对操作系统的认识，对于每一个从事计算行业的人都是非常重要，要成为一名黑客更是要对操作系统有深入、深刻的认识。下面就和大家一起来探讨一下这方面的问题。 6 P8 f: L6 _1 a& z4 z7 t/ a

0 ~' H) \  F4 e( [. v. R$ Z8 S. g7 }　　我们先来看分析一下一个黑客入侵的基本过程：1、判断入侵对象的操作系统—>2、描扫端口，判断开放了那些服务（这两步有可能同时进行）—>3、跟据操作系统和所开放的服务选择入侵方法，通常有“溢出”和“弱口猜测”两种方法—>4、获得系统的最高权力—>5、安放后门、清除日志走人（也许有格盘走人的）。
+ s' J5 R* [/ @* |- i- e/ k0 \! L4 g
　　由上面可以知道，在整个过程当中对操作系统类型的判断识别是最基本也是很关系的一步。可想而知，如果你连对方的操作系统是什么都不知道，要想入侵跟本无从谈起。
; _+ e% G+ `( O9 L5 m0 ]. Y8 ~
1 E' t+ f' n9 S' r　　也许很少人问过自己，我们为什么要先了解对方的操作系统呢？其实，我们了解操作系统的原因是因为我们要了解系统内存的工作况态，了解它是以什么方式，基于什么样的技术来控制内存，以及怎么样来处理输入与输出的数据的。世上任何东西都不可能是尽善尽美的（当然这也是我们人类不断追求的动力所在），作为复杂的计算机系统更如此，它在控制内存与处理数据的过程中总是有可能出错的（特别是在安装了其它的应用程序以后），系统本身也会存在各种各样的弱点与不足之处。黑客之所以能够入侵，就是利用了这些弱点与错误。现在网上流行的各种各样的入侵工具，都是黑客在分析了系统的弱点及存在的错之后编写出来的。（其中以“缓冲区溢出”最为常见）
. ?- R* D: T; x" c7 Z7 _* N& c" p" R2 c2 _
　　作为一般的黑客，我们只要善于使用现成的入侵工具，就可以达到我们入侵的目的。但是因为不同的系统，其工作原理不一样，所以不同的入侵工具只能针对相应的操作系统。因此，对操作系统的识别是必不可少的，这就需要我们对操作系统有相当的了解，对网络有一定的基础识（要作黑客还是不那么容易的），关于各类操作系统的介绍，在网上有成堆的文章，大家可以自己去查阅。 % j) {+ v, |' I) g
& O9 j/ y" r/ }+ @
　　在此介绍一此简单的操作系统识别方法给大家，希望对大家有用。 , g, y/ E6 U/ W0 B! `- a

. N2 ~7 \! |) g6 l" H: g　　一、用ping来识别操作系统 $ _" N0 i/ _3 d; r; _

: W4 U, [: h3 w; EC:\>ping 10.1.1.2
5 q7 L8 w! l5 d5 N( y0 |3 Y) S9 i4 @0 e0 {" w! G" i+ b+ }8 l
Pinging 10.1.1.2 with 32 bytes of data: 7 q4 `! G3 R* V

4 D5 X. m: h2 rReply from 10.1.1.2: bytes=32 time<10ms TTL=128
/ K( p/ Q; {# _$ D; vReply from 10.1.1.2: bytes=32 time<10ms TTL=128
  Y5 I$ C$ B' b( qReply from 10.1.1.2: bytes=32 time<10ms TTL=128
8 h. l5 ]( ?( H2 b, YReply from 10.1.1.2: bytes=32 time<10ms TTL=128 + E# Z& X( H0 q4 C% @6 c

5 |, Z& j: Z9 I( h. zPing statistics for 10.1.1.2: ' F# p; R7 L* ~$ S* y& j! [; I
Packets: Sent = 4, Received = 4, Lost = 0 (0% loss),
$ _# _) i, c! {" O" N/ dApproximate round trip times in milli-seconds: 7 p, ?, {& R6 y- C
Minimum = 0ms, Maximum = 0ms, Average = 0ms : e1 h( }# E' e. p( g+ U
1 U% W1 D; M. N; k
C:\>
# @( B1 n  f0 t; c8 AC:\>ping 10.1.1.6 . F: y# S9 B1 c9 l" h8 f6 A7 g' A& ]

