基于FTP协议的盗号木马通信流量分析方法研究

目前,办案人员主要采用静态分析和动态分析法对盗号木马进行取证分析,获取网络入侵痕迹,但是现有取证方法较为繁琐,对办案人员专业知识水平要求较高,且获取的入侵痕迹不够全面。针对上述问题,采用通信流量分析法对盗号木马进行取证分析,以使用FTP协议的Hawk Eye keylogger盗号木马为例,通过细致分析木马与外界的通信数据流,根据其连接建立过程,还原盗取的用户隐私信息,确定黑客控制端IP地址、端口号等入侵线索。实验结果表明,与现有取证方法相比,该方法能够全面、快速、准确获取盗号木马相关痕迹信息,灵活性较高,既能对常规盗号木马(通常采用SMTP协议和HTTP协议)进行分析,又能对使用FTP协议的新型盗号木马进行深入取证,符合公安一线工作需求。