谈一谈|你不知道的黑客

1 前言

现代人的生活离不开互联网，提到互联网人们总会想到一个词，那就是黑客。对于黑客大家对他们的了解却只局限于电影、电视中他们“无处不在”的可怕和他们“翻手为云覆手为雨”的技术中。但真正的黑客到底是什么？

2 什么是黑客

笔挺的黑色西装+个性的黑色墨镜？连帽的衣服+酷酷的面具？

图1 黑客图片

2.1 黑客简介

黑客源自英文词汇hacker。hacker一词，最初曾指热心于计算机技术、水平高超的电脑高手，尤其是程序设计人员。

黑客通常是指对计算机科学、编程和设计方面具高度理解的人，但在不同的领域也可以指不同的人：

a.在信息安全里，“黑客”指研究智取计算机安全系统的人员。利用公共通讯网路，如互联网和电话系统，在未经许可的情况下，载入对方系统的被称为黑帽黑客（英文：black hat，另称cracker）；调试和分析计算机安全系统的白帽黑客（英语：white hat）。“黑客”一词最早用来称呼研究盗用电话系统的人士。

b.在业余计算机方面，“黑客”指研究修改计算机产品的业余爱好者。1970年代，很多的这些群落聚焦在硬件研究，1980和1990年代，很多的群落聚焦在软件更改（如编写游戏模组、攻克软件版权限制）。

c.“黑客”是“一种热衷于研究系统和计算机（特别是网络）内部运作的人”。

d. 在圈外或媒体上通常被定义为：专门入侵他人系统的计算机高手。

2.2 黑客、红客等的区别

黑客，最早源自英文hacker，早期在美国的电脑界是带有褒义的。他们都是水平高超的电脑专家，尤其是程序设计人员，算是一个统称。

红客，维护国家利益代表中国人民意志的红客，他们热爱自己的祖国，民族，和平，极力的维护国家安全与尊严。

蓝客，信仰自由，提倡爱国主义的黑客们，用自己的力量来维护网络的和平。

骇客，是“Cracker”的音译，就是“破解者”的意思。从事恶意破解商业软件、恶意入侵别人的网站等事务。与黑客近义，其实黑客与骇客本质上都是相同的，闯入计算机系统/软件者。

图2 破解图

3 黑客守则

通过电影、电视大家都会觉得黑客就是想干啥就干啥，一台电脑走天下，即使犯法了警察也抓不到的。但实际上黑客也有着自己的守则的，他们也不会像影片上演的那样。一起来看看黑客守则：

1. 不恶意破坏任何的系统, 这样做只会给你带来麻烦。恶意破坏他人的软件将导致法律责任, 如果你只是使用电脑, 那仅为非法使用。注意:千万不要破坏别人的文件或数据。

2. 不修改任何系统文件, 如果你是为了要进入系统而修改它, 请在达到目的后将它还原。

3. 不要轻易的将你要 Hack 的站点告诉你不信任的朋友。

4. 不要在 bbs/论坛上谈论关于你 Hack 的任何事情。

5. 在 Post 文章的时候不要使用真名。

6. 入侵期间, 不要随意离开你的电脑。

7. 不要入侵或攻击电信/政府机关的主机。

8. 不在电话中谈论关于你 Hack 的任何事情。

9. 将你的笔记放在安全的地方。

10.读遍所有有关系统安全或系统漏洞的文件 (对英语基础要求高)。

11.已侵入电脑中的帐号不得删除或修改。

13.不将你已破解的帐号分享与你的朋友。

14.不会编程的黑客不是好黑客。

15.黑客不同于“盗”（精髓）。

16.不遵守法则的黑客必将受到谴责。

4 你必须知道的中国黑客代表

虽然有关黑客的比较出名的影视作品都是国外拍摄的，会给大家造成一种黑客都是国外的事情，但是我们的国家也有在世界上比都很优秀的黑客团队哦！

4.1 Keen Team

Keen Team (碁震安全研究团队)是一支由在信息安全理论和技术研究方面全球领先的中国“白帽”安全专家组成的信息安全研究队伍，是世界范围内由厂商官方确认发现计算机漏洞数量最多、最了解突破现代安全保护技术的专业安全团队之一。

图3 Keen Team图片

在2015年Pwn2Own世界黑客大赛中，Keen Team、腾讯电脑管家联合团队以IE的Flash和PDF插件作为主要攻击目标，最终夺冠。Keen Team实现3年5个冠军的傲人战绩,成为Pwn2Own历史上获胜次数最多的亚洲团队，至今仍保持着纪录。

2015年世界黑客大会Black Hat上，Keen Team首席科学家吴石成为黑客奥斯卡——Pwnie奖亚洲唯一终身成就奖提名者，Keen Team的两个研究项目获得“Pwnies Awards 2015”提名，Keen Team成为Pwnie奖提名最多的中国团队。

4.2 蓝莲花战队

蓝莲花（Blue-Lotus）战队是一支源自清华大学的网络安全技术竞赛和研究团队，是中国参与CTF（Capture The Flag）网络安全技术竞赛成绩最为突出的一支国际知名战队。2013年成为华人世界历史上首支成功闯入DEFCON黑客大会 CTF全球总决赛 [1] 的队伍，并获得安全宝冠名赞助。2014年连续第二次入围DEFCON CTF全球总决赛，并获得第五名的优秀战绩。2014年蓝莲花战队成功组织BCTF“百度杯”全国网络安全技术对抗赛，成为当时全国参与规模最大的CTF赛事，并在2014至2015年开始发起并总体组织XCTF全国网络安全技术对抗联赛。

