想必大家对入侵的一般步骤都是比较熟悉的。我们简单回忆一下。

　　第一步：用各种方法收集目标主机的信息，找到可利用的漏洞或弱点。

　　第二步：针对目标主机的漏洞或缺陷，采取相应的技术攻击主机，直到获得主机的管理员权限。

　　第三步：利用获得的权限在主机上安装后门、跳板、控制端、监视器等等，清除日志。

　　我们一步一步分析。

　　先看第一步，搜集信息，有很多种方法，包括技术的和非技术的。采用技术的方法包括用扫描器扫描主机，探测主机的操作系统类型、版本，主机名，用户名，开放的端口，开放的服务，开放的服务器软件版本等。非技术的方法包括和主机的管理员拉关系套口风，骗取信任，威逼利诱等各种少儿不宜的手段。当然是信息搜集的越全越好。搜集完信息后进入第二步。

　　第二步，对搜集来的信息进行分析，找到可以有效利用的信息。如果有现成的漏洞可以利用，上网找到该漏洞的攻击方法，如果有攻击代码就直接copy下来，然后用该代码取得权限,ok了；如果没有现成的漏洞可以利用，就用根据搜集的信息试探猜测用户密码，另一方面试探研究分析其使用的系统，争取分析出一个可利用的漏洞。如果最后能找到一个办法获得该系统权限，那么就进入第三步，否则，放弃。

　　第三步，有了主机的权限，你想干什么就干什么吧。如果你不知道想干什么，那你就退出来去玩你喜欢玩的游戏吧。

　　上面说的是手动入侵的一般过程，对于自动入侵来说，在应用上有些特殊之处。

　　蠕虫采用的自动入侵技术，由于程序大小的限制，自动入侵程序不可能有太强的智能性，所以自动入侵一般都采用某种特定的模式。我们称这种模式为入侵模式，它是由普通入侵技术中提取出来的。目前蠕虫使用的入侵模式只有一种，这种模式是就是我们前面提到的蠕虫传播过程采用的模式：扫描漏洞－攻击并获得shell－利用shell。这种入侵模式也就是现在蠕虫常用的传播模式。这里有一个问题，就是对蠕虫概念的定义问题，目前对蠕虫的定义把这种传播模式作为蠕虫的定义的一部分，实际上广义的蠕虫应该包括那些使用其他自动传播模式的程序。

　　我们先看一般的传播模式。