共查询到10条相似文献,搜索用时 359 毫秒
1.
目前,办案人员主要采用静态分析和动态分析法对盗号木马进行取证分析,获取网络入侵痕迹,但是现有取证方法较为繁琐,对办案人员专业知识水平要求较高,且获取的入侵痕迹不够全面。针对上述问题,采用通信流量分析法对盗号木马进行取证分析,以使用FTP协议的Hawk Eye keylogger盗号木马为例,通过细致分析木马与外界的通信数据流,根据其连接建立过程,还原盗取的用户隐私信息,确定黑客控制端IP地址、端口号等入侵线索。实验结果表明,与现有取证方法相比,该方法能够全面、快速、准确获取盗号木马相关痕迹信息,灵活性较高,既能对常规盗号木马(通常采用SMTP协议和HTTP协议)进行分析,又能对使用FTP协议的新型盗号木马进行深入取证,符合公安一线工作需求。 相似文献
2.
3.
宋长伟 《江苏警官学院学报》2012,(1):178-179
通过植入盗号木马实施犯罪是常见的网络作案方式,具有很强的隐蔽性和较高的技术含量。木马分析和追踪的核心是如何找到犯罪嫌疑人的收信地址,可以通过盗号木马代码分析、木马内存分析、关键字搜索、网络监听试验等方法,对盗号木马的收信地址进行追踪。 相似文献
4.
远程控制木马对信息网络安全构成严重威胁,研究远程控制木马的取证方法对公安机关的侦查、办案工作有重要意义。提出了一种基于网络数据还原的远程控制木马取证分析方法。以pcshare木马为例研究了从通信数据中还原键盘记录信息和语音聊天文件的具体方法,应用提出的取证方法可以获得木马存在的直接证据,进而确定攻击行为,提取出攻击者的IP地址和使用的端口号。 相似文献
5.
随着软件技术的发展及其在各个领域的广泛应用,作为网络安全执法者,我们可以对病毒、木马等破坏性软件程序进行反汇编逆向分析,从根本上了解其数据结构、程序设计思路等。本文以信息收集型网络游戏盗号木马为例,通过程序脱壳、反汇编逆向分析寻找出此木马的收信地址。为计算机犯罪侦查和电子数据取证提供一种新方法。 相似文献
6.
研究了Wireshark捕获数据流和协议解析插件的原理,探讨了在Wireshark中,使用L ua脚本开发Wireshark入侵检测插件,根据木马、病毒等网络攻击的特征值,编写L ua脚本对已知木马、病毒的入侵行为进行检测预警,提出可以依据此原理建立一个基于Wireshark插件的入侵检测系统。最后,通过e N SP网络仿真平台搭建模拟环境,运行木马、病毒实验对此插件进行了验证测试,实验结果表明该方法简便高效,适用于对木马、病毒的入侵行为进行检测预警。 相似文献
7.
8.
认证协议是一种通信协议,此类协议主要防止通信过程中对消息的篡改攻击以及假冒参与实体身份的攻击等。密钥协商协议是一种密码协议,该类协议用于通信参与方通过相互传递某些信息来协商出一个共享的会话密钥。认证密钥协商协议综合了两者的功能,它首先实现通信各方的相互认证,之后协商只有参与者所知的会话密钥。研究了芯片访问控制中用到的两种基于口令的认证密钥协商协议--BAC协议和PACE协议。通过对这两个协议的安全性进行分析与比较,说明PACE协议安全性更高,从而为协议的应用提供了理论指导。 相似文献
9.
网络入侵案件往往为网络犯罪提供很多便利条件。通过对木马开展细致分析,锁定证据,是网站入侵案件电子证据勘验的有效方法。首先对涉案网站基本情况加以了解,确定被修改内容、时间、路径;其次从可以文件中查找被植入的木马;再次使用简便易行的技术方法,加强网站保护,使入侵者无法调用服务器有关系统。 相似文献
10.
破坏货币管理秩序犯罪案件的侦查 总被引:1,自引:0,他引:1
侦查部门应对不同来源的有关破坏货币管理秩序犯罪的材料线索进行审查 ,对法律上应当受到惩罚的犯罪行为予以立案并开展侦查工作。其侦查措施有广泛发动群众 ,控制假币投放 ;调查假币来源 ,发现线索 ;分析假币制作特征 ,缩小侦查范围 ;加强区域协作 ,开展并案侦查 ;分析假币投放、使用地区的特点和控制特种行业 ,发现犯罪嫌疑人 ;组建情报力量 ,及时发现线索。其取证方法采取询问证人获取证言 ,讯问犯罪嫌疑人获取口供 ,搜查有关场所获取罪证 ,采用技术鉴定获取证据。侦查中应根据各类货币案件证据体系的不同特点予以收集 ,形成完整证据链。 相似文献