技術(shù)宅

IT界的黑客與反黑客戰(zhàn)爭(zhēng)一直都在持續(xù)，一方面是技術(shù)高超的黑客利用木馬、病毒、系統(tǒng)漏洞等頻繁對(duì)個(gè)人和公司電腦進(jìn)行攻擊，另一方面，隱藏在電腦屏幕后面的反黑客斗士則通過(guò)各種技術(shù)手段追蹤黑客蹤跡，并試圖為黑客進(jìn)行“虛擬指紋采集”，從而讓黑客無(wú)從遁身。那么什么是“虛擬指紋”？安全專(zhuān)家們又是怎么樣對(duì)黑客進(jìn)行“指紋采集”的？

虛擬空間的蹤跡——認(rèn)識(shí)虛擬指紋

現(xiàn)實(shí)生活中，不法分子在作案現(xiàn)場(chǎng)大多會(huì)留下他們的指紋信息，公安人員通過(guò)采集犯罪嫌疑人的指紋，然后再和指紋庫(kù)中的數(shù)據(jù)比對(duì)從而確定犯罪分子的身份，這已經(jīng)是很常見(jiàn)的場(chǎng)景了。

其實(shí)在虛擬世界里，當(dāng)我們（自然包括各類(lèi)黑客）在互聯(lián)網(wǎng)中里進(jìn)行各種網(wǎng)絡(luò)活動(dòng)的時(shí)候，比如瀏覽網(wǎng)頁(yè)、接收郵件或者攻擊對(duì)方電腦等，在這個(gè)“虛擬現(xiàn)場(chǎng)”里也不可避免地會(huì)留下各種信息，像使用搜索引擎的搜索記錄、啟動(dòng)軟件的操作記錄、使用的操作系統(tǒng)版本等這些信息。這些網(wǎng)絡(luò)活動(dòng)遺留的信息被稱(chēng)之為“虛擬指紋”信息，它就像是生活中的不法分子在作案現(xiàn)場(chǎng)遺留作案信息一樣，而經(jīng)驗(yàn)豐富的安全專(zhuān)家則可以根據(jù)這些信息找到黑客，并將其繩之以法（圖1）。

采集虛擬指紋——追蹤黑客蛛絲馬跡

只要我們?cè)诰W(wǎng)絡(luò)上活動(dòng)就不可避免會(huì)留下各種虛擬指紋信息數(shù)據(jù)。不過(guò)，防黑安全專(zhuān)家是怎么采集到這些數(shù)據(jù)的呢？又是通過(guò)什么方法分析這些數(shù)據(jù)并追蹤到具體黑客的？

我們知道公安部門(mén)的指紋庫(kù)是通過(guò)各級(jí)公安機(jī)關(guān)對(duì)全國(guó)各地的犯罪嫌疑人進(jìn)行采集，然后與在后續(xù)出現(xiàn)的案發(fā)現(xiàn)場(chǎng)提取的指紋進(jìn)行比對(duì)，從而找出特定的嫌疑人。同樣的，安防專(zhuān)家為了能夠在一些惡意侵入和攻擊當(dāng)中找到特定的黑客，他們也會(huì)建立相應(yīng)的虛擬指紋數(shù)據(jù)庫(kù)，從而在發(fā)生黑客攻擊事件時(shí)進(jìn)行比對(duì)以快速找出這些不法之徒。

比如，某安全公司的黑客指紋數(shù)據(jù)庫(kù)就包含多達(dá)數(shù)千萬(wàn)個(gè)惡意IP，而這些IP背后就是一個(gè)個(gè)現(xiàn)實(shí)生活中的黑客，無(wú)論黑客攻擊是使用真實(shí)IP還是VPN代理IP，都會(huì)進(jìn)入指紋數(shù)據(jù)庫(kù)。同時(shí)這些黑客的攻擊行為、攻擊路線、攻擊習(xí)慣等也都會(huì)被同時(shí)記錄在數(shù)據(jù)庫(kù)中（圖2）。

在這些指紋庫(kù)里，每一個(gè)IP都會(huì)關(guān)聯(lián)它的歷次攻擊行為，并且根據(jù)黑客利用漏洞的能力和攻擊威脅、頻率等參數(shù)對(duì)其進(jìn)行綜合評(píng)級(jí)。比如某位黑客成功利用了一個(gè)0Day漏洞進(jìn)行入侵，那么他就有可能被標(biāo)為最高等級(jí)（意味著這種黑客的攻擊性很強(qiáng)、安全威脅也非常大），同時(shí)還將黑客的搜索記錄、職業(yè)習(xí)慣等其他行為進(jìn)行綜合記錄，確保可以比較完整地勾勒出黑客的實(shí)際面貌（圖3）。

