基于网络抓包的盗号木马线索调查方法研究

盗号木马对信息网络安全构成严重威胁,研究盗号木马的线索调查方法对公安机关的侦查、办案工作有重要意义。借助协议分析软件sniffer研究了盗号木马的线索调查方法;首先介绍了该方法的使用环境和使用步骤;研究了通过ESMTP和HTTP协议传送窃取信息的通信流程,结合实例分析了ESMTP和HTTP木马产生的网络数据包,详细介绍了如何从这两类通信数据中提取出黑客的相关线索。     

基于网络数据还原的远程控制木马取证方法研究

远程控制木马对信息网络安全构成严重威胁,研究远程控制木马的取证方法对公安机关的侦查、办案工作有重要意义。提出了一种基于网络数据还原的远程控制木马取证分析方法。以pcshare木马为例研究了从通信数据中还原键盘记录信息和语音聊天文件的具体方法,应用提出的取证方法可以获得木马存在的直接证据,进而确定攻击行为,提取出攻击者的IP地址和使用的端口号。     

盗号木马分析与追踪

通过植入盗号木马实施犯罪是常见的网络作案方式,具有很强的隐蔽性和较高的技术含量。木马分析和追踪的核心是如何找到犯罪嫌疑人的收信地址,可以通过盗号木马代码分析、木马内存分析、关键字搜索、网络监听试验等方法,对盗号木马的收信地址进行追踪。     

基于HTTP/2协议分析的网站挂马线索调查方法研究

当被挂马网站采用HTTP/2协议时,办案人员无法对加密传输的通信数据进行有效分析,影响了网站挂马案件调查分析工作的开展.针对这一问题,提出一种基于主机内部调查和网络信息监听的木马线索调查方法,在染毒计算机上浏览疑似被挂马的HTTP/2网站,对比浏览前后进程和网络连接变化情况,初步筛选出木马程序,再使用Wireshark...     

反汇编与逆向分析在电子取证中的应用

随着软件技术的发展及其在各个领域的广泛应用,作为网络安全执法者,我们可以对病毒、木马等破坏性软件程序进行反汇编逆向分析,从根本上了解其数据结构、程序设计思路等。本文以信息收集型网络游戏盗号木马为例,通过程序脱壳、反汇编逆向分析寻找出此木马的收信地址。为计算机犯罪侦查和电子数据取证提供一种新方法。     

Windows Mobile短信的数据恢复研究

随着手机取证技术的日渐提高,只对手机内存储的数据进行提取已不能满足办案的要求,手机中已经删除的数据往往是手机的主人不愿为人知道的信息,所以对于取证的办案人员来讲更具有参考价值。本文针对Windows Mobile平台,提供了一种获取其已删除短信的方法。     

基于Windows内存取证的计算机病毒木马行为分析

随着技术发展,病毒木马对计算机的攻击隐秘性日益提高,只存在和运行于内存中的病毒已经出现,对内存的取证成为当前电子取证工作中重要一环。传统的取证手段已经无法完全满足当前的取证要求,因此,通过内存镜像对病毒木马进行取证研究已迫在眉睫。通过对木马病毒样本进行仿真、取证、分析,提出了一套从Windows内存镜像中对病毒木马行为进行分析研判的方法,该方法能够将内存分析简单模式化,为取证人员提供思路。     

TOR使用痕迹信息的固定和提取分析

TOR是全球应用最广泛的公共匿名通信服务系统,可有效隐藏消息发送者、接收者和两者关联性,并具有延时低、稳定性好等特点,还可抵抗局部流量分析。TOR为了对抗取证分析,对使用痕迹也进行了清理和保护,但并不彻底。针对三种主流操作系统,即OS X、Debian 6.0和Windows 7搭建了虚拟环境,将使用TOR浏览器套件前后的操作系统分别做镜像并进行取证分析,通过md5值和hash值校验、关键字搜索、进程分析等方法来挖掘TOR的使用痕迹,共计发现20处残留信息,对电子取证工作有重要的参考意义。文章最后提出了规避信息泄露的简单方法。     

基于Wireshark的入侵检测插件应用开发研究

研究了Wireshark捕获数据流和协议解析插件的原理,探讨了在Wireshark中,使用L ua脚本开发Wireshark入侵检测插件,根据木马、病毒等网络攻击的特征值,编写L ua脚本对已知木马、病毒的入侵行为进行检测预警,提出可以依据此原理建立一个基于Wireshark插件的入侵检测系统。最后,通过e N SP网络仿真平台搭建模拟环境,运行木马、病毒实验对此插件进行了验证测试,实验结果表明该方法简便高效,适用于对木马、病毒的入侵行为进行检测预警。     

