电脑黑客入门应该学什么??
作为入门,首先你要学会使用一些黑客软件工具,然后是学会社会工程学。
这个社会工程学就是用来根据对方的有限信息跟习惯猜测他的密码的。
而后是看些黑客教程,去了解别的黑客是如何入侵的。
最好是那种带有分析讲解的教程。
再接下来要有突破就要开始学汇编、C语言,数据接口,UNIX系统等等试着编写自己的黑客工具跟恶意成学“就是所谓的病毒啦”
祝你早日入门,不要做坏事哦。
社会工程学是什么?
合作
存在着多个因素可以促使一个社会工程学使用者增加与目标“合作”的机会。
尽量少与目标发生冲突。
使用平和的态度去面对对方可以提高达成目的成功几率。
拉拢关系或者发展新的关系,共同的烦恼又或者是一些比较特殊的任务都可以有效地迫使目标与你合作。
在这里‘走向成功’的因素往往集中在你是否有能力去掌握与处理好你的说服力。
这是非常重要的,这一点常被“骗子”(注释:常常使用欺骗手段的人)认为是万试万灵的手段。
心理学研究指出如果人们先前曾经遵照过某个极小的指引而工作(注释:并获得成功)时现在他/她就更可能会去遵照一个更大的(注释:指引)了。
在这里如果曾有过合作的前科的话,那么这次再合作,达成的机会就很大了。
更好的方法是让社会工程学者给予合作对象一些比较敏感的信息。
尤其是一些非常逼真的视听感观,目标能够现场看到或听到你给他们的信息要比他们仅仅可以通过电话听到你的声音更能令他们信服。
这个观点一点也不稀奇,以书写形式或电子方式进行交流的信息是很难让人信服的。
这就如同拒绝某人进行某个IRC风格的通信一样。
关联
不管怎么说,社会工程学运用是否能成功也有取决于目标个体与你的目的有多大关联的因素的。
我们可以说系统管理员、计算机安全执行官、技术研究人员、那些依靠计算机/网络进行工作又或者通过其进行通信的人与大多数黑客使用社会工程学进行攻击的目标都是有莫大的关联的。
有高度关联性的个体大多会被强而有利的论据所说服。
事实上你可以给予他们更多强而有利的论据来支持你的观点。
当然,那些观点也有薄弱的一面。
你是否将论点薄弱的一面展现给有高度关联的人知道将极大可能地决定你是否能说服此人。
当某人有可能直接被社会工程学攻击所影响,若此时出现薄弱的论据将有可能会导致其思想上产生“相反”的意识。
所以面对与你的目的有关联的人时你必须给予强而有力的论据,而避免出现理由薄弱的论据。
相对于对你的指引或你想得到的结果并不敢兴趣的人,你可以把他们列入“低关联的人”这个类别中去。
相关的例子如:一个网络系统机构中的保安人员、清洁工人、又或者是前台接待小姐等。
因为低关联类别的个体并不会直接对你的目的/结果造成影响,而且他们往往不会去分析你用来说服他们的论点的双面性问题。
他们的决策往往会遵循你的意愿又或者是完全不受其它的“意识”所影响。
这些的“意识”如:社会工程学所提供的理由、表面形势上的迫急性又或者是在某人强烈的说服下。
凭经验而论,在这样的情况下我们只能尽可能地给予其更多的论据与理由了,估计这样的效果会更好一些。
基本上,对于那些与你的意识不一致的人,试图用大量的论据和指引去说服他们更胜于他们与你的目的的关联程度。
有一点是需要注意的:在进行某些工作的时候,能力低的个体更多会去仿效能力高的个体的行为模式。
在计算机系统管理方面,“能力低的个体”大多是指上文所提到的“低关联的人”。
站在上述的观点上考虑,不要试图对系统管理员这类别的个体进行社会工程学攻击,除非其能力不及你,不过这样的可能性非常的低。
防御他人的攻击
综合上述的资料能否让读者更好地保障他们整个计算机系统的安全呢?其实踏出“美好的”第一步就是要视乎员工们能否在自己的工作岗位上保障自己的计算机系统的信息安全。
这不但需要你无条件地增强他们的安全防范意识,而且你自身也必须具备更高的警惕性。
打个比方,如果你让某人专门负责保护你的计算机系统安全的话,那么就有便利于那个人在没有正常许可的情况下访问你系统的可能了。
无论如何,对付与防御这类型攻击的最有效手段,也作为最常见的手段,就是“教育/培训”了。
第一步是教育你的雇员与那些有可能被利用作为社会工程学实施目标的人关于计算机/信息安全的重要性。
直接给予容易攻击的人们一些预先的警告已经足以让他们去辨认社会工程攻击了。
不过要记着,在教育他们计算机信息安全的时候可以使用一些故事及其“双面性”来作为例子。
这并不是我自己的个人喜好哦。