. E/ A- ?5 a5 F$ {Pinging 10.1.1.6 with 32 bytes of data:
* A) o0 g5 F1 c+ i  w4 ?; P4 P+ c8 @( Y" }
Request timed out. 7 G0 H" b6 P7 |
Reply from 10.1.1.6: bytes=32 time=250ms TTL=237
. n- W8 D  n/ f# e2 I  VReply from 10.1.1.6: bytes=32 time=234ms TTL=237
- d3 D. i, S" j3 AReply from 10.1.1.6: bytes=32 time=234ms TTL=237
/ ?" Z" P8 k6 P" @6 {( y+ J& ]# Z4 V+ A) V
Ping statistics for 10.1.1.6: / c1 s* d: l/ Q; L1 F$ a* |# P
Packets: Sent = 4, Received = 3, Lost = 1 (25% loss), $ Y+ y+ w7 k2 g
Approximate round trip times in milli-seconds: . z; B; M- X1 C: Z; K
Minimum = 234ms, Maximum = 250ms, Average = 179ms 6 I- P# L% A8 ^; h  u! B: T* X

9 M% ~# m6 f' J" u/ @$ k. U; q　　我们跟据ICMP报文的TTL的值，我们就可以大概知道主机的类型。如：TTL=125左右的主机应该是windows系列的机子，TTL=235左右的主机应该是UINX系列的机子。如上面的两个例子，10.1.1.2就是win2000的机子，而10.1.1.6则是UINX（Sunos 5.8）的机子。这是因为不同操作系统的机子对ICMP报文的处理与应答是有所不同的，TTL值每过一个路由器会减1。所以造成了TTL回复值的不同。对于TTL值与操作系统类型的对应，还要靠大家平时多注意观察和积累。

　　二、直接通过联接端口根据其返回的信息
# r* @5 Q, M+ _, H4 _, i* a
" e1 T/ Z; p- Z$ E　　这种方法应该说是用得最多的一种方法，下面我们来看几个实例。 ; I% p& V; T4 \4 k  c/ z

: y. X0 Z: r" W　　1、如果机子开了80端口，我们可以telnet（当然如果有NC最好用NC，它可以不用盲打）它的80端口。
+ u* O& ?6 O" a1 h7 O% tMicrosoft Windows 2000 [Version 5.00.2195] 6 k7 X* ~& @% x7 x9 m% z
(C) 版权所有 1985-1998 Microsoft Corp. $ J" ^* V/ C0 O
/ s8 @2 u# A3 ?1 D
C:\>telnet 10.1.1.2 80 ( H. S4 J4 d# z5 p+ N
输入get 回车（注意这里是盲打）
: J* m9 P/ A" X, C如果返回， 8 f- O! `% z& f9 Z1 |9 {
HTTP/1.1 400 Bad Request + w# h3 `& h" F1 y) T7 R/ @/ D5 e* e/ m' T
Server: Microsoft-IIS/5.0
' \& m& Z: n0 t" K8 Q8 EDate: Fri, 11 Jul 2003 02:31:55 GMT
2 m9 Q3 n- @. [0 `2 b/ V& |. RContent-Type: text/html 3 q# `2 N0 |) |$ Q5 H) H5 O
Content-Length: 87
9 k7 h3 T. y; A) ?/ j; X
, F4 A- p% M# o& e& _0 HThe parameter is incorrect. - G4 U0 {6 S/ O. k; O

; e/ \3 U) o- x3 K遗失对主机的连接。 6 ?8 w% U) j( z- B# }& ^% t
C:\> . t5 k) }/ M9 j
那么这台就肯定是windows的机子。 ; B6 L2 u) V9 ]: z9 k; s) H
如果返回，
2 X+ t% h; y- s7 S1 C/ u7 y
5 M3 n# E6 [$ v* \5 a# V# LMethod Not Implemented
  h* h% _( k% N* F: F9 E+ Uget to / not 3 Z1 V7 _+ x# l; A' o% C) E
supported. 5 y5 _3 r( r5 s( H4 L( M( m) U
Invalid method in request get
/ P. }  D4 v) @9 h# Q1 T
5 ~! O! @; @* I/ ?* \: J& dApache/1.3.27 Server at gosiuniversity.com Port 80
: G  b9 L% m4 t/ t
2 v+ T- S  v/ x* U: r遗失对主机的连接。 " x6 c' }3 Y- ~  R. h0 `( s4 q
C:\> ) |" n: ?% Q6 B' ~$ l
那么多数就是UINX系统的机子了。 3 ]; `8 Q) Q4 W3 @

