攻击者入侵某个系统，总是由某个主要目的所驱使的。例如炫耀技术，得到企业机密数据，破坏企业正常的业务流程等等，有时也有可能在入侵后，攻击者的攻击行为，由某种目的变成了另一种目的，例如，本来是炫耀技术，但在进入系统后，发现了一些重要的机密数据，由于利益的驱使，攻击者最终窃取了这些机密数据。

　　而攻击者入侵系统的目的不同，使用的攻击方法也会不同，所造成的影响范围和损失也就不会相同。因此，在处理不同的系统入侵事件时，就应当对症下药，不同的系统入侵类型，应当以不同的处理方法来解决，这样，才有可能做到有的放矢，达到最佳的处理效果。

　　对于以往和现在发生的系统入侵事件，根据权威机构的统计分析，可以将它们按入侵的主要目的归纳为下列三种主要类型：

　　1、 以炫耀技术为目的的系统入侵行为。

　　2、 以得到或破坏系统中机密数据为目的系统入侵行为。

　　3、 以破坏系统或业务正常运行为目的的系统入侵行为。

　　本文后面将要讲述的内容，就是讨论应当使用什么样的方法来快速恢复被上述这三种系统入侵类型入侵了的系统，以及使用什么样的方法来降低系统入侵带来的影响范围和严重程度。当然，在开始恢复被入侵系统之前，我们应当确保下列所示的任务已经按要求完成：

　　1、 开启了系统审核功能。

　　2、 系统、防火墙及IDS/IPS产生的日志文件已经另外保存。

　　3、 系统和系统中的重要应用程序及数据已经存在完全备份或相应的增量备份。

　　4、 已经准备好了弱点检测工具（如X-Scan或Nessus），文件完整性检测工具（如Rootkit Revealer），系统进程查看（如IceSword或ProceXP）和网络连接查看工具(如Fport)等必要的第三方软件，并且保证这些软件随时可以使用。

　　5、 已经发现了系统入侵事件，并且已经及时识别了系统入侵事件的真假，以及按入侵的严重程度进行了分类。

　　上面列出来的这些任务不仅是及时发现系统被入侵的前提条件，而且是成功恢复被入侵系统、降低系统入侵损失的基本条件，我们应当认真细致地完成它们。鉴于目前我国大多数中小企业和普通用户的计算机使用的都是Windows XP操作系统，在本文中，如果没有特别的说明，所说的系统都是指Windows XP操作系统。

黑客入侵 系统