5 如何成为一名黑客

相信讲到这里，大家都想问应该如何成为一名黑客呢？其实作者认为成为一名黑客很简单。

1、兴趣。确定自己可以吃得了苦，耐得住寂寞，掉得了头发。

2、定位。如果是想当一名骇客，那只需要自学一些技术，然后去网上搞搞破坏，再坐上几次监狱，恐怕就差不多了。但要成为一名黑客，则不可以持有这种态度，要认真的遵守黑客守则。

3、学习。先把英语学好，然后学习基本的编程，学会使用并运行Unix，学会使用Web和写HTML，搞懂计算机原理，当你可以一门语言自行编程时，你就可以找一些前辈的书对照学习了再加上不懈的努力。

4、包装。当你完成了以上的步骤以后，接下来就是包装自己啦。记住一定要笔挺的黑色西装+个性的黑色墨镜或者连帽的衣服+酷酷的面具哦。

网络安全学习路线&学习资源

网络安全的知识多而杂，怎么科学合理安排？

下面给大家总结了一套适用于网安零基础的学习路线，应届生和转行人员都适用，学完保底6k！就算你底子差，如果能趁着网安良好的发展势头不断学习，日后跳槽大厂、拿到百万年薪也不是不可能！

初级网工

1、网络安全理论知识（2天）

①了解行业相关背景，前景，确定发展方向。
②学习网络安全相关法律法规。
③网络安全运营的概念。
④等保简介、等保规定、流程和规范。（非常重要）

2、渗透测试基础（一周）

①渗透测试的流程、分类、标准
②信息收集技术：主动/被动信息搜集、Nmap工具、Google Hacking
③漏洞扫描、漏洞利用、原理，利用方法、工具（MSF）、绕过IDS和反病毒侦察
④主机攻防演练：MS17-010、MS08-067、MS10-046、MS12-20等

3、操作系统基础（一周）

①Windows系统常见功能和命令
②Kali Linux系统常见功能和命令
③操作系统安全（系统入侵排查/系统加固基础）

4、计算机网络基础（一周）

①计算机网络基础、协议和架构
②网络通信原理、OSI模型、数据转发流程
③常见协议解析（HTTP、TCP/IP、ARP等）
④网络攻击技术与网络安全防御技术
⑤Web漏洞原理与防御：主动/被动攻击、DDOS攻击、CVE漏洞复现

5、数据库基础操作（2天）

①数据库基础
②SQL语言基础
③数据库安全加固

6、Web渗透（1周）

①HTML、CSS和JavaScript简介
②OWASP Top10
③Web漏洞扫描工具
④Web渗透工具：Nmap、BurpSuite、SQLMap、其他（菜刀、漏扫等）

恭喜你，如果学到这里，你基本可以从事一份网络安全相关的工作，比如渗透测试、Web 渗透、安全服务、安全分析等岗位；如果等保模块学的好，还可以从事等保工程师。薪资区间6k-15k

到此为止，大概1个月的时间。你已经成为了一名“脚本小子”。那么你还想往下探索吗？

【“脚本小子”成长进阶资源领取】

7、脚本编程（初级/中级/高级）

在网络安全领域。是否具备编程能力是“脚本小子”和真正黑客的本质区别。在实际的渗透测试过程中，面对复杂多变的网络环境，当常用工具不能满足实际需求的时候，往往需要对现有工具进行扩展，或者编写符合我们要求的工具、自动化脚本，这个时候就需要具备一定的编程能力。在分秒必争的CTF竞赛中，想要高效地使用自制的脚本工具来实现各种目的，更是需要拥有编程能力.

零基础入门，建议选择脚本语言Python/PHP/Go/Java中的一种，对常用库进行编程学习； 搭建开发环境和选择IDE,PHP环境推荐Wamp和XAMPP， IDE强烈推荐Sublime； ·Python编程学习，学习内容包含：语法、正则、文件、 网络、多线程等常用库，推荐《Python核心编程》，不要看完； ·用Python编写漏洞的exp,然后写一个简单的网络爬虫； ·PHP基本语法学习并书写一个简单的博客系统； 熟悉MVC架构，并试着学习一个PHP框架或者Python框架 (可选)； ·了解Bootstrap的布局或者CSS。

8、超级网工

这部分内容对零基础的同学来说还比较遥远，就不展开细说了，贴一个大概的路线。感兴趣的童鞋可以研究一下，不懂得地方可以【点这里】加我耗油，跟我学习交流一下。

网络安全工程师企业级学习路线

如图片过大被平台压缩导致看不清的话，可以【点这里】加我耗油发给你，大家也可以一起学习交流一下。

一些我自己买的、其他平台白嫖不到的视频教程：

需要的话可以扫描下方卡片加我耗油发给你（都是无偿分享的），大家也可以一起学习交流一下。

结语

网络安全产业就像一个江湖，各色人等聚集。相对于欧美国家基础扎实（懂加密、会防护、能挖洞、擅工程）的众多名门正派，我国的人才更多的属于旁门左道（很多白帽子可能会不服气），因此在未来的人才培养和建设上，需要调整结构，鼓励更多的人去做“正向”的、结合“业务”与“数据”、“自动化”的“体系、建设”，才能解人才之渴，真正的为社会全面互联网化提供安全保障。

特别声明：

此教程为纯技术分享！本书的目的决不是为那些怀有不良动机的人提供及技术支持！也不承担因为技术被滥用所产生的连带责任！本书的目的在于最大限度地唤醒大家对网络安全的重视，并采取相应的安全措施，从而减少由网络安全而带来的经济损失！！！