6 n+ m5 N# _+ |　　2、如果机子开了21端口，我们可以直接FTP上去
/ u; ?6 d: Q- Z5 K: T0 r, U
& e0 q& g* p+ g) G, LC:\>ftp 10.1.1.2 $ I+ h5 t' R" Q( K7 _
如果返回， ! ^$ I7 [9 {+ k3 @4 M" B: L9 G  \
Connected to 10.1.1.2. " r  g0 M1 e" Q( t1 d
220 sgyyq-c43s950 Microsoft FTP Service (Version 5.0). & T6 v4 ~( a0 \% M2 p( g4 a
User (10.1.1.2none)):
2 w6 Q6 ]) U& `1 M  A* z1 |那么这就肯定是一台win2000的机子了，我们还可以知道主机名呢，主机名就是sgyyq-c43s950。这个FTP是windows的IIS自带的一个FTP服务器。
2 k5 @1 @/ Q6 j% v& D2 C8 T. Q0 @( e如果返回，
' M: O. f4 c( d7 y; G  sConnected to 10.1.1.3. - T$ j" d) i% q  T
220 Serv-U FTP Server v4.0 for WinSock ready... : Y6 A; d$ Y, o/ m! h+ O% I# C
User (10.1.1.3none)):
4 N- O0 W9 P) r7 u+ C/ G) F也可以肯定它是windows的机子，因为Serv-U FTP是一个专为windows平台开发的FTP服务器。
/ z3 V  z4 A. w' d" L% V2 Z. B如果返回，   a" h& x# z% X
Connected to 10.1.1.3. 9 |9 `+ n" h* D6 X, ~3 V7 g/ n, O! ^
220 ready, dude (vsFTPd 1.1.0: beat me, break me) ! v& T3 p9 Z; `5 t
User (10.1.1.3none)):
; Y) m! P+ k# m" s% t. o那么这就是一台UINX的机子了。 ( g7 ?. q$ Q" k: [' _$ b1 C- r

8 X( O4 ]. I7 y2 M3 s" d7 ^　　3、如果开了23端口，这个就简单了，直接telnet上去。
4 \% d, k5 Q/ v& q1 R
& Y! g: A- P) e% f# p如果返回， & C' k# B/ U$ G
Microsoft (R) Windows (TM) Version 5.00 (Build 2195)
4 B0 ?$ r: E3 u( W4 ^2 sWelcome to Microsoft Telnet Service & p4 d% u) L) H& [6 j) z- K. o0 z
Telnet Server Build 5.00.99201.1
& m' I$ L* ~9 O' r" n  [login: 9 [* x, b/ T6 b; s9 {5 G+ i
那么这肯定是一台windows的机子了 - `8 Q0 O* R; ~3 ?0 `& h+ t
/ q% Z! Q" B% i$ s# u- O7 {$ _3 q! @
如果返回， ' b" E+ |# h) r2 K9 j
SunOS 5.8 , }% K4 p  p; ^0 F
login:
; m4 b& |5 u3 [: Y+ e0 Y5 Q不用说了，这当然是一台UINX的机子了，并且版本是SunOS 5.8的。

