ขั้นตอนการทำงานของ Ethical Hacker

Ethical Hacker โดยปกติจะแบ่งการทำงานออกเป็น 9 ขั้นตอน ดังต่อไปนี้

1. Information Gathering (การเก็บเกี่ยวข้อมูล)
2. Network Mapping (การเขียนโครงสร้างเป้าหมาย)
3. Vulnerability Identification (ค้นหาช่องโหว่เป้าหมาย)
4. Penetration testing (จำลองและทดสอบเจาะระบบ)
5. Gaining Access & Privilege Escalation (การเข้าถึงเป้าหมาย)
6. Enumerating Further (ขยายการเก็บข้อมูลจากภายใน)
7. Compromise Remote users/Sites (เปลี่ยนแปลงเป้าหมาย)
8. Maintaining Access (คงสภาพการเข้าถึง)
9. Covering Tracks (ลบล้างร่องรอย)

ซึ่งบางขั้นตอนจะมีจุดประสงค์หรือเป้าหมายในแต่ละขั้นตอนใกล้เคียงกัน ทำให้สามารถย่อรวมเหลือ 5 ขั้นตอนที่สำคัญ ดังนี้
1. การสอดส่อง (Reconnaissance) แบ่งออกเป็น 2 รูปแบบคือ
Passive reconnaissance
เป็นการสอดส่องเพื่อเก็บข้อมูลรูปแบบการทำงานต่าง ๆ ของเครื่องเป้าหมาย โดยปราศจากข้อมูลส่วนบุคคลใด ๆ ซึ่งสามารถทำได้โดยง่าย เช่น การเฝ้าดูตึกของบริษัทเป้าหมายเพื่อจะตรวจสอบเวลาเข้าออกของพนักงาน บางครั้งอาจเลือกใช้ Google ในการค้นหาตำแหน่งของเป้าหมายเพื่อเก็บข้อมูลให้ได้มากที่สุด รวมถึงการใช้ Social Engineering และ Dumpster Diving (ค้นหาจากกองขยะ) ซึ่งการดักจับข้อมูลแบบ Passive ภายในเครือข่าย LAN ก็ถือว่าเป็น Passive reconnaissance
Active reconnaissance
เป็นการค้นหาข้อมูลของเครือข่ายเป้าหมาย เช่น ตรวจสอบ IP Address หรือรายชื่อ Service ที่เปิดใช้งาน โดยปกติการทำ Active reconnaissance มีความเสี่ยงสูงที่จะถูกตรวจพบมากกว่า Passive reconnaissance

2. การสแกนระบบ (Scanning)
เป็นการนำข้อมูลที่รวบรวมมาได้จากขั้น Reconnaissance มาอธิบายถึงโครงสร้างต่าง ๆ ของเครือข่ายเป้าหมาย รูปแบบการทำงานที่ Hacker ส่วนใหญ่ใช้ก็คือการสแกนพอร์ตของเครื่อง Server เช่น การทำ Network Mapper (Nmap) เพื่อตรวจสอบว่าเครื่อง Server ในเครือข่ายเป้าหมายเปิดให้บริการอยู่หรือไม่ รวมถึงการค้นหาข่องโหว่ต่าง ๆ ของระบบเครือข่ายอีกด้วย ซึ่งหาก Hacker ได้ข้อมูลสำคัญต่าง ๆ ครบถ้วน หรือเพียงบางส่วน เช่น ชื่อเครื่อง Server, หมายเลข IP Address ของเครื่องเป้าหมาย หรือรายชื่อ User Account คนสำคัญ ก็จะทำให้มองเห็นช่องทางในการเจาะระบบเข้าไปได้อย่างแน่นอน

3. การเข้าถึงเป้าหมาย (Gaining Access)
ขั้นตอนนี้จะเริ่มเข้าสู่การโจมตีหรือเจาะช่องโหว่าที่ถูกตรวจพบ ข้อมูลที่เก็บรวบรวมอยู่ในระหว่างขั้นตอนการ Reconnaissance และการ Scanning จะถูกนำมาใช้เพื่อให้สามารถเข้าถึงเครื่องหรือเครือข่ายเป้าหมายได้

4. การคงสภาพทางเข้า (Maintaining Access)

เมื่อสามารถเข้าไปในระบบได้แล้วมักต้องการที่จะเก็บช่องทางเดิมไว้เพื่อเข้ามาโจมตีในภายหลังได้อีก ทำให้บางครั้งก็ทำการเพิ่มความปลอดภัยให้กับเครื่องหรือระบบเป้าหมายที่ตกเป็นเหยื่อด้วย เพื่อป้องกันการบุกรุกเข้ามาจาก Hacker อื่น โดยได้ทำการเพิ่มช่องทางพิเศษสำหรับตนเองโดยเฉพาะ ด้วยการฝัง Backdoor, Root kits และ Trojan ไว้ในเครื่องของเหยื่อ เมื่อการครอบครองทำได้อย่างสมบูรณ์ ก็จะสามารถทำให้เครื่องของเหยื่อเป็นฐานในการโจมตีเครื่องอื่น ๆ ทำให้บางครั้งเครื่องที่ตกเป็นเหยื่อในลักษณะนี้จะถูกเรียกว่า "Zombie"

5.การลบร่องรอย (Covering Tracks)
เมื่อ Hacker สามารถครอบครองได้อย่างสมบูรณ์และเก็บช่องทางเดิมไว้ใช้ต่อได้แล้ว ก็จะลบหลักฐานในการ Hack และร่องรอยของตัวมันเองออกไป เพื่อซ่อนตัวจากการถูกตรวจสอบจากาผู้ดูแลระบบหรือการเอาผิดทางกฎหมายนั้นเอง โดยจะพยายามลบร่องรอยที่เกิดจากการเจาะระบบทั้งหมด เช่น Log File หรือข้อความแจ้งเตือนจาก Intrusion detection system (IDS) เป็นต้น