基于网络数据还原的远程控制木马取证方法研究.pdf

摘 要：远程控制木马对信息网络安全构成严重威胁，研究远程控制木马的取证方法对公安机关的侦查、办案工作有重要意 义。提出了一种基于网络数据还原的远程控制木马取证分析方法。以pcshare木马为例研究了从通信数据中还原键 盘记录信息和语音聊天文件的具体方法，应用提出的取证方法可以获得木马存在的直接证据，进而确定攻击行为， 提取出攻击者的IP地址和使用的端 口号。 关键词：数批还 远 控制 小 · 取 务器进行数据更新，因此用户即使没做任何操作，使用 一 、 刖 舌 netstatan命令也会查看到很多条TCP逻辑连接，因此很难 远程控制型木马可以监控受害者的键盘输入，监听语 确定哪些是木马的控制连接，哪些是正常的逻辑连接。即 音、视频和网络通信，甚至完全控制一台受害者主机。可 使排除了联网软件系统产生的合法逻辑连接，也无法准确 以说远程控制木马对信息网络安全构成严重威胁，研究远 判断疑似连接是否就是真实的木马控制连接。第二个问题 程控制木马的取证方法对公安工作有实际意义。 是某些类型远程控制木马并不采用TCP协议，而是采用 远程控制木马通常会在受害者主机与黑客主机之间建 UDP或ICMP类型协议。这些协议不需要在受害者主机和黑 立起一条TCP逻辑连接，目前常用的调查、取证方法是在 客主机之间建立逻辑连接通道，因此使用netstatan命令查 受害者主机端使用netstat81q命令查看有无异常的网络连 看不到任何信息。 接，进而确定黑客主机的IP地址和端El号。但这种方法在 实际应用当中遇到两个主要 问题，第一：无法准确判断可 二、远程控制木马网络数据还原方法 疑连接是否就是木马的控制连接。正常情况下，用户主机 基于以上原因。笔者提出了一种基于网络数据还原的 与外部因特网存在很多条TCP连接，例如360杀毒、暴风 远程控制木马取证分析方法。具体方法描述如图1所示。 影音等联网软件系统会在计算机开机后 自动连接互联网服 首先．在受害者主机端诱使潜在的远程控制木马开始工 基‘金项 目：公安理论及软科学研究计划 (编号：~I|6LLYJXJXY~I13)；公安部技术研究计划课题 (编号： 16I 默 ) 辽宁省教育科学 十‘二五’规划立项课题 (编号：IG14凸 1)；辽宁省 自然科学基金课题 (编号：2I)15()1x【)9I一3¨1)。 PoliceTechnology 2017年 第2期 57 厂I 露避 ． 童 。。_ 作，例如登陆电子邮箱帐户以触发木马的键盘记录功能， 过滤 出来 的局部TCP流数据如 图2所示 。利用 进行网络视频聊天激活语音、视频监听功能。同时捕获受 wireshark提供的FollowTCPStream功能提取这些数据包的 害者主机收发的网络数据包．提取可疑通信数据流，从中 应用层数据，步骤参考前面章节。将提取结果保存为一个文 还原出文字、图片、声音和视频数据。如果还原出的电子 本文件，然后使用winhex打开，查看到如图3所示结果。 数据中包括远程控制画面、键盘记录、语音数据等信息， i4 ．H 4 O》甜 1 l 60 1．1 1 4{啦 ) pa sH． K】se l I1 n．6~2 lS7．聪 S j5 0．1．I．： 60．1．1 TOP ” eT婚} r螂 nd。 愀 e】,15~32 pa—c茚 【0sH．