如何抓到入侵网站的黑客?

发布于 2017-07-09 17:26:56

黑客都是怎么被抓的?有哪些技术能辅助抓捕一名入侵网站的黑客?目前黑客犯罪猖獗而执法者相对弱势的原因是什么?国内国外情况有区别吗?


查看更多

关注者
5
被浏览
3.2k
20 个回答
懒得可爱
懒得可爱 2017-05-17

可以再所有网络节点部署单向磁带机。但是对养马和挑拨的没用,尤其是某些自封网管的黑灰人士。所以,一般需要被动防御。另外,其实很多情况下都在扯皮。懂得都懂hhh

心野路子正
心野路子正 2017-05-17

抓入侵黑客基本上要满足这三个条件
1、黑客攻击隐藏不完美,有痕迹可循
2、黑客没后台
3、黑客得罪了不该得罪的势力

目前稍微有一定技术实力的黑客,都知道销毁活隐藏入侵和嗅探的痕迹,来掩盖自己,但入侵痕迹容易隐藏,利益链却很难隐藏,很少有入侵行为是不带利益诉求的,所以一般通过追踪获益途径往往能找到目标人物。(挂马,盗号,攻击竞争对手是最常见的几种)

其实目前中国在抓捕网络黑客方面还是抓了不少人的,但是实际上曝光的不多,简单说就是一个词,家丑不可外扬,巨头们抓黑客谁也不愿意声张出去,所以给人的假象是黑客是抓不到的,实则不然。但是小公司,创业团队往往会有无力感。

一池忧愁
一池忧愁 2017-03-17

其实有些时候就算你知道是谁,你也不敢搞他。不信你试试~

以前觉得没那么难,其实挺难的……真正要搞你的,不会留下丝毫信息。

比如在一个准备发动CC攻击的场景中,本地电脑连接一台能够随时修改ip的国外主机作为跳板,然后再用跳板连接到另外一台跳板,然后再连接到真正的操控端,操作指令完成后,销毁所有跳板IP,问题来了,你怎么找到这个黑客。


天才小喷子
天才小喷子 2017-04-17

题主问的是怎么抓人吧,其实钓鱼执法是最简单的。如果对方够蠢。一般来说,你可以写个信表达对他们发现漏洞的感谢。

然后说要送点钱,或者邀请他来公司免费参观,顺便旅游逛逛所在公司的城市等等。

然后他来的时候直接报警抓起来……(最好能套出犯罪事实证据)


m0ke
m0ke 2017-08-17

只有我一个人觉得题主问的是『什么样的黑客才会被抓』么hhh


哆了个啦鸭
哆了个啦鸭 2017-02-17

其实现在我们所上的网络特别是国内,大多数都被监控着,网络真的是法外之物么?架设再多VPN+Tor+虚拟机,还不是在人家眼皮子底下

32号杂货铺
32号杂货铺 2017-02-17

如果黑客用tor技术,想要抓捕到他,难度不是一般高,不过如果黑客攻击了网站,那就必然存在与网站相关连的地方,因为访问一个网站都有相关的ip纪录,黑客如果踩入雷区,必然会查到的。

对于追踪来说一般有这么三种套路:IP->域名->Whois信息->社交网络信息->真实信息:这个套路对于现在来说可能用处不是特别大,但是根据历史Whois信息也是可以得出一些启发性的结论的,当然这些威胁情报数据可能付费。IP->VPN->IP->社交网络信息:这种情况一般是大多数,解决方法是通过查询IP反连记录,解析操作和一些fingerprint获得他的虚拟身份信息,当然也是要收费的IP->botnet->IP->社交网络信息:这种广泛分布于挖矿、刷票、DDoS这种肉鸡类型的,可以想办法截获起botnet样本进行逆向分析,获取其c&c服务器地址,然后对服务器进行反连查询。没错还是要收费的。再说多了估计黑产大哥要把我腿打断了

水蜜桃
水蜜桃 2017-04-25

所有网络节点部署单向磁带机,呵呵。但是对养马和挑拨的没用,尤其是某些自封网管的黑灰人士。所以,一般需要被动防御。另外,其实很多情况下都在扯皮。那啥的意志,都懂的。

18线吴彦祖
18线吴彦祖 2017-01-25
暂时没什么可以说的

除非低级黑客或者出现失误,你基本上抓不到对方。假设黑客没有即时或故意没有删除被攻击的服务器的日志1. 只有让公安机关介入调查网络服务商的数据记录,才有可能提升抓到人的几率2. 然后还要对方看是否用了多个路由,调查路径可能从你家服务器一路跑到国外的路由,再从国外的路由调查回本国的路由,需要大量时间和资源(而且国外路由不是想查就能查)3. 如果黑客用了大量肉鸡,还要先查到肉鸡,再通过肉鸡查源头4. 最后,黑客有各种办法隐藏身份。即便你查到了物理地址,也可能不是黑客自己的。

no皮欧
no皮欧 2017-03-25
暂时没什么可以说的

如果黑客用tor技术,难度不是一般高,不过在如果黑客攻击了网站,必然存在与网站相关连的地方,因为访问一个网站都有相关的ip纪录,那么黑客如果踩入雷区,必然会查到的。

