基于FTP协议的盗号木马通信流量分析方法研究

目前,办案人员主要采用静态分析和动态分析法对盗号木马进行取证分析,获取网络入侵痕迹,但是现有取证方法较为繁琐,对办案人员专业知识水平要求较高,且获取的入侵痕迹不够全面。针对上述问题,采用通信流量分析法对盗号木马进行取证分析,以使用FTP协议的Hawk Eye keylogger盗号木马为例,通过细致分析木马与外界的通信数据流,根据其连接建立过程,还原盗取的用户隐私信息,确定黑客控制端IP地址、端口号等入侵线索。实验结果表明,与现有取证方法相比,该方法能够全面、快速、准确获取盗号木马相关痕迹信息,灵活性较高,既能对常规盗号木马(通常采用SMTP协议和HTTP协议)进行分析,又能对使用FTP协议的新型盗号木马进行深入取证,符合公安一线工作需求。     

基于HTTP/2协议分析的网站挂马线索调查方法研究

当被挂马网站采用HTTP/2协议时,办案人员无法对加密传输的通信数据进行有效分析,影响了网站挂马案件调查分析工作的开展.针对这一问题,提出一种基于主机内部调查和网络信息监听的木马线索调查方法,在染毒计算机上浏览疑似被挂马的HTTP/2网站,对比浏览前后进程和网络连接变化情况,初步筛选出木马程序,再使用Wireshark...     

盗号木马分析与追踪

通过植入盗号木马实施犯罪是常见的网络作案方式,具有很强的隐蔽性和较高的技术含量。木马分析和追踪的核心是如何找到犯罪嫌疑人的收信地址,可以通过盗号木马代码分析、木马内存分析、关键字搜索、网络监听试验等方法,对盗号木马的收信地址进行追踪。     

反汇编与逆向分析在电子取证中的应用

随着软件技术的发展及其在各个领域的广泛应用,作为网络安全执法者,我们可以对病毒、木马等破坏性软件程序进行反汇编逆向分析,从根本上了解其数据结构、程序设计思路等。本文以信息收集型网络游戏盗号木马为例,通过程序脱壳、反汇编逆向分析寻找出此木马的收信地址。为计算机犯罪侦查和电子数据取证提供一种新方法。     

基于网络数据还原的远程控制木马取证方法研究

远程控制木马对信息网络安全构成严重威胁,研究远程控制木马的取证方法对公安机关的侦查、办案工作有重要意义。提出了一种基于网络数据还原的远程控制木马取证分析方法。以pcshare木马为例研究了从通信数据中还原键盘记录信息和语音聊天文件的具体方法,应用提出的取证方法可以获得木马存在的直接证据,进而确定攻击行为,提取出攻击者的IP地址和使用的端口号。     

基于Wireshark的入侵检测插件应用开发研究

研究了Wireshark捕获数据流和协议解析插件的原理,探讨了在Wireshark中,使用L ua脚本开发Wireshark入侵检测插件,根据木马、病毒等网络攻击的特征值,编写L ua脚本对已知木马、病毒的入侵行为进行检测预警,提出可以依据此原理建立一个基于Wireshark插件的入侵检测系统。最后,通过e N SP网络仿真平台搭建模拟环境,运行木马、病毒实验对此插件进行了验证测试,实验结果表明该方法简便高效,适用于对木马、病毒的入侵行为进行检测预警。     

SIP协议及其实现机制的研究

SIP协议概述SIP是IETF提出的在IP网络上进行多媒体通信的,用于创建、修改和终止多媒体呼叫与会话的应用层控制协议。SIP协议是文本格式的客户服务器协议:客户机发起请求,服务器进行响应。它非常类似于简单邮件传输协议(SMTP)和超文本传输协议(HTTP),沿用了一些HTTP的     

木马分析法在网站入侵案件证据勘验中的运用

网络入侵案件往往为网络犯罪提供很多便利条件。通过对木马开展细致分析,锁定证据,是网站入侵案件电子证据勘验的有效方法。首先对涉案网站基本情况加以了解,确定被修改内容、时间、路径;其次从可以文件中查找被植入的木马;再次使用简便易行的技术方法,加强网站保护,使入侵者无法调用服务器有关系统。     

BAC协议与PACE协议的安全性分析与比较

认证协议是一种通信协议,此类协议主要防止通信过程中对消息的篡改攻击以及假冒参与实体身份的攻击等。密钥协商协议是一种密码协议,该类协议用于通信参与方通过相互传递某些信息来协商出一个共享的会话密钥。认证密钥协商协议综合了两者的功能,它首先实现通信各方的相互认证,之后协商只有参与者所知的会话密钥。研究了芯片访问控制中用到的两种基于口令的认证密钥协商协议--BAC协议和PACE协议。通过对这两个协议的安全性进行分析与比较,说明PACE协议安全性更高,从而为协议的应用提供了理论指导。     

单总线技术应用经验交流

单总线是一种新型总线标准,仅通过一条数据线便可以完成主机对多个器件的通信和控制。本文简述了单总线技术特点、单总线协议及单总线间的通信方式,分析单总线器件的结构、操作和信息访问的机理,介绍其软件开发环境和应用系统的设计方法及软件框图。     