论犯罪通信痕迹——与犯罪物质痕迹、犯罪心理痕迹之比较

在与犯罪物质痕迹、犯罪心理痕迹的比较中,明确犯罪通信痕迹是指犯罪者在进行犯罪行为过程中,在公众通信系统中留下的与犯罪行为相关的可以用于分析案情、获取线索、固定证据的印象和迹象;并概括了犯罪通信痕迹表象的无形性与本质的有形性、同质复制性、精准性和脆弱性的特点;同时对犯罪通信痕迹进行了科学分类,最后概括了犯罪通信痕迹在侦查办案中的应用。     

面向数字取证的异常隐写检测分析方法及系统研究

电子数字取证,是迅速发展的研究领域,它在国家信息安全保护、网络入侵、犯罪调查及国家司法鉴定等方面,有着重要的应用前景。隐写及隐写分析,是数字取证技术中重要的研究内容。通过联合运用特征分析法与统计分析法,对取证数据进行异常隐写检测分析,提出面向数字取证的异常隐写检测分析方案,能有效提高数字取证过程中隐写检测分析的性能,提升数字取证中检测分析结果的有效性和精准度。     

网页挖矿木马的取证方法

网页挖矿木马因其具有较高的隐蔽性和传播性,已成为全球最主要的网络安全威胁之一。目前,针对网页挖矿木马的取证流程及技术方法仍不健全。通过梳理在Android、Windows以及Linux等不同操作系统中的取证流程,可以发现基于网络数据层、网页代码层、可信时间戳、其他木马固定的“四维取证”方法不失为一种针对网页挖矿木马的有效取证方法。     

Win8系统电子取证要点分析

围绕Win8系统的特点,进行了Win8系统中有关网络用户信息、网络使用痕迹、Metro应用信息、IE10缓存数据和通讯类应用记录等有效信息的取证分析,并用取证软件进行了验证。     

智能手机取证技术研究

随着电子技术的迅猛发展,手机更新换代的速度越来越快。智能手机的出现,打破了手机的传统意义,手机的用途已不仅仅局限为一种通信工具,它已经逐步取代计算机成为了很多人的个人数字管理器。智能手机中包含了大量的用户信息,而这些数据往往会给案件的侦破提供线索,是办案人员进行案件跟踪的重要线索来源。在这种背景下,如何获取手机中的数据便成为了手机取证研究领域的重要课题。     

基于Symbian S60平台的手机取证技术研究

手机中存储的与日常相关的信息是智能手机最宝贵的财富,是办案人员进行案件跟踪的重要线索来源,如何获取手机中的数据便成为了手机取证研究的重要课题。本文以Symbian S60手机平台为研究对象,介绍了Nokia智能手机三种常用的数据提取方法,并以获取手机中短信、通话记录、第三方应用数据为例,详细说明了数据提取的过程。     

基于协议分析和数据挖掘的网络入侵取证系统设计

针对现有网络入侵取证系统实时性差、有效性弱、可信性低等方面的不足,以及目前网络数据流量不断加大,攻击技术更加复杂的特点,开发了新型网络入侵取证系统,详细研究了该系统的功能及运行流程,并进行了实验验证。实验表明,该系统能够克服现有网络入侵取证系统的缺陷。     

犯罪心理痕迹分析在现场勘查中的运用

犯罪心理痕迹依赖于物质痕迹,是物质痕迹的内化,具有客观性、依赖性、可知性的特征。侦查人员在现场勘查中可运用综合分析法和细节分析法获取犯罪心理痕迹,并遵循犯罪物质痕迹—物质痕迹形成分析—犯罪人心理状态—犯罪人基本心理特征和心理面貌—确定勘侦范围、方向的基本途径。应注意尽可能全面地发现和提取物质痕迹,注意各类痕迹的梳理分类,发挥特殊痕迹的作用。     

“存储式”XSS挂马攻击调查方法研究

提出的调查方法是在受害者主机端重新浏览可疑网页,同时使用sniffer等协议分析软件截获数据包,再对捕获数据进行分析,确定是否存在XSS挂马攻击,同时提取出攻击痕迹.该方法可以准确判断是否存在XSS挂马攻击,提取出攻击者遗留的IP地址、用户名等痕迹信息     

硬盘工作原理分析

在电子取证实践中,分析和恢复嫌疑硬盘数据是一项重要工作,办案人员如果不具备一定深度的专业知识,洞悉数据存储的基本原理和分析技术,或是取证过程中对证据处理不当,将会对电子证据分析鉴定和定罪量刑直接带来困难。本文针对硬盘进行底层剖析,揭示它的基本构造和存储原理,以便于取证工作的顺利完成。     

移动云环境下数字取证的挑战分析

MCC在为用户提供便捷的同时也增加了用户的风险,攻击者可以从云端直接获取用户手机证书等关键信息来发动攻击。数字取证技术可以通过识别入侵原因及过程来调查入侵者。但由于MCC架构具有虚拟化、数据分散、多租户、可通用性以及移动性等特点,在MCC环境下进行数字取证是较为困难的。分析了移动云环境下取证技术面临的困难和挑战,并提出简要对策。