　　三、利用专门的软件来识别
; A9 b. l1 B: T& Z, ~1 n% m' ?% x! T8 L! l; b/ D
　　这种有识别操作系统功能的软件，多数采用的是操作系统协议栈识别技术。这是因为不同的厂家在编写自己操作系统时，TCP/IP协议虽然是统一的，但对TCP/IP协议栈是没有做统一的规定的，厂家可以按自己的要求来编写TCP/IP协议栈，从而造成了操作系统之间协议栈的不同。因此我们可以通过分析协议栈的不同来区分不同的操作系统，只要建立起协议栈与操作系统对应的数据库，我们就可以准确的识别操作系统了。目前来说，用这种技术识别操作系统是最准确，也是最科学的。因此也被称为识别操作系统的“指纹技术”。当然识别的能力与准确性，就要看各软件的数据库建立情况了。 4 n2 t. ^$ c/ W& d/ p) _8 v
4 Y$ P  }/ P: f$ j9 @
　　下面是简单介绍两款有识别功能的软件。 + B) E# J, E' X1 g
! A0 Q7 u, {) w) |! e
　　1、 著名的nmap，它采用的是主动式探测，探测时会主动向目标系统发送探测包，根据目标目标机回应的数据包来，叛断对方机的操作系统。用法如下： ' Z0 h" m5 \$ F0 m  X8 p
F:\nmap>nmap -vv -sS -O 10.1.1.5 ! K1 ]6 o4 G" R. r/ z. R. R! O
Starting nmap V. 3.00 0 m- [& ?- n9 k" H; j& ]; I9 U. E& N
Host IS~123456ADCD (10.1.1.5) appears to be up ... good.
) T1 o1 k8 l. N6 NInitiating SYN Stealth Scan against IS~123456ADCD (10.1.1.5) ( L7 R$ l: q+ }7 x7 \% U( O
Adding open port 139/tcp   _, R8 {1 ~) N& _- i; E6 S
Adding open port 7070/tcp
# R0 d7 k. F! v1 s6 E  c" _Adding open port 554/tcp
% f) K  Y4 g! ]; ~* CAdding open port 23/tcp
2 A8 d! B: B  }; [  wAdding open port 1025/tcp
* J: J8 `+ X/ p. N8 m" P* tAdding open port 8080/tcp
2 k5 _- d) ]5 x! w2 @4 j" p/ k8 b' LAdding open port 21/tcp
8 X" _/ M0 a- A1 r& y; pAdding open port 5050/tcp + D7 W6 W6 s2 {0 h8 P" T
Adding open port 9090/tcp 3 a  o* _% v# g# x# W
Adding open port 443/tcp
* [# @. x# i8 L5 e4 C. dAdding open port 135/tcp
4 [6 b3 N) {1 q+ Z0 Y- kAdding open port 1031/tcp
4 B4 P" ?6 Q- J; TAdding open port 3372/tcp " {* C( F3 X/ {; [; i
Adding open port 25/tcp 3 ^1 X1 t6 _) f7 |' j) N
Adding open port 1433/tcp 2 y2 ~. n( Q) P6 \
Adding open port 3389/tcp
( }2 [4 U) {9 y2 vAdding open port 445/tcp * Y3 \0 U- x- S: ^2 w3 |3 j: U
Adding open port 80/tcp
" R- ], Z. Y( m( @' P; CThe SYN Stealth Scan took 1 second to scan 1601 ports.
. K' @- t; b2 ]7 T- U# VFor OSScan assuming that port 21 is open and port 1 is closed and neither ar
* m: C4 G! h  F- ?* Xrewalled
. e: ?* m) J* Q5 S- B/ X/ _5 EInteresting ports on IS~123456ADCD (10.1.1.5):
/ b4 D* a2 N/ |6 _9 D! f; u(The 1583 ports scanned but not shown below are in state: closed) * k4 v8 o+ ]; h6 J* c: _8 `9 g4 o
Port State Service % N! Z) m0 m# r1 p: C$ v
21/tcp open ftp & q, Z2 x5 N9 z! ]+ @
23/tcp open telnet 1 l# K. }+ s; R$ ?! x7 m
25/tcp open smtp " p/ b, z( z; m" `$ l" S
80/tcp open http