破坏货币管理秩序犯罪案件的侦查

侦查部门应对不同来源的有关破坏货币管理秩序犯罪的材料线索进行审查 ,对法律上应当受到惩罚的犯罪行为予以立案并开展侦查工作。其侦查措施有广泛发动群众 ,控制假币投放 ;调查假币来源 ,发现线索 ;分析假币制作特征 ,缩小侦查范围 ;加强区域协作 ,开展并案侦查 ;分析假币投放、使用地区的特点和控制特种行业 ,发现犯罪嫌疑人 ;组建情报力量 ,及时发现线索。其取证方法采取询问证人获取证言 ,讯问犯罪嫌疑人获取口供 ,搜查有关场所获取罪证 ,采用技术鉴定获取证据。侦查中应根据各类货币案件证据体系的不同特点予以收集 ,形成完整证据链。     

Web服务器的安全问题综述

本文首先简要介绍了Web服务的工作原理。然后着重从不必要的服务、基础HTTP认证以及Web服务器自身漏洞等方面分析了Web服务器的安全性,并从多个角度研究了解决Web服务器安全问题的策略和方法。     

基于Windows内存取证的计算机病毒木马行为分析

随着技术发展,病毒木马对计算机的攻击隐秘性日益提高,只存在和运行于内存中的病毒已经出现,对内存的取证成为当前电子取证工作中重要一环。传统的取证手段已经无法完全满足当前的取证要求,因此,通过内存镜像对病毒木马进行取证研究已迫在眉睫。通过对木马病毒样本进行仿真、取证、分析,提出了一套从Windows内存镜像中对病毒木马行为进行分析研判的方法,该方法能够将内存分析简单模式化,为取证人员提供思路。     

职务犯罪举报线索下降的原因及对策研究

任何职务犯罪线索的来源,都需要一些途径、方法和计谋加以收集、整理和甄别。现在,我国职务犯罪线索来源正在逐年下降。本文结合走访、观察、座谈会、调查问卷、查阅资料等技术,运用实证分析、比较分析等研究方法,主要针对职务犯罪举报线索来源下降的原因,提出了一些防控、改善和创新的构想和建议。     

犯罪通信痕迹的现场勘查

犯罪通信痕迹的内涵和外延决定了犯罪通信痕迹现场在表现形式上具有表象无形性、时间严格连续性、空间广域性和环境可变性等突出特点。犯罪通信痕迹现场勘查,区别于传统的现场勘查。侦查技术人员为了获取犯罪线索,分析并弄清案情,依法运用相关通讯探测工具,以提取、固定现场留存的与犯罪有关的通信终端、中继节点、无线电磁数据、即时通信数据、服务器信息数据、传统物证和其他信息;通过细致分类剖析调查访问、本地现场勘查、远程关联现场勘查等各个勘查环节的实施过程,明确侦查人员在勘查过程中应注意的相关内容和操作规范,明确犯罪通信痕迹现场勘查的侦查思路。     

问卷调查方法在青年研究中的运用与介绍状况——对297项问卷调查的分析

本文从研究方法的视角,对发表在《青年研究》等核心刊物上的297项调查研究的方法运用与介绍状况进行了分析。研究表明,九十年代中期以来大多数青年调查研究中的方法介绍还不够规范,后期在抽样方法、测量方法、资料收集方法介绍和运用方面有了明显的改观。由此笔者指出了在青年调查研究中存在的问题,进而对如何促进调查研究的规范性进行了探讨。     

基于公安业务的综合接入系统设计与实现

对综合接入系统进行了介绍,结合公安通信系统的现状,阐述了建设综合接入系统的必要性和可行性,提出了解决多制式通信手段互联互通的方法;对综合接入系统的组成进行了深入的分析;着重介绍了在方案设计和实施过程中的关键技术,针对每个关键技术都给出了解决方法;针对公安系统的相关工作特点,并结合具体的通信部门的组成,给出了公安系统应用综合接入系统的具体应用场景,提供了完整的系统解决方案。     

论犯罪通信痕迹——与犯罪物质痕迹、犯罪心理痕迹之比较

在与犯罪物质痕迹、犯罪心理痕迹的比较中,明确犯罪通信痕迹是指犯罪者在进行犯罪行为过程中,在公众通信系统中留下的与犯罪行为相关的可以用于分析案情、获取线索、固定证据的印象和迹象;并概括了犯罪通信痕迹表象的无形性与本质的有形性、同质复制性、精准性和脆弱性的特点;同时对犯罪通信痕迹进行了科学分类,最后概括了犯罪通信痕迹在侦查办案中的应用。     

测谎中运用行为分析的探索

目的:运用行为分析系统对测谎过程中被试行为线索分析检测的方法及有效线索的提取提供基础研究。方法:使用INTERAC9行为分析软件及相关设备组建行为分析系统,采集两起具良好后验性民事测谎案件的视(音)频资料进行非言语行为(肢体语言与副语言)分析,研究测谎中运用行为分析的可行性与有效性。结论:行为分析技术用于测谎过程中被试非言语行为线索的检测具有可行性,并具有较高的科研价值与实用性。实验样本中被试手势线索具有有效性。     

“存储式”XSS挂马攻击调查方法研究

提出的调查方法是在受害者主机端重新浏览可疑网页,同时使用sniffer等协议分析软件截获数据包,再对捕获数据进行分析,确定是否存在XSS挂马攻击,同时提取出攻击痕迹.该方法可以准确判断是否存在XSS挂马攻击,提取出攻击者遗留的IP地址、用户名等痕迹信息