进程名/f即可。 比如要终止的病毒进程是virus.exe ,则命令是 “taskkill/im virus.exe/f” 。
3.有些并在用杀毒软件查杀之后，重启电脑之后，病毒就会恢复到查杀之前的状态。（原因是这些病毒一旦启动就会在电脑的注册表中添加修复选项，只要电脑重启，病毒就会恢复），所以需要对注册表启动项的权限进行设置。
步骤：win + r 之后，运行 “regedit”（注册表编辑器）命令，然后在左侧hkey_local_machine\system\currentcontrolset目录。然后在services选项上右键单击，在弹出的快捷菜单中选择吧“权限”命令。然后“添加”-->“高级”-->立即查找--->everyone-->确定，读取，确定。然后对hkey_local_machine\software\microsoft\windows\currentversion\ 下面的 run、winlogon和explorer\shellexecutehooks 这三个进行同样设置。
黑客眼中的防火墙与路由器,谁更安全
防火墙已经成为企业网络建设中的一个关键组成部分。但有很多用户，认为网络中已经有了路由器，可以实现一些简单的包过滤功能，所以，为什么还要用防火墙呢?以下我们针对neteye防火墙与业界应用最多、最具代表性的cisco路由器在安全方面的对比，来阐述为什么用户网络中有了路由器还需要防火墙。
一、两种设备产生和存在的背景不同
1、两种设备产生的根源不同
路由器的产生是基于对网络数据包路由而产生的。路由器需要完成的是将不同网络的数据包进行有效的路由，至于为什么路由、是否应该路由、路由过后是否有问题等根本不关心，所关心的是:能否将不同的网段的数据包进行路由从而进行通讯。
防火墙是产生于人们对于安全性的需求。数据包是否可以正确的到达、到达的时间、方向等不是防火墙关心的重点，重点是这个(一系列)数据包是否应该通过、通过后是否会对网络造成危害。
2、 根本目的不同
路由器的根本目的是:保持网络和数据的通。防火墙根本的的目的是:保证任何非允许的数据包不通。
二、核心技术的不同
cisco路由器核心的acl列表是基于简单的包过滤，从防火墙技术实现的角度来说，neteye防火墙是基于状态包过滤的应用级信息流过滤。
下图是一个最为简单的应用:企业内网的一台主机，通过路由器对内网提供服务(假设提供服务的端口为tcp 1455)。为了保证安全性，在路由器上需要配置成:外-》内 只允许client访问 server的tcp 1455端口，其他拒绝。
针对现在的配置，存在的安全脆弱性如下:
1、ip地址欺骗(使连接非正常复位)
2、tcp欺骗(会话重放和劫持)
存在上述隐患的原因是，路由器不能监测tcp的状态。如果在内网的client和路由器之间放上neteye防火墙，由于neteye防火墙能够检测tcp的状态，并且可以重新随机生成tcp的序列号，则可以彻底消除这样的脆弱性。同时，neteye 防火墙的一次性口令认证客户端功能，能够实现在对应用完全透明的情况下，实现对用户的访问控制，其认证支持标准的radius协议和本地认证数据库，可以完全与第三方的认证服务器进行互操作，并能够实现角色的划分。虽然，路由器的lock-and-key功能能够通过动态访问控制列表的方式，实现对用户的认证，但该特性需要路由器提供telnet服务，用户在使用使也需要先telnet到路由器上，使用起来不很方便，同时也不够安全(开放的端口为黑客创造了机会)。
三、安全策略制定的复杂程度不同
路由器的默认配置对安全性的考虑不够，需要一些高级配置才能达到一些防范攻击的作用，安全策略的制定绝大多数都是基于命令行的，其针对安全性的规则的制定相对比较复杂，配置出错的概率较高。
neteye 防火墙的默认配置既可以防止各种攻击，达到既用既安全，安全策略的制定是基于全中文的gui的管理工具，其安全策略的制定人性化，配置简单、出错率低。
四、对性能的影响不同
路由器是被设计用来转发数据包的，而不是专门设计作为全特性防火墙的，所以用于进行包过滤时，需要进行的运算非常大，对路由器的cpu和内存的需要都非常大，而路由器由于其硬件成本比较高，其高性能配置时硬件的成本都比较大。neteye防火墙的硬件配置非常高(采用通用的intel芯片，性能高且成本低)，其软件也为数据包的过滤进行了专门的优化，其主要模块运行在操作系统的内核模式下，设计之时特别考虑了安全问题，其进行数据包过滤的性能非常高。由于路由器是简单的包过滤，包过滤的规则条数的增加，nat规则的条数的增加，对路由器性能的影响都相应的增加，而neteye防火墙采用的是状态包过滤，规则条数，nat的规则数对性能的影响接近于零。
五、审计功能的强弱差异巨大