& i; z7 ?5 ~7 g% Z4 D% `, p" G$ d135/tcp open loc-srv
7 F7 M6 X/ {  _" l6 e3 a139/tcp open netbios-ssn 0 N( G9 w: N* v3 s  E
443/tcp open https
& Z7 F2 W0 Y: H8 j  }" L5 k6 |0 H445/tcp open microsoft-ds
. h. E6 G% Q; i  T2 [554/tcp open rtsp * {. H9 z" w4 Y: k5 h
1025/tcp open NFS-or-IIS ' ], Y7 ?4 f0 W* ?
1031/tcp open iad2
4 R' V9 f. O0 S, F9 Y1433/tcp open ms-sql-s 0 O! _$ l$ \: z# f8 n8 b
3372/tcp open msdtc
& N9 M! c$ N) P3389/tcp open ms-term-serv
  C9 z$ a0 p4 s  f; ~" Z  w5050/tcp open mmcc
  e7 L# X6 G5 B# I4 ~+ \; f7070/tcp open realserver & l$ K- [5 p$ g- P% Z9 a
8080/tcp open http-proxy ; r+ M+ {# i4 t7 g0 B  ~
9090/tcp open zeus-admin 6 g' w0 Y9 C' m- f
Remote operating system guess: Windows 2000/XP/ME
0 T# N( n5 _! P! ?. SOS Fingerprint: 9 X( p+ Q1 c, }, ^, f8 j2 x8 d6 |
TSeq(Class=RI%gcd=1%SI=21F8%IPID=I%TS=0) 9 _0 C- D, F- o) I; ]- u0 a
T1(Resp=Y%DF=Y%W=FAF0%ACK=S++%Flags=AS%Ops=MNWNNT) . L; K- R4 U3 l- `6 i7 L- t7 _
T2(Resp=Y%DF=N%W=0%ACK=S%Flags=AR%Ops=) ; p7 _7 R( {& H% |
T3(Resp=Y%DF=Y%W=FAF0%ACK=S++%Flags=AS%Ops=MNWNNT)
! J. o: l- x/ d, GT4(Resp=Y%DF=N%W=0%ACK=O%Flags=R%Ops=) / }! B4 h' C' I1 f
T5(Resp=Y%DF=N%W=0%ACK=S++%Flags=AR%Ops=)
0 I: e4 q* L1 ^' Z( `1 ~T6(Resp=Y%DF=N%W=0%ACK=O%Flags=R%Ops=)
/ k" b( I+ ~6 s# dT7(Resp=Y%DF=N%W=0%ACK=S++%Flags=AR%Ops=) 3 x7 z, l4 x! p/ U+ g2 M
PU(Resp=Y%DF=N%TOS=0%IPLEN=38%RIPTL=148%RIPCK=E%UCK=E%ULEN=134%DAT=E) 2 m' o8 l  i5 _% |5 B# m; m% h
8 q0 y8 C) j# X$ L0 ]6 a+ `& o
TCP Sequence Prediction: Class=random positive increments * L5 g/ y( c& `
Difficulty=8696 (Worthy challenge)
  q' \8 j% S) z0 T" v8 T  Z5 cTCP ISN Seq. Numbers: 5B9022E2 5B914E12 5B92A495 5B93915A 5B94A9B5 5B95CC64 7 U& B- y9 o1 ]8 e; ]0 y9 f: G4 H0 i
IPID Sequence Generation: Incremental + _7 v- `& k, j( e) B
2 y( B' P* A3 J; f# [
Nmap run completed -- 1 IP address (1 host up) scanned in 2 seconds
% D0 ?  Y0 {* P, z  w+ {/ ?. ~( V+ Y& Q/ J" z" |
其中 Remote operating system guess: Windows 2000/XP/ME 这行就是NMAP对操作系统类型的判断。还返回了好多信息，NMAP不愧为扫描之王。
$ j" u/ W  i' g$ A+ M) m: r5 q- d7 P7 U4 z
　　2、 天眼，采用的是被动式的探测方法。不向目标系统发送数据包，只是被动地探测网络上的通信数据，通过分析这些数据来判断操作系统的类型。配合supersan使用，较果很好。 4 H. v0 c- H- S* t+ x

, ~! K. l  }- e" ^具体的使用方法，在此就不具体介绍了。有兴趣的的朋友可以到网上搜一下关于天眼使用方法的文章，会有很多的。
; f) V; C  H  x8 Z$ N1 W, Q
( S, w! ]: Q! ^& S8 b. f+ s以上讲解了一些对操作系统识别的基本方法。由于本人水平有限，不当之处，还请高手斧正！