黑客們的這些綜合信息是怎么獲取的？安防專(zhuān)家可以通過(guò)域名、網(wǎng)頁(yè)監(jiān)控、郵件監(jiān)控等手段獲取。比如一個(gè)黑客通過(guò)搜索引擎訪問(wèn)一個(gè)被監(jiān)控的網(wǎng)站，那么安防專(zhuān)家就可以通過(guò)監(jiān)控記錄進(jìn)行溯源，找出黑客的搜索記錄和IP地址，從而知道黑客的實(shí)際位置和搜索喜好。像上圖的指紋數(shù)據(jù)，專(zhuān)家們通過(guò)溯源，知道這位黑客經(jīng)常登錄交友論壇，并且經(jīng)常搜索各類(lèi)專(zhuān)業(yè)的編程代碼，通過(guò)IP地址查詢(xún)可以知道黑客的實(shí)際位置（假設(shè)為上海），喜好是交友，職業(yè)應(yīng)該是一位程序員。這樣一個(gè)上海程序員的黑客就躍然紙上了（圖4，此處純?yōu)槭纠僭O(shè)）。

因?yàn)槊總€(gè)人上網(wǎng)都有一個(gè)對(duì)應(yīng)的IP地址，通過(guò)一些專(zhuān)業(yè)工具可以輕易查詢(xún)到實(shí)際地址。當(dāng)然黑客在做壞事的時(shí)候一般使用代理軟件，但是黑客不可能瀏覽一切網(wǎng)頁(yè)都掛代理，比如他在訪問(wèn)一些本地論壇或者掛QQ、微信的時(shí)候基本上會(huì)用自己的真實(shí)IP，所以理論上只要關(guān)注黑客時(shí)間夠長(zhǎng)，搜尋到的黑客使用的網(wǎng)絡(luò)工具足夠多，那么黑客的真實(shí)身份（IP）就一定會(huì)暴露（圖5）。

當(dāng)然在實(shí)際的跟蹤中，還有許多手段獲取黑客的其他真實(shí)信息，比如可以通過(guò)黑客手機(jī)上的定位軟件，結(jié)合百度地圖、谷歌地圖等獲取其實(shí)際行蹤信息（圖6）。

如果要抓到現(xiàn)實(shí)生活中真正的黑客，公安部門(mén)還會(huì)聯(lián)合相關(guān)部門(mén)，如通過(guò)通訊公司查詢(xún)?cè)撊说耐ㄓ嵱涗?，通過(guò)查閱社交網(wǎng)站服務(wù)器的后臺(tái)數(shù)據(jù)找到黑客的聊天記錄等等手段將其一舉捉獲。因此對(duì)于那些想在網(wǎng)上炫耀自己實(shí)力、隨意入侵他人電腦的黑客們，其實(shí)在虛擬的網(wǎng)絡(luò)中依然是法網(wǎng)恢恢、疏而不漏。

安全防范 要養(yǎng)成良好的上網(wǎng)習(xí)慣

通過(guò)上面的描述，我們知道在使用各種網(wǎng)絡(luò)工具時(shí)都會(huì)留下各種痕跡，而通過(guò)網(wǎng)絡(luò)監(jiān)控追尋到現(xiàn)實(shí)生活中的每一個(gè)人也不是什么新聞，前段時(shí)間鬧得沸沸揚(yáng)揚(yáng)的棱鏡風(fēng)波正是這種監(jiān)控工具活生生的應(yīng)用實(shí)例。

當(dāng)然網(wǎng)友們并不是為非作歹的黑客，但是大家知道安防專(zhuān)家可以通過(guò)網(wǎng)絡(luò)信息追查到實(shí)際的黑客，同樣的黑客們也會(huì)通過(guò)這些信息追尋到每一個(gè)人。因此要安全上網(wǎng)不泄露自己的隱私信息，我們平時(shí)就要養(yǎng)成一些良好的上網(wǎng)習(xí)慣，比如不要輕易在微博、微信上泄露自己的實(shí)際信息（如居住地址、孩子學(xué)校信息等），對(duì)自己的上網(wǎng)記錄要及時(shí)清除等?？傊疄榱烁玫乇Ｗo(hù)自己，我們盡量在網(wǎng)絡(luò)上留下更少的信息，以防止黑客們通過(guò)這些信息竊取我們的隱私，帶來(lái)不必要的損失。