当个体明白了这个焦点的“双面性”以后他们基本上就不会动摇他们所处的立场了。
而且如果他们是专注于计算机安全技术的话,那么他们更有可能会站在维护你的数据安全的立场上。
也有不会遵从人们的说服力倾向而作出行动的思维因素的。
在这里你必须有清晰的思维、高度的创造力、可以应付和处理压力的能力与适当的自信。
压力的处理能力与自信可以通过后天培养。
至于自身的主张和见解常常被用于对员工的管理方面,训练它可以减少某些个体被施行社会工程学攻击的机会,也有助于其他方面的工作。
了解各种使人们的信息安全意识降低与威胁你的安全策略的因素。
其实这方面只需要投入小量的精力就可以在降低安全风险方面产生很大的成效了。
结论
与普遍的思想观念相反,运用社会工程学捕捉人们的心理状态的技巧要比入侵一个sendmail容易得多。
但如果你想让你的员工去预防与检测社会工程学攻击的话,其效果绝对不会比你让他们去维护UNIX系统安全的效果明显。
站在系统管理员的立场上,不要让“人之间的关系”问题介入你的信息安全链路之中,以至于让你的努力前功尽弃。
站在黑客的立场上呢,当系统管理员的“工作链”上存放有你所需要的数据时,千万不要让他“摆脱”自身的脆弱环节。
求社会工程学案例,有对话的
社会工程学案例(看完吓到你)
社会工程学的基本意思是: 社会工程学是关于建立理论通过自然的,社会的和制度上的途径并特别强调根据现实的双向计划和设计经验来一步接一步的解决各种社会问题。
是不是很难明白啊。
我也觉得。
不用理这个,让我们看看社会工程学在我们的领域怎么解释:
社会工程学是一种攻击行为, 攻击者利用人际关系的互动性所发出的攻击:通常攻击者如果没有办法通过物理入侵的办法直接取得所需要的资料时,就会通过电子邮件或者电话对所需要的资料进行骗取,再利用这些资料获取主机的权限以达到其本身的目的。
熟练的社会工程学使用者都擅长进行信息收集,很多表面上看起来一点用都没有的信息都会被这些人利用起来进行渗透。
比如说一个电话号码,一个人的名字。
后者工作ID的号码,都可能被利用起来。
举个例子,比如说一个社会工程学使用者想从一间信用卡公司获取一些情报,但是又没有相关的证明证明他可以合法的从这间公司拿到这些情报。
这时候,他就可以利用社会工程学,从和这间信用卡公司相关的银行收集相关的信息从而达到他的目的。
比如说但这间银行需要从信用卡公司取得信息需要什么文件或者ID号码证明,又或者是经常与信用卡公司进行业务联系的职员的姓名等等。
现在的很多公司为了方便和快捷,在一些服务上会采用电话服务,这样就更容易让这些攻击者有机可乘,只需提供从银行获得的相关资料,信用卡公司就会把一些敏感的信息给予攻击者。
很多社会工程学攻击是很复杂的,包括了周详的计划,并且综合运用了相当的技巧。
但是你也可以发现,一些熟练的社会工程学攻击者经常可以只用简单的方法达到他的目的,直接的进行询问来获得他所需要的信息常常是行之有效的。
举个例子,某人打电话给电话公司说因为一起火灾的影响,使得附近以电话线路终端毁坏,令附近几十户人家的电话都无法使用,而他本人是个电话线路维修工,也许他可以先帮忙修理。
但是修理必须需要一些电话公司不会让非本公司相关职员知道的铭感信息。
但是谁又能拒绝一个好心的电话线路维修工人的无私的援助呢,这样,这位社会工程学攻击者就获得他所需要的电话线路信息。
建立信任也是一项社会工程学的手段,而且是相当重要手段,试想一下如果你和某公司活人建立相当牢固的信任关系,要取得一些重要的敏感信息不就要相对容易的多了吗。
要在短时间内获得信任是不容易的,但是也不是没有可能的,如果能被证明你是可以被信任的,那不就比较容易获得信任了。
不明白??举例说明:电话公司在搞促销,只要限定一定时间的使用和约就可以一分钱获得一部最新的手机,注意,前提是一定要签订一定使用期限的移动电话网络使用和约。
有位仁兄就想了,怎么能不去花钱签订电话线路使用和约而可以以一分钱拿到这个手机呢。
于是他就打了一个电话给这间电话公司属下的一间分店,我们叫它位A 店。
他和职员对话如下:
职员:这里是电话公司A分店,有什么能帮你
仁兄:你好,我叫仁兄,我之前去过你们的店,我想申请一个手机服务,你们以为姓李的店员(当然是猜的)介绍了一个不错服务给我。
我当时没有拿定注意,现在我决定申请那个服务了,哦~~~,那个店员叫李~~~,我不记得了,你知道吗???
