hacker的本质-身份大盗

hacker恐怕是计算机世界里最神秘的角色，他来无影去无踪，神不知鬼不觉，仿佛在计算机世界里无所不能。电影里的hacker上到遥控卫星导弹，下到控制红绿灯，短短几秒钟，就能改天换地，简直就是现代世界中的魔法师！
但电影毕竟是电影，现实世界里也看不到魔法，那么现实世界中的hacker究竟干些什么呢？诸君看到这里，想必心中各有答案。姑且听听个人见解如何？在中学时代看电影《hacker帝国》时，咱们心目中的hacker是一群人机合一的家伙，在计算机的世界里他们就是神；在研究生时代，一位老师认为hacker是争夺CPU使用权的人，由于控制了CPU就控制了一切；在网络安全这个行当里工做十二年以后，我愈来愈以为hacker就是一名身份大盗，或者说hacker就冒用身份的人。
为何那么说呢？由于hacker***的共同特色都是要在系统中进行不符合自身身份的操做。这么说有点绕口，换个说法就是hacker作不了系统中全部用户能作的事以外的事。感受这个解释更绕了。咱们来举例子吧，例如：一个数据库管理员可以对数据库进行增、删、改操做，那么hacker能干的事最多与该管理员同样，不可能干得比他多，若是该hacker还经过数据库得到了操做系统shell，那么他能干的事也不会超过administrator。也就是说不论hacker从什么方向来，目的是什么，他中间必需要冒用别人的身份（即使新建用户也是假手于人）。
上述说法好像与我研究生时老师的观点同样（hacker是CPU抢占者），但若是咱们将社会工程***包括在***测试内的话，我以为个人说法更全面一些。毕竟不是全部***都须要跟计算机打交道，何况即使是美国***测试标准中，也不是每一个步骤都须要抢占CPU的，例如：侦查阶段。
那么我对hacker的说法就恰当吗？先放一放这个问题，我来解释一下如此理解hacker带来的好处。就目前我所知的网络安全世界里充斥着各类技术、框架、语言、漏洞等等，其中任何一项拿出来都够我研究不少年。例如：单说web***一个方向，其中涉及的诸如HTTP、HTTPS、PHP、SSL、CA、浏览器、Apache、Kali Linux等等，我上面所写的每一个词后面都是若干本书，要搞懂全部东西谈何容易？对于绝大多数人来讲，这都是学海无涯的绝望，根本就谈不上hacker弹指之间改天换地的潇洒。既然穷尽不了，就要设定目标，屏蔽干扰。学海无涯，灯塔是岸！我找的这个灯塔就是hacker的定义。假如咱们所作的一切都是为了冒用某个身份，那么你天然知道在侦查阶段应该寻找什么信息，你天然理解为何要提权，你天然理解后门的重要性，你天然理解消除痕迹的必要性等等，这样理解使以前另我眼花缭乱的各类脚本、模块、漏洞、shell它们之间有了某种联系。这就是个人handler。
听我胡扯到如今，诸君可有想法？那么我对hacker的说法就恰当吗？诸君对hacker又有什么见解呢？欢迎留言交流！