我的意思是,我是我所在地区的技术人员(不是黑客......)。当我坐在另一个人的电脑前时,我注意到我对自己在系统中能做什么感到有点害怕。
很明显,我不会妥协/窃取/等等系统......我的工作之一是修复系统,在这件事上我是一个“有道德的人”。
但我不知道另一个修理另一台电脑的技术人员的性格和道德。实际上,我的很大一部分收入是来自PC有问题的客户,发送给其他技术人员;那些家伙“修复”了PC,一段时间后客户敲我的门,请求帮助,因为另一个人“破坏”了系统。
但现在,我很好奇。(预先准备好的)黑客在物理访问系统时可以做什么?我可以考虑黑客在这种情况下可以使用的 3 个不同“级别”的资源,这将改变他的行为:
我知道范围可能很大,所以让我们考虑一下黑客会尝试简化从 Internet 的访问,因此当他在家里的 PC 中时,他会远程访问受害者 PC。
他能在这点上做什么?我如何检查系统的这种攻击?
专注于您的个人案例:
在前两种情况下,恶意软件使他能够随时完全访问该盒子。在第三种情况下,它仍然是微不足道的。他可以在机器上设置一个隐藏帐户,以后将其用于远程桌面。他可以设置远程协助。根据用户运行的 Windows 版本,他可以设置终端服务。他甚至可以卸载安全补丁以启用远程代码执行漏洞,然后在家中利用它。使这样的机器可以远程妥协并不难。
如上所述,根据我对任何类型的访问的经验,大多数东西都可以是物理的或远程的,如果您不能 100% 确定黑客尚未获得 root 远程访问权限,则将其粉碎。
我倾向于在私人时间找到一个朋友或同龄人,他们认为被 root 工具包打过是一种“猫捉老鼠”的乐趣游戏。但在同一个级别上,只有我这个白帽才能学习访问的方式以及权限级别是如何获得的。
这就是说,以我的专业经验,我首先想到的是运行wireshark或系统的nmap,并确保您是否有现场备份服务器,看看备份是否被感染或破坏.
总而言之,如果黑客有恶意,并且对系统有物理访问权,您需要自担风险,尝试从中恢复数据,但将其转储,此时恢复可能远远超出一个选项。
一般来说,物理安全是 IT 安全的一个关键(可以说是最关键的)部分。归根结底,几乎任何东西都可以通过本地访问硬件来覆盖。加密仍然提供一些保护,但可以直接提取加密数据,如果它在硬件上未加密移动,如果投入了足够的资源,通常可以利用系统总线本身。(这就是原始 Xbox 的 DRM 被破坏的方式)。实际上,在运行的系统上,如果不维护物理安全性,那么所有其他安全性都是毫无意义的,因为任何和所有访问都可能被监视或更改。