店员:~~~,我们店了有两个姓李的,你说男的还是女的???
仁兄:对,是男的,他说他叫李~~,不好意思,我忘记了名字,你能告诉我吗??
店员:叫李XX
仁兄:对,就叫李XX,我马上就去你们店里办理相关服务开通的手续。
再见
店员:再见。
之后,这位仁兄又打电话给了令一间分店,分店B
仁兄:你好,请问是分店B吗
职员:是,请问有什么可以帮你
仁兄:我是分店A的李XX,我这里有一个顾客刚刚和我们签订了那个一分钱手机换购合约,但是之后我才发现店里那个手机的型号已经没有存货了,你们店里还有吗???
职员:有的
仁兄:好级了,我已经和他签订了线路使用和约,我现在叫他去你那里,你用一分钱把手机卖给他就可以了。
职员:好的,你叫他来吧。
半小时候,这位仁兄出现在了分店B里,用一分钱换购走了手机。
现在明白了吗???只要证明自己是可以被相信的,欺骗是很容易的。
to be continued~~~
到现在为止你一定会问,这和计算机入侵有什么关系啊,呵呵,看上去没有关系,但是我讲的是手段的原理。
现在我们就看一位熟练的社会工程学黑客是怎么在一个内部网里面安装木马的:
地点一:办公室A,电话响
职员:你好,我是小王,这里是A办公室
攻击者: 你好,我是网络技术支持的李xx, 我们正在进行正常的网络维护,请问你们办公室的网络有出现任何问题。
职员:嗯,据我所知没有。
攻击者:你自己在使用上有什么问题吗?
职员:没有
攻击者:好的,我想说的是如果网络有任何问题及时通知我们是很重要的,我的任务就是确定没个办公室的电脑可以保持在线。
职员:我们这里的网络状况良好。
攻击者:我所说的情况是有可能出现的。
如果出现了任何情况,请你及时打这个电话告诉我们。
电话号码是:12345678
职员:好的,如果有情况我会及时通知你们的。
攻击者:还有一件事情。
你能告诉我你的电脑所连接的端口的号码吗??
职员:端口???
攻击者:就是在你电脑后面,在插网线的地方有注明端口号码。
职员:看到了,号码是123.
攻击者:请稍等,端口123~~~~.好的,谢谢。
记得有情况及通过电话时通知我们,再见。
地点二:此公司的网络管理室,电话响
网管: 你好,网管室
攻击者:你好,我室办公室A的小王,我们的正在解决我们电脑网线上的一点问题,你可以暂时停止端口123的网络连接吗???
