多數計算機漏洞都能以多種方式被利用。黑客攻擊可以利用某個特定的漏洞，而且對某些漏洞的利用會同時發生，黑客們還可以利用系統組件的某處錯誤配置或早些時候攻擊留下的后門。

有鑒于此，檢測黑客攻擊并不是一件輕松事情，特別是對于一位不熟練的用戶來說。本文將給出一些基本的指南，以幫助你決定自己的計算機是否受到了攻擊，或者說你的系統安全是否受到了破壞。記住：就像對付病毒一樣，并不能保證你用某種方法一定可以檢測出一次黑客攻擊。但是，如果你的系統遭受攻擊，它就會表現出這樣或那樣的行為。

對Windows平臺計算機的檢測

Windows平臺計算機遭受攻擊的癥狀：

1.可疑的大量轉出通信。如果你正使用一個撥號賬戶或者正使用ADSL，并且注意到一次不尋常的大量的轉出網絡的通信（你的計算機處于空閑狀態或者沒有必要上載數據時），那么有可能你的計算機已經遭受到了損害。你的計算機有可能正被用于發送垃圾郵件或被一個不斷復制自身并發送其副本的網絡蠕蟲所使用。對于寬帶連接，這與黑客攻擊的關系性可能性不大，即使你僅僅是瀏覽網站或從互聯網上下載數據，也會有幾乎同樣大小的數據流入或流出網絡。

2.增加的磁盤活動或在任何驅動器root目錄中增加了一些看起來可疑的文件。在攻入一個系統之后，許多黑客都要運行一次大規模的掃描，來檢查任何他感興趣的文檔 或包含銀行賬戶口令或支付賬戶，如支付寶等文件。類似情況下，一些蠕蟲也會搜索包含電子郵件地址以磁盤文件，用于傳播垃圾郵件。如果在系統空閑時，你注意到嚴重的磁盤活動與公用文件夾中的某些可疑的命名文件發生了聯系，這就可能表示一次系統攻擊或惡意軟件感染的發生。

3.來自某個單一IP地址的大量數據包被個人防火墻所阻止。在定位了一個目標之后（例如，一家公司或家庭用戶的IP地址范圍），黑客們通常會運行自動化的探測工具，利用漏洞來突破并進入系統。如果你運行著個人防火墻（防護攻擊的一個基本元素），并注意到來自某個同一IP地址的大量異常數據包被阻止，那么這會指明你的機器正遭受著攻擊。好消息是如果你的個人防火墻正報告這些攻擊，你可能還比較安全。然而，依賴于你向互聯網暴露的服務，個人防火墻可能會無法保護你一次針對一個特定的FTP服務的攻擊，而這種服務可能會被所有的人訪問到。在這種情況下，一個可行的解決方案是臨時阻止這些討厭的IP地址直至連接企圖停止。許多個人防火墻和IDS都有這個內置特性。

4.即使你沒有執行什么非正常操作，本地反病毒軟件卻突然報告說，檢測到了后門或特洛伊木馬。雖然黑客攻擊可能非常復雜并且不斷翻新，許多攻擊還是要依賴于已知的特洛伊木馬或后門來獲取對一個受損系統的完全訪問權。如果你的本地反病毒組件正檢測和報告這種惡意代碼，這就表明你的系統有可能可以從外部訪問。

對Unix平臺計算機的檢測

Unix平臺計算機遭受攻擊的癥狀有這些：

1.在/tmp文件夾內的可疑的命名文件。Unix系統中的許多漏洞利用都依賴在/tmp標準文件夾中創建臨時文件，在系統遭受攻擊后這很難被檢測出來。對于已知的一些感染Unix系統的蠕蟲也是這樣，蠕蟲會將其自己編譯到/tmp文件夾中，并惡意運用之。

2.修改系統中的一些程序，如'login', 'telnet', 'ftp', 'finger'等，或者是一些更加復雜的進程，如'sshd', 'ftpd'等等。在突破進入一個系統之后，一個黑客通常會將一個后門植入到某個可以直接訪問互聯網的進程中，試圖確保其訪問的安全，或者修改可用于與其它系統聯系起來的標準系統實用程序。被修改的程序通常成為一個rootkit的部分，并且通常情況下它們會破壞一些簡單的檢查。在所有的情況下，為每一個系統實用程序維持一個檢查和(checksum)的數據庫是一個好注意，并且定期地在單一用戶模式中，將其與系統進行離線驗證。

3.修改/etc/passwd、 /etc/shadow，或者修改/etc文件夾中的所有其它系統文件。有時，黑客攻擊會在/etc/passwd中增加一個新用戶，它可以在日后遠程登錄到系統中。你可以在口令文件中查看可疑的用戶名，并且監視所有的增加項，特別是在一個多用戶的系統中更要這樣。

4.一些可疑的服務被添加到/etc/services中。在一個Unix系統中打開一個后門有時也就是增加一兩行代碼。這是通過修改/etc/services以及/etc/ined.conf而實現的。你需要密切地監視這兩個文件中的任何添加項，因為這會指明一個后門與一個未用的或可疑的端口聯結起來。