即使发一个木马,这个木马也会有相应的一个源ip地址。

java小丑
java小丑 2017-02-25
暂时没什么可以说的

其实现在我们所上的网络特别是国内,大多数都被监控着,zhengfu和有关部门你以为会让网络成为法外之物?架设再多VPN+Tor+虚拟机,还不是在人家眼皮子底下

duck不必
duck不必 2017-07-25
暂时没什么可以说的

理论上讲,通过入侵网站遗留下来的蛛丝马迹都是可以抓到幕后黑手的,不过有时候抓到黑客的难度超乎想象或者说抓捕成本已经超过了入侵该网站所造成的影响。一些成功抓捕的,要么是一些脚本黑客,并不懂很好的保护自己,用自己真实ip去操作,或者在入侵的时候自己不小心暴露了自己的地址,有次协助网监办案的时候,发现入侵该网站的操作ip都是美国的ip有上万条数据,但是经过仔细筛选在这些数据中其中有几条是国内的,猜想应该是该黑客挂着代理扫描,但是代理突然中断当时她并不知情,接着用自己的真实ip扫描,发现后又接着挂上代理扫,当时去拿人的时候这人还在搞着攻击逮个正着。还有一些虽然有使用跳板,但是可以通过技术手段逆向查询和这个跳板连接的ip,反跟踪回去也能找到黑客真实地址。如果跳板够多,或者在多个国家之间跳转那就不好查了。

真正的黑客,要么你压根查不到,要么就是人家根本不藏。

Ctrlc
Ctrlc 2017-07-25
暂时没什么可以说的

简单来说,抓到的可能性微乎其微。五角大楼被侵入还常常找不到人,何况民间公司,黑客往往多层跳板,你追查发现在攻击ip在一反华的国家,还怎么继续下去?当我们手机钱包丢了的时候,报案做个笔录又如何,认栽就得了,否则就是真的想多了。一句话,安全这东西,自己的意识最重要。

TaoZi
TaoZi 2017-05-25

曾做过一些入侵和DDos类的案子,结果都很理想,在入侵追溯方面主要还是成本问题,对抗的成本,公共资源投入的成本,部门协调的成本等等,在目前的情况下如果能打破封闭,有效联合,联动的情况下,我想大多数的入侵或攻击是可以有一个好的结果的,但是目前我们封闭所造成的成本太高了。

bestzzz
bestzzz 2017-05-25
暂时没什么可以说的

脚本小子玩起的小白来说 多数小白入侵网站后做的更多的是写入webshell 挂个黑页 然后再提权服务器 当然这是批量随意的入侵 可能是为了炫耀或联系 当然很少小白会注意入侵痕迹的清洗还有的就是指定入侵了 可能涉及到了黑产以及资料涉密性的输出 当然干这些的肯定是大手级别的 显示是职业做黑产的 不能轻易被发现

啥的健康恢复卡接收到回复
于是洛灵感焉

在技术上能提供哪些方法辅助抓捕一名黑客?

1、 日志溯源 可以抓一些不带套的新手

2、 反向渗透VPN服务器

3、 Webrtc结合社工手段查取到对方的真实IP

4、 通过后门密码或者后门文件名以及hash等 到自建的威胁数据库里面去匹配特征或者Hash

Petrichor
Petrichor 2021-05-24
暂时没什么可以说的

按照时间划分,一次犯罪是由犯罪动机、犯罪方法和犯罪后果三个部分构成的,那么侦破也相应的可以从这三个部分分别入手。

先来看动机,最难侦破的是无动机犯罪,例如走在街上临时起意做了个案子,回家后洗心革面重新做人,这种案子往往会成为“悬案”,除非当事人主动承认或者再次犯案。绝大多数的犯罪都是有动机的,冲突口角、获取利益、炫耀出名等等,发生计算机犯罪案件后,侦破过程中往往最先要分析的是动机:被拒绝服务攻击,那么会不会是竞争对手?或者之前发生口角争执的用户?非正常离职的员工?等等,通过列出有动机人的嫌疑名单,可以有效缩小进一步侦破的范围。

实际发生过一个案子:有人拒绝服务攻击游戏公司,然后上门推销“拒绝服务防御”设备,攻击者对自己的技术很有信心,也确实没有留下什么痕迹,可是动机分析很容易就锁定了嫌疑犯,一次突击搜查就直接拿到了证据。