网关:好的,请稍等~~~,好了,已经暂时停止了。
攻击者:谢谢。
一个小时之后,攻击者的电话响
攻击者:你好,这里是网络支持,我是小王。
职员:你好,我是办公室A 的小李,我们的网络出现了问题,我们的电脑不可以保持在线状态了。
攻击者:嗯,我可以帮你解决,但是我现在先要解决其他办公室的网络问题,你可以等等吗。
职员:要多久,我没学要使用网络啊
攻击者:我会尽快的。
请稍等。
这样,攻击者又打了一个电话给网管室,要求网络管理员打开的办公室A的网络连接。
半小时候,办公室A,电话响
攻击者:我室网络支持的李xx
职员A: 你好,解决了吗
攻击者:已经好了,请你试试
职员A:~~~~~,是的,已经可以用了,很感谢你。
攻击者:好的,但是有一个问题,为了不让办公室电脑的网络老是和网络断开连接,我们设计了一个软件,我把地址给你,请你去下载并安装这个软件,网址是。
。
。
。
。
。
。
然后,攻击者知道这个职员去到一个他实现准备好的网页,并下载了一个小软件。
职员A: 我执行了这个软件,但是什么都没发生啊
攻击者:嗯~~~,也许我们在编写的时候出现了一些错误。
这样吧,你不要再尝试安装了,等我们重新编写后你再装吧。
就这样,一个木马程序被安装到了这台电脑上面。
如何,入侵者不用任何的繁琐的电脑入手段就轻易的把一个木马安装进了网络中的一台电脑,这就是社会工程学的威力了。
除了上述的方式,电子邮件也是一种手段,比如说你经常会受到一些做广告用的垃圾邮件,这种邮件平常你看都不看就会删掉吧。
但是别有用心的人是不会这么笨的,假设你受到这么一封邮件:
亲爱的小王:
附件是我答应给你介绍的漂亮女孩的照片,看看吧,有兴趣的话我就介绍给你。
小李
这种比较私人的邮件在一般情况下是不会让人有什么怀疑的吧,最多以为是一封发错地址的邮件,再加上人的好奇心,很少人不会去不打开看看到底是什么样的漂亮女孩吧。
呵呵,当你点击照片的时候,你已经不知不觉的中招了。
软件工程学什么?
其实,开发软件并不简单只是编编程序(如果是那样,初、高中生就能完成了,要我们这些大学生干嘛),就象做生意(比如开商店),你总不会认为开商店就是站那儿卖货吧,你得先进行市场调研,再选店址,然后上货,卖货,当然还有售后服务),这是一个复杂的,系统的工程,一般包括以下几项:客户需求调查或市场调查、软件的框架设计、各框架的进一步细分,编写程序(内容很多,比如用什么语言,面向什么,设计模式等等),黑白盒测试,发布测试版,软件的交付以及售后服务,还有各阶段的文档总结(包括软件的帮助文件,注释等等),总之,就是一个软件从调研到最后发布的各中间过程,软件工程就是对这各种阶段的说明以及如何去实施各阶段,学好了它,对你今后的软件工程师之路是非常有用的,也是必需的。
不过我毕业后去了动力节点学习java,毕业后就在电商公司上班。
月薪15k。
社会工程学是什么人专用的
定义:社会工程学是关于建立理论通过自然的、社会的和制度上的途径并特别强调根据现实的双向计划和设计经验来一步一步地解决各种社会问题。
总体上来说,社会工程学就是使人们顺从你的意愿、满足你的欲望的一门艺术与学问。
它并不单纯是一种控制意志的途径,但它不能帮助你掌握人们在非正常意识以外的行为,且学习与运用这门学问一点也不容易。
它同样也蕴涵了各式各样的灵活的构思与变化着的因素。
无论任何时候,在需要套取到所需要的信息之前,社会工程学的实施者都必须:掌握大量的相关知识基础、花时间去从事资料的收集与进行必要的如交谈性质的沟通行为。
与以往的的入侵行为相类似,社会工程学在实施以前都是要完成很多相关的准备工作的,这些工作甚至要比其本身还要更为繁重。
你也许会认为我们现在的论点只是集中在证明“怎样利用这种技术也能进行入侵行为”的一个突破口上。
好了,其实这样够公平的了。
无论怎么说,“知道这些方法是如何运用的”也是唯一能防范和抵御这类型的入侵攻击的手段了。
从这些技术中提取而得出的知识可以帮助你或者你的机构预防这类型的攻击。
在出现社会工程学攻击这类型攻击的情况下,像CERT发放的、略带少量相关信息的警告是毫无意义的。
它们通常都将简单地归结于:“有的人通过‘假装某些东西是真的’的方式去尝试访问你的系统。
不要让他们得逞。
”
然而,这样的现象却常有发生。
那又如何呢?
