如何抓到入侵网站的黑客？

最新推荐文章于 2024-08-20 10:31:24 发布

转载

最新推荐文章于 2024-08-20 10:31:24 发布 · 2.9k 阅读

文章标签：

#操作系统 #网络 #数据库

面对黑客入侵，由于其隐蔽性和复杂性，通常很难从海量的网络攻击日志中定位到具体攻击者。尤其当攻击者使用多层加密和匿名网络时，追踪变得极其困难。有效的防御策略倾向于被动防御，但这种方法对某些特定的攻击手段效果有限。网络安全不仅需要技术应对，更需要全面的策略和意识。

摘要生成于 C知道，由 DeepSeek-R1 满血版支持，前往体验 >

shotgun ，讲故事的黑客

366 人赞同

利益相关：信息安全从业人员，曾在某大学教过公安部委托培训信息安全硕士《攻防与技术侦破》专业课。

======

按照时间划分，一次犯罪是由犯罪动机、犯罪方法和犯罪后果三个部分构成的，那么侦破也相应的可以从这三个部分分别入手。

先来看动机，最难侦破的是无动机犯罪，例如走在街上临时起意做了个案子，回家后洗心革面重新做人，这种案子往往会成为“悬案”，除非当事人主动承认或者再次犯案。绝大多数的犯罪都是有动机的，冲突口角、获取利益、炫耀出名等等，发生计算机犯罪案件后，侦破过程中往往最先要分析的是动机：被拒绝服务攻击，那么会不会是竞争对手？或者之前发生口角争执的用户？非正常离职的员工？等等，通过列出有动机人的嫌疑名单，可以有效缩小进一步侦破的范围。

实际发生过一个案子：有人拒绝服务攻击游戏公司，然后上门推销“拒绝服务防御”设备，攻击者对自己的技术很有信心，也确实没有留下什么痕迹，可是动机分析很容易就锁定了嫌疑犯，一次突击搜查就直接拿到了证据。

其次看方法，分析犯罪手法可以得出很多的结论，有点类似于大家看的《罪案现场调查》中对血迹、弹道和DNA进行分析，比如不久前发生的12306拖库事件，通过对公布出来的库进行比对分析，就得到了攻击者是利用现有的“第三方社工库”进行“撞库攻击”的结论，这样就通过追踪“第三方社工库”来获取犯罪嫌疑人的特征。再比如对攻击工具（例如木马）的分析，可以得出犯罪嫌疑人的开发平台、使用的语言，如果是第三方下载的，那么也就知道了常去的网站，这些都可以是破案的线索。（美国几次公布中国黑客攻击的证据，其中就有大量对工具语言版本的分析作为支撑）

如果攻击者一点痕迹都没留下，其实也相当于留下了痕迹，我们可以判定此人是经验丰富的高手，业内能符合这个特征的人并不多，可以大大缩短怀疑的名单。

最后则是后果，犯罪嫌疑人进行计算机犯罪总是有其目的的，无非是名和利，为名者常常喜欢炫耀，而为利者则避免不了异常的收入和开支，这些都会形成破绽，结合之前的动机和方法，往往能锁定对象。

如果出现高智商反社会罪犯，纯粹出于兴趣进行随机犯罪，这才是最头疼的。

=======

技术力量在计算机犯罪侦破中所能起到的作用是巨大的，除了之前说的“痕迹分析”外，还可能通过攻击路径溯源分析直接定位攻击者。此外，在锁定嫌疑人进行了搜查之后，技术支持往往还要进行证据分析，如果犯罪嫌疑人已经销毁了证据，还可能要进行证据恢复等等。

实际发生计算机犯罪案件时，会根据影响不同而调动不同级别的资源，因此大案要案的破案率明显较高。曾经有一次黑客攻击被误以为是邪教报复，公安部副部长亲自督办，大半夜电信运营商分区拉闸判断攻击位置，定位到攻击城市后，我司的工程师开着商务车运送协议分析设备一个机房一个机房接入检测，天还没亮执法人员就堵住了嫌疑犯大门……

=======

中美在打击计算机犯罪上究竟有哪些不同？

首先，美国更重视针对计算机犯罪的执法队伍的培养，美国的执法人员薪水待遇和社会地位都较高，制度也灵活，因此比较容易招募到水平较高的技术人员，或者通过和大学、研究机构和厂商的合作获得较强的技术支持力量。去年在旧金山召开的RSA信息安全峰会上，美国国土安全局直接摆了一个摊子现场招人。而位于圣迭戈的海军罪案调查处也正大光明的到处递名片谈合作。

