基于网络数据还原的远程控制木马取证方法研究

远程控制木马对信息网络安全构成严重威胁,研究远程控制木马的取证方法对公安机关的侦查、办案工作有重要意义。提出了一种基于网络数据还原的远程控制木马取证分析方法。以pcshare木马为例研究了从通信数据中还原键盘记录信息和语音聊天文件的具体方法,应用提出的取证方法可以获得木马存在的直接证据,进而确定攻击行为,提取出攻击者的IP地址和使用的端口号。     

面向取证能力提升的网络靶场训练系统构建

涉网案件办理过程中,调查人员的网络取证分析能力至关重要。目前现有网络靶场主要用于培养、提高参训学员的网络攻防实践能力,很少甚至没有涉及到网络取证分析能力的锻炼。针对这一问题,提出一种面向取证能力提升的网络靶场构建方案。通过比较现有网络安全实训系统,确定采用Open Stack云平台构建网络靶场,分析典型涉网案件所涉及到的攻防技术,梳理相应的取证措施,凝练网络靶场知识体系;采用参训学员反馈、题库更新和最新案例引入等方式实现靶场知识体系的动态更新完善。经过实践检验,上述靶场系统可以有效锻炼、提升参训学员的涉网案件取证分析能力。     

在职民警网络安全技术远程云实训模式构建

在职民警参加网络安全技术类线下培训面临学习门槛高、时间难协调、名额有限制、培训费用高等诸多问题。针对这些实际问题，提出一种基于“钉钉群直播+云实践平台演练+微信群反馈”的弹性远程培训模式。这种远程线上培训模式采用云平台作为实践培训平台，学员使用浏览器即可完成实践内容，在降低学习门槛的同时，提高了实践教学质量，可以达到与线下实践培训相同的效果。通过钉钉群进行直播授课，部分无法及时听课的学员可以选择观看回放视频，通过质量监控环节确保线上培训与线下教学等质同效。经实践检验，研究提出的远程线上培训模式可以作为线下教学的有益补充。     

Office文件编辑过程痕迹提取研究

使用Winhex研究Office文档在磁盘上的存储结构,分析文件编辑痕迹在磁盘内的分布情况,编写软件实现Office数据块的解压缩和关键信息的自动提取。实验测试证明,该软件系统可以准确提取出NTFS格式磁盘内残留的Office痕迹碎片,并将碎片组合成可以查看的Office文件,同时获取到文件的编辑时间、编辑用户名和编辑次序等信息。     

基于Hydra的远程服务器密码探测技术及防御措施研究

研究远程服务器的密码探测技术对网络安全管理工作有重要意义。研究分析了早期以"黑雨"为代表的密码探测技术,并分析其失效的原因。重点研究了基于Hydra的远程服务器密码探测方法。通过研究表明基于Hydra的远程服务器密码探测方法是在一条TCP连接内测试多组账户信息,采用登录失败次数限制或图片验证码限制措施可在一定程度上预防此类攻击,但当黑客采用代理IP地址池、人工或自动解验证码措施时,此类攻击仍对远程服务器构成安全威胁。     

基于odex文件结构的Android程序逆向分析方法

研究odex文件的逆向分析方法对公安机关的电子数据检验鉴定工作具有实际意义。由于odex文件与硬件平台紧密相关,将其移植到其它Android平台上,程序通常无法运行。为了解决odex文件的取证分析问题,采用分析odex文件存储结构的方法,将二进制机器代码逐步还原为可直接阅读的smali源代码,进而通过静态方式完成取证分析工作。经实际测试,这种odex文件解析方法可以较好地应用于Android程序逆向分析工作。     

MySQL数据库检验方法研究

介绍了提取涉案MySQL数据库的数据文侔和目志文件的方法;给出了附加涉案MysQL数据库到取证计算机的方法和常用的SQL指令;重点研究了数据库自动搜索方法和基于二进制日志文件的操作痕迹提取方法。结果表明,应用本文设计的MySQL数据库自动搜索存储过程可以从所有数据库中快速、准确检索出包含某个特定关键词的数据记录,应用本文给出的日志分析方法可以对用户的操作痕迹进行提取。     

键盘记录木马线索监控软件的设计与实现

键盘记录木马可以窃取用户在登陆窗口内输入的敏感信息。设计键盘记录木马线索监控软件可以自动从监控到的网络通信数据中提取出放马者的线索，进而为公安机关的侦查、取证工作服务。     

基于函数映射的恶意程序逆向取证方法研究

恶意程序的静态逆向分析方法需要取证人员阅读大量汇编源代码,取证周期漫长、效率低下,不能满足公安工作实际需要。提出一种基于函数映射的恶意程序逆向分析方法,首先取证人员分析恶意程序调用了哪些系统函数,之后初步判断恶意程序主要功能,再通过关键函数断点设置来进一步完成取证分析工作。这种方法不需要取证人员完整阅读汇编代码,通过关键函数局部汇编代码分析来完成取证工作,在提高取证效率、缩短取证周期的同时,最大限度地保证检验结论的准确性和完整性。     

网络视频数据捕获恢复软件的设计与实现

设计一个程序可对流经本机网卡的网络视频数据进行捕获并将其还原成可以观看的视频文件。程序可以对在线观看、单击右键保存和迅雷等工具下载的rm、flv、mpg等格式的视频数据进行捕获和还原。文章对网络视频数据捕获、恢复软件的关键技术和程序设计情况进行了详细的介绍。