社会工程学定位在计算机信息安全工作链路的一个最脆弱的环节上。
我们经常讲:最安全的计算机就是已经拔去了插头(网络接口)的那一台(“物理隔离”)。
真实上,你可以去说服某人(使用者)把这台非正常工作状态下的、容易受到攻击的有漏洞的机器连上网络并启动提供日常的服务。
也可以看出,“人”这个环节在整个安全体系中是非常重要的。
这不像地球上的计算机系统,不依赖他人手动干预、人有自己的主观思维。
由此意味着这一点信息安全的脆弱性是普遍存在的,它不会因为系统平台、软件、网络又或者是设备的年龄等因素不相同而有所差异。
无论是在物理上还是在虚拟的电子信息上,任何一个可以访问系统某个部分(某种服务)的人都有可能构成潜在的安全风险与威胁。
任何细微的信息都可能会被社会工程师用着“补给资料”来运用,使其得到其它的信息。
这意味着没有把“人”(这里指的是使用者/管理人员等的参与者)这个因素放进企业安全管理策略中去的话将会构成一个很大的安全“裂缝”。
一个大问题?
安全专家常常会不经意地把安全的观念讲得非常的含糊,这样会导致信息安全上的不牢固性。
在这样的情况下社会工程学就是导致不安全的根本之一了。
我们不应该模糊人类使用计算机或者影响计算机系统运作这个事实,原因我在之前已经声明过了。
地球上的计算机系统不可能没有“人”这个因素的。
几乎每个人都有途径去尝试进行社会工程学“攻击”的,唯一的不同之处在于使用这些途径时的技巧高低而已。
方法
试图驱使某人遵循你的意愿去完成你想要完成的任务是可以有很多种方法的。
第一种方法也是最简单明了的方法,就是目标个体被问到要完成你的目的时给予其一个直接的“指引”了。
毫无疑问这是最容易成功的,也是最简单与最直观的方法了。
当然,被指引的个体也会清楚地知道你想他们干些什么。
第二种就是为某个个体度身订造一个人为的(通过捏造的手段)特定情形和环境。
这种方法比你仅仅需要考虑到了某个个体的相关信息状况附带更多的因素。
例如如何说服你的对象,你可以设定(刻意安排)某个理由和动机去迫使其为你完成某个非其本身意愿的行为结果。
这包括了远至于为某个特定的个体创造一个有说服力的企图而进行的工作,与大量你想得到的“目标”的相关知识。
这意味着那些特定的情况/环境必须建立在客观事实的基础上。
少量的谎言会使效果更好一些。
社会工程学中最精炼的手段之一就是针对现实事物的良好记忆能力。
在这个问题上黑客与系统管理员会更为侧重一点,特别是在某种事物与他们的领域有所关联的情况下。
为了说明上述的方法,我准备列举一个小型的范例。
范例如下,当你把某个个体“置于”群体和社会压力(其类型如舆论压力等)下的处境/形势时
个体很有可能会做出符合群体决定的行为,尽管这个决定很明显是错误的。
一致性
若在某些情况下有人坚信他们群体的决定是对的话,那么这将有可能导致他们做出不同于往常的判断和行为。
比方说如果我曾发表过某个结论,论点的理由非常充分(这里指的是符合群体中多数人的意愿)
那么往后无论我花多大的精力去尝试说服他们,都不可能令他们再改变自己的决定了。
另外,一个群体是由不同位置/层次的成员组成的。
这个位置/层次问题被心理学者称之为“demandcharac-teristics”(“意愿的特征性”),
这个位置/层次问题在参与者的行为上受其浓厚的社会约束性所影响。
不希望得罪其他的成员的、不想被其他人看出自己在会议中想睡觉的、不想破坏与自身关系良好的伙伴的观点等的心态最终都会成为“随波逐流”现象的形成因素。
这种运用到特征的处理方式是引导人们行为的一种有效途径。
情形
无论怎么说,大多数的社会工程学行为都是被一些单独的个体所运用的。
因此诸如社会压力与其它的一些影响因素都必须建立在和目标有一定的可信关系的情况下进行的。
如果处于这样的情形下,当有了真实或者虚构出来的固有特征时目标个体就很可能会遵循你的意愿而工作了。
这些固有特征包括:
·目标个体以外的压力问题。
如让个体相信某个行为的后果并不是他一个人的责任。
·借助机会去迎合某人。
这些行为更多取决于此个体是否认为某个决定能为某人带来“好处”。
这样的行为可以使你与老板的关系更为融洽。
·道德上的责任。
个体会遵从你是因为他们觉得自己(在道德上)有义务这么做