与之相对应的是，国内目前执法力量对比黑色产业资源明显不足，公安体系内技术出身的骨干缺少、人员流失、经费不足、案件数量太大，受害者的自我保护意识严重不足（例如完全不知道要保护现场，常常出了问题就直接格式化重装了），这些都是造成计算机犯罪破案率偏低的原因。

此外很重要的一点，美国司法机构强调“毒树之果”原则，如果司法程序有瑕疵，即使抓到罪犯，起诉也会失败，而中国暂时还没有这样的问题。因此美国在计算机犯罪的前期侦查上更谨慎，对技术依赖更高，反过来中国的执法机构却可以通过怀疑假设加上搜查验证的方式快速结案。

而美国计算机犯罪相关的黑色产业链也远没有中国发达，从待处理案件的数量上，美国要远低于中国，但是高智商反社会人格犯罪比例却更高，因此挑战也很大。

=======

补充两点：
1.美国的黑色/灰色产业链远没有中国发达，这点大家去看看中美网银/在线购物的安全防御水平就知道了。原因很多，主要是美国的社会保障比较好、普通人安全感强，所以为了赚钱去做黑产的很少，倒是为了兴趣搞破解黑客的多；此外，美国的信用体系也比较完备，破坏法律的成本很高。

2.为什么锁定高手就能缩小清单，是因为在国内，具备最顶尖能力的黑客（无论白帽黑帽）大多都是在国家清单上的，即使暂时不在，也会和业内其他的高手有交往或合作，毕竟一次复杂的攻击需要的技能和支持太多，远不是一个独行侠靠一己之力能掌握的，大家看侦探小说，有的案子发生后侦探只需要去当地的帮会询问，往往就能得到明确的线索，信息安全界也是如此，总是有千丝万缕的联系。

3.国外来源的攻击并非没有办法追查，通过逆向攻击溯源是一种方法，通过类似CERT的机构要求国外配合协查也是一种办法。

编辑于 2015-04-05 42 条评论感谢收藏 • 没有帮助 • 举报 • 作者保留权利

1184

苏哲，安全工程师

米随随、 Belleve 等 1184 人赞同

上面的大牛们都是说方法，我举个自己追过的具体例子

我朋友在创业，听说他公司被人搞了，请我去帮忙看下。
我发现他们公司服务器会反链一个域名叫 http://yk.syncn.org。于是我查了下这个域名
https://www.virusbook.cn/domain/yk.syncn.org

手机号明显是假的不用说了，邮件看着倒是真的，顺藤摸瓜看了下这个人的gmail找回手机号：*********67。
于是看了下这个人注册的相关域名。

除了yk.syncn.org, 还注册了 http://spacework.co、 http://btsoso.org、 http://xiasidiele.com。别着急,咱们一个一个的看。

我发现“btsoso.org”在百度中居然还能搜到一些东西。有名为“space”和“spac”的网民对该域名进行过推广，并留有qq（956308460）联系方式
这个QQ号的昵称叫SB

照着这个QQ号人肉一番，发现这个QQ号做名字在“红客联盟”、“暗组技术论坛”、“合购网”等多个黑客交流论坛发布信息。那就，翻了下他帖子？发现主要关注“webshell”、“木马免杀”、“远程控制”。想在深入挖掘下，于是就想起了QQ特么不是有邮箱么！

用 http://threatbook.cn查了下956308460@qq.com注册的网站，发现大部分都叫kong ge。太没新意了，你说这帮做黑客的就不能摒弃"哥"这个占便宜的称谓么，袁哥，黑哥，泉哥，能不能有点新意！能不能！？(最后发现人家其实叫空格........可见我对安全圈哥哥哥之类的称谓深恶痛绝)

拿着"空哥"的邮箱，去翻了下已经公开的社公库，发现这个邮箱跟另一个邮箱高度关联1039151694@qq.com。而且登录账号的地址都是广东省清远市。社公库里没找到手机相关的信息。

然后拿着两个qq号，去各个网站找回密码等地方去碰撞，终于把手机碰出5位。是"132****5767"。中间的星号看不见。我们设置为x。玩笑。。。

但其实中间4位是能猜的，地址是广东清远，前三位是132，排查下就能知道，手机号是13232815767。然后根据手机号翻微信，用1039151694翻微信，发现都是一个人，基本上确认没错。

然后用这个手机号再去社公库查下，发现能找到这个人的身份证441801******144617（我打码了）。

身份证手机号都知道了。拿着这个手机号翻支付宝，发现这个人叫曾剑锋，支付宝的邮箱是spacesyn@163.com。又有新信息可以清洗了，还可以再拿这个邮箱再查。但没必要了，想知道的都知道了。

这大概就是追查流程，