路由器本身没有日志、事件的存储介质，只能通过采用外部的日志服务器(如syslog，trap)等来完成对日志、事件的存储;路由器本身没有审计分析工具，对日志、事件的描述采用的是不太容易理解的语言;路由器对攻击等安全事件的响应不完整，对于很多的攻击、扫描等操作不能够产生准确及时的事件。审计功能的弱化，使管理员不能够对安全事件进行及时、准确的响应。
neteye防火墙的日志存储介质有两种，包括本身的硬盘存储，和单独的日志服务器;针对这两种存储，neteye 防火墙都提供了强大的审计分析工具，使管理员可以非常容易分析出各种安全隐患;neteye 防火墙对安全事件的响应的及时性，还体现在他的多种报警方式上，包括蜂鸣、trap、邮件、日志;neteye 防火墙还具有实时监控功能，可以在线监控通过防火墙的连接，同时还可以捕捉数据包进行分析，非分析网络运行情况，排除网络故障提供了方便。
六、防范攻击的能力不同
对于像cisco这样的路由器，其普通版本不具有应用层的防范功能，不具有入侵实时检测等功能，如果需要具有这样的功能，就需要升级升级ios为防火墙特性集，此时不单要承担软件的升级费用，同时由于这些功能都需要进行大量的运算，还需要进行硬件配置的升级，进一步增加了成本，而且很多厂家的路由器不具有这样的高级安全功能。可以得出:
具有防火墙特性的路由器成本 > 防火墙 + 路由器具有防火墙特性的路由器功能 < 防火墙 + 路由器具有防火墙特性的路由器可扩展性 < 防火墙 + 路由器综上所述，可以得出结论:用户的网络拓扑结构的简单与复杂、用户应用程序的难易程度不是决定是否应该使用防火墙的标准，决定用户是否使用防火墙的一个根本条件是用户对网络安全的需求!即使用户的网络拓扑结构和应用都非常简单，使用防火墙仍然是必需的和必要的;如果用户的环境、应用比较复杂，那么防火墙将能够带来更多的好处，防火墙将是网络建设中不可或缺的一部分，对于通常的网络来说，路由器将是保护内部网的第一道关口，而防火墙将是第二道关口，也是最为严格的一道关口。
木马“加/脱壳”实现过程介绍
为什么要“加/脱壳”?对于黑客来说，这项技术被淋漓尽致地应用到了伪装木马客户端上，目的是为了防止被杀毒软件反跟踪查杀和被跟踪调试，同时也防止算法程序被别人静态分析。
用pe-scan给木马脱壳
木马研究爱好者cytkk第一时间在国外某著名黑客论坛下载到了最新的反弹端口型木马(以下简称木马z)，正欲体验其强大的功能时，不料被norton antivirus逮个正着，令人郁闷不已。cytkk企图使用加壳软件upx(ultra packer for executable)对它进行简单包装来骗过杀毒软件，哪料提示加壳失败，检测得知木马z早已被程序作者用upx压缩，当务之急是要先去除这个已被norton antivirus识破的“烂”壳。
cytkk运行一款名叫pe-scan 3.31的软件。点击“open”打开木马z的客户端，在居中的显示框内得知加壳类型为upx，再点击“unpack”→“start”，cytkk按照提示设置好保存目录和文件名就完成了整个脱壳操作。这样一来就得到了木马z的原始客户端程序。高手传经:在经过复杂的多重加壳后，检测出的结果就不一定准确了，此时就需要使用“adv.scan”高级扫描， pe-scan会分析出被各种加壳工具加壳的可能性。
重新加壳欺骗杀毒软件
接下来cytkk要做的就是给木马z的原始客户端进行一次成功的加壳，根据以往的经验，此时用aspack1.12是个明智之举，它拥有标准的windows界面，操作简单直观。为了保证加壳后程序的完整性，cytkk放弃了最大可能的压缩，在“选项”中去掉了“压缩资源”的勾选并选择了“保留额外数据”。“压缩”选项很直观，有两个进度条，上面一个表示压缩进度，下面一个则是压缩后的文件大小。压缩完成后，cytkk便迫不及待地点击左边的“测试”按钮来进行完整性测试。结果没让cytkk失望，aspack的出色表现使以严厉著称的norton antivirus对加壳后的木马z也视而不见了。
零基础接触黑客知识的学习方法
今天有许多人问我:“我看了你的文章了，但是我是新人，有没有什么学习方法啊?”我回答的是;“当然有啊，不过人和人不同，方法是自己总结出来的，就和我前面文章中介绍的名词一样，都是我在学习中根据自己的经验和对他的认识总结出来的。”下面呢我就把我自己的学习经验写出来给大家参考下，大家可以根据我的方法去总结套适合自己的学习方法，这样对我们的进步很有必要，有了一个系统化的方法后，相信进步就不是一个困难的事情了。
初学hack，首先有几点忠告:
1、就是不要以自己年龄下为借口，我以前一个学生就是学不会东西是就以自己年龄小为学不会的借口，我可以确切的说，年龄小并不是...