活捉黑客：黑客诱捕之计算机蜜罐技术

在《终结者》里，狗是唯一可以区分敌我的工具，因为它判断对方的方式并不仅仅靠眼睛——眼睛是可以被欺骗的，但是气息不能，一个机器人无论伪装得再怎么逼真，都不能具备生命体的气息，但是它能欺骗人类的视觉和听觉，这就足够了。

后门技术从诞生到现在，已经发展了好几代，对自身的伪装技术也越来越成熟了，从最初的启动项结合隐藏进程方式，到最新的Ring0驱动方式，我们越来越难发现这些“客人”的痕迹，当它开始破坏的时候，已经来不及做补救措施了，所以，我们需要一种可以嗅出后门气息的“狗”。

1.准备工作

在进行一切工作之前，用户需要对系统有点了解，例如注册表、启动项、服务、常见的程序和进程名等，这是学习手工查毒最基本的要求，在初期可以多参考一些介绍系统概念的文章如到处都流传的“系统进程详解”、“WinXP系统服务简介及优化措施”等，并做一点笔记，力求日积月累尽快记住一些最常见的系统程序和相关工具的使用方法，如果过不了这个门槛，后面的工作也就无从谈起。

首先，我们必须了解Windows系统的三大知识点：注册表（Registry）、进程（Process）和权限（Privilege）。

“注册表”是出现在Windows 95及以后版本的一种数据库。在这之前，用户要对软硬件工作环境进行配置，就要修改一种被称为“配置设置”（INI）的文件来完成，但是由于每种设备或应用程序都得有自己的INI文件，无形中增加了管理难度，为了解决这个问题，微软开始统一标准并将各种信息资源集中起来存储，最终形成了将应用程序和计算机系统配置信息容纳在一起的“注册表”，用来管理应用程序和文件的关联、硬件设备说明、状态属性以及各种状态信息和数据等，注册表维持着整个系统的正常运作。

注册表采用一种类似文件目录的结构树来描述配置信息，最顶端的5个项目称为“根键”（ROOT_KEY），系统能识别的所有的数据都是从它们这里展开的，这5个根键分别是：

·HKEY_CLASSES_ROOT（负责各种组件注册类别和文件并联信息）

·HKEY_CURRENT_USER（当前登录用户的环境信息）

·HKEY_LOCAL_MACHINE（整个系统的公共环境信息）

·HKEY_USERS（所有用户的环境配置信息）

·HKEY_CURRENT_CONFIG（当前的配置信息）