其次看方法,分析犯罪手法可以得出很多的结论,有点类似于大家看的《罪案现场调查》中对血迹、弹道和DNA进行分析,比如不久前发生的12306拖库事件,通过对公布出来的库进行比对分析,就得到了攻击者是利用现有的“第三方社工库”进行“撞库攻击”的结论,这样就通过追踪“第三方社工库”来获取犯罪嫌疑人的特征。再比如对攻击工具(例如木马)的分析,可以得出犯罪嫌疑人的开发平台、使用的语言,如果是第三方下载的,那么也就知道了常去的网站,这些都可以是破案的线索。(美国几次公布中国黑客攻击的证据,其中就有大量对工具语言版本的分析作为支撑)

如果攻击者一点痕迹都没留下,其实也相当于留下了痕迹,我们可以判定此人是经验丰富的高手,业内能符合这个特征的人并不多,可以大大缩短怀疑的名单。

最后则是后果,犯罪嫌疑人进行计算机犯罪总是有其目的的,无非是名和利,为名者常常喜欢炫耀,而为利者则避免不了异常的收入和开支,这些都会形成破绽,结合之前的动机和方法,往往能锁定对象。

如果出现高智商反社会罪犯,纯粹出于兴趣进行随机犯罪,这才是最头疼的。

技术力量在计算机犯罪侦破中所能起到的作用是巨大的,除了之前说的“痕迹分析”外,还可能通过攻击路径溯源分析直接定位攻击者。此外,在锁定嫌疑人进行了搜查之后,技术支持往往还要进行证据分析,如果犯罪嫌疑人已经销毁了证据,还可能要进行证据恢复等等。

实际发生计算机犯罪案件时,会根据影响不同而调动不同级别的资源,因此大案要案的破案率明显较高。曾经有一次黑客攻击被误以为是邪教报复,公安部副部长亲自督办,大半夜电信运营商分区拉闸判断攻击位置,定位到攻击城市后,我司的工程师开着商务车运送协议分析设备一个机房一个机房接入检测,天还没亮执法人员就堵住了嫌疑犯大门……

中美在打击计算机犯罪上究竟有哪些不同?

首先,美国更重视针对计算机犯罪的执法队伍的培养,美国的执法人员薪水待遇和社会地位都较高,制度也灵活,因此比较容易招募到水平较高的技术人员,或者通过和大学、研究机构和厂商的合作获得较强的技术支持力量。去年在旧金山召开的RSA信息安全峰会上,美国国土安全局直接摆了一个摊子现场招人。而位于圣迭戈的海军罪案调查处也正大光明的到处递名片谈合作。

与之相对应的是,国内目前执法力量对比黑色产业资源明显不足,公安体系内技术出身的骨干缺少、人员流失、经费不足、案件数量太大,受害者的自我保护意识严重不足(例如完全不知道要保护现场,常常出了问题就直接格式化重装了),这些都是造成计算机犯罪破案率偏低的原因。

此外很重要的一点,美国司法机构强调“毒树之果”原则,如果司法程序有瑕疵,即使抓到罪犯,起诉也会失败,而中国暂时还没有这样的问题。因此美国在计算机犯罪的前期侦查上更谨慎,对技术依赖更高,反过来中国的执法机构却可以通过怀疑假设加上搜查验证的方式快速结案。

而美国计算机犯罪相关的黑色产业链也远没有中国发达,从待处理案件的数量上,美国要远低于中国,但是高智商反社会人格犯罪比例却更高,因此挑战也很大。

补充两点:

1、美国的黑色/灰色产业链远没有中国发达,这点大家去看看中美网银/在线购物的安全防御水平就知道了。原因很多,主要是美国的社会保障比较好、普通人安全感强,所以为了赚钱去做黑产的很少,倒是为了兴趣搞破解黑客的多;此外,美国的信用体系也比较完备,破坏法律的成本很高。

2、为什么锁定高手就能缩小清单,是因为在国内,具备最顶尖能力的黑客(无论白帽黑帽)大多都是在国家清单上的,即使暂时不在,也会和业内其他的高手有交往或合作,毕竟一次复杂的攻击需要的技能和支持太多,远不是一个独行侠靠一己之力能掌握的,大家看侦探小说,有的案子发生后侦探只需要去当地的帮会询问,往往就能得到明确的线索,信息安全界也是如此,总是有千丝万缕的联系。

3、国外来源的攻击并非没有办法追查,通过逆向攻击溯源是一种方法,通过类似CERT的机构要求国外配合协查也是一种办法

撰写答案

请登录后再发布答案,点击登录

分享
好友

手机
浏览

扫码手机浏览