所以,我非常喜欢 90 年代那些关于黑客的俗气电影(阅读黑客)我一生都在使用电脑,这让我在大学里学习计算机工程。前几天,我在看一部熟悉的俗气黑客电影,为 FBI 工作的超级聪明的青少年,被雇来抓捕黑客在他的系统上发现了黑客。他继续输入一些命令,并能够追踪坏人在连接到被黑客入侵的计算机之前进行的所有计算机跳跃。
我的问题很简单:这可能吗?我知道你可以查看traceroute数据包并查看它们去过哪里,但对计算机的活动连接也能这样做吗?安全公司和 FBI 等大机构如何“追踪”黑客回到他的目的地。当然,假设他在世界各地甚至整个tor网络都使用了多个代理。
此外,如何才能消除被追溯的可能性或使其他人很难追踪呢?显而易见的答案是在到达目的地之前,尽可能多地访问计算机。
致版主:我认为这个问题没有偏离主题。我问的是当前技术的实际流程和用途。
答案1
请查看这个问题在 Security Stack Exchange 上讨论为什么这种追踪通常是不可能的。如果攻击者马虎或自吹自擂,这种追踪是可以做到的,但一般来说,追踪大多数攻击者的方式是追踪资金——就像一直以来做的那样。
答案2
最优秀的黑客在每次攻击中都会遵循步骤、习惯和流程,这些步骤、习惯和流程通常涉及代理、受感染计算机、时间差异和在技术安全方面采取自由放任的法律政策的国家等各种组合。
通过以不同的顺序执行所有这些步骤并计划好特定的偏差,他们可以误导调查人员,混淆他们的路径,制造多个死胡同,并且通常使成功追踪他们变得非常困难。
大多数成功的黑客都拥有令人难以置信的耐心,并且会从长远角度考虑他们的攻击。虽然有些攻击看似快速,但成功攻击背后的设置绝非如此。
<rabbit trail>
你看过洛克希德的网络安全电视广告吗?我不知道他们为什么要为这个 30 秒的广告创造如此好莱坞式的场景,我猜想这是为了让他们看起来像是称职的技术安全人员。
它唯一能打动的人是那些认为好莱坞准确描绘技术和安全的人。
</rabbit trail>
答案3
您可以轻松查看计算机的所有活动连接(假设计算机未受感染)。在 Linux 上,使用“netstat -ta”。在 Windows 上,使用 Process Hacker 或其他任务管理器。如果黑客使用代理,则您需要访问代理才能查看其活动连接。这通常是不可能的,除非您恰好可以访问黑客正在使用的代理。
如果你有兴趣,可以读一下这个:http://www.cert.org/archive/pdf/02sr009.pdf第 8-12 节。报告的前半部分基本上说,由于互联网的运作方式,追踪确实非常困难。