反汇编与逆向分析在电子取证中的应用

随着软件技术的发展及其在各个领域的广泛应用,作为网络安全执法者,我们可以对病毒、木马等破坏性软件程序进行反汇编逆向分析,从根本上了解其数据结构、程序设计思路等。本文以信息收集型网络游戏盗号木马为例,通过程序脱壳、反汇编逆向分析寻找出此木马的收信地址。为计算机犯罪侦查和电子数据取证提供一种新方法。     

基于FTP协议的盗号木马通信流量分析方法研究

目前,办案人员主要采用静态分析和动态分析法对盗号木马进行取证分析,获取网络入侵痕迹,但是现有取证方法较为繁琐,对办案人员专业知识水平要求较高,且获取的入侵痕迹不够全面.针对上述问题,采用通信流量分析法对盗号木马进行取证分析,以使用FTP协议的HawkEye keylogger盗号木马为例,通过细致分析木马与外界的通信数...     

基于网络抓包的盗号木马线索调查方法研究

盗号木马对信息网络安全构成严重威胁,研究盗号木马的线索调查方法对公安机关的侦查、办案工作有重要意义。借助协议分析软件sniffer研究了盗号木马的线索调查方法;首先介绍了该方法的使用环境和使用步骤;研究了通过ESMTP和HTTP协议传送窃取信息的通信流程,结合实例分析了ESMTP和HTTP木马产生的网络数据包,详细介绍了如何从这两类通信数据中提取出黑客的相关线索。     

基于网络数据还原的远程控制木马取证方法研究

远程控制木马对信息网络安全构成严重威胁,研究远程控制木马的取证方法对公安机关的侦查、办案工作有重要意义。提出了一种基于网络数据还原的远程控制木马取证分析方法。以pcshare木马为例研究了从通信数据中还原键盘记录信息和语音聊天文件的具体方法,应用提出的取证方法可以获得木马存在的直接证据,进而确定攻击行为,提取出攻击者的IP地址和使用的端口号。     

木马分析法在网站入侵案件证据勘验中的运用

网络入侵案件往往为网络犯罪提供很多便利条件。通过对木马开展细致分析,锁定证据,是网站入侵案件电子证据勘验的有效方法。首先对涉案网站基本情况加以了解,确定被修改内容、时间、路径;其次从可以文件中查找被植入的木马;再次使用简便易行的技术方法,加强网站保护,使入侵者无法调用服务器有关系统。     

VPN破网技术及取证研究

当前随着网安部门对互联网违法犯罪的不断深入整治与打击,网络黑产、电信诈骗、黑客攻击和网络非法言论等违法犯罪行为在网上的活动变得越来越隐蔽化,嫌疑人通过代理、VPN方式联网,采取随意切换IP地址、使用境外IP地址登录等方式躲避公安机关追踪溯源,在互联网上进行各种犯罪,肆意发表言论,严重威胁到我国网络安全环境。在我国私自提供VPN服务属违法行为,对VPN服务器开展电子数据取证将为案件侦办提供关键证据支撑。     

关于“木马”侵入行为的刑法学思索

木马侵入①及其相关后续非法操作,是我国目前比较常见的网络难题,更是计算机犯罪尤其是网络共同犯罪的一个重大课题.后续操作尤其是出租行为往往依赖于木马服务端的传播,故而作为一种根源性行为的木马侵入,值得从刑法上进行定性研究和关注.木马有其自身的基本工作原理和侵入方式,木马侵入具有社会危害性,但难以被现有刑法条文所包容刑法典相关法条滞后,木马侵入行为入罪有其必要性,应完善相关的立法.     

网页挖矿木马的取证方法

网页挖矿木马因其具有较高的隐蔽性和传播性,已成为全球最主要的网络安全威胁之一。目前,针对网页挖矿木马的取证流程及技术方法仍不健全。通过梳理在Android、Windows以及Linux等不同操作系统中的取证流程,可以发现基于网络数据层、网页代码层、可信时间戳、其他木马固定的“四维取证”方法不失为一种针对网页挖矿木马的有效取证方法。     

淘宝网中的木马诈骗

2010年11月，湖北省襄樊市襄阳公安分局网监民警经过一个多月的侦查、追踪，转战鄂、豫、苏、皖、贵5省20个城市，一举打掉一个潜伏在淘宝网上种植木马，诈骗淘宝网客户200多万元现金的犯罪团伙，抓获木马制作者贵州人郑亮和另5名犯罪嫌疑人。     

基于Wireshark的入侵检测插件应用开发研究

研究了Wireshark捕获数据流和协议解析插件的原理,探讨了在Wireshark中,使用L ua脚本开发Wireshark入侵检测插件,根据木马、病毒等网络攻击的特征值,编写L ua脚本对已知木马、病毒的入侵行为进行检测预警,提出可以依据此原理建立一个基于Wireshark插件的入侵检测系统。最后,通过e N SP网络仿真平台搭建模拟环境,运行木马、病毒实验对此插件进行了验证测试,实验结果表明该方法简便高效,适用于对木马、病毒的入侵行为进行检测预警。     

基于Web bug的电子邮件追踪技术的设计与实现

在互联网时代中,电子邮件的使用越来越广泛。现较为主流的电子邮件追踪技术,是收件者对发件者的邮件信息追踪,但这种逆向的取证技术并不普及和完善。所设计的发件者对收件者的邮件信息追踪,是利用PHP编写Web bug代码插入到电子邮件中,通过收件者读取邮件中的Web bug来收集收件者是否打开邮件、打开邮件的IP地址、机器端口以及打开电子邮件的时间,从而实现对电子邮件的信息进行追踪。该项技术创新,可以应用到侦查机关调取案件线索、搜集证据当中,从而高效打击互联网违法犯罪。     

公安社工学在网络追踪中的应用

公安社工学把人的心理、社交关系作为最重要也是最薄弱的环节,将社会生活与网络相联系,将互联网信息与工具运用相结合,在网络追踪中显示出巨大的实用价值。通过实例讲解了公安社会工程学在网络追踪中的具体应用,公安侦查人员活学活用公安社会工程学,将掌握网络追踪中的另一把"牛刀"。     

小路牌引起大变化

“路牌虽小作用大,人民生活难离它。没有路牌真作难,详细地址没法填。找人送货不好办,订报收信更麻烦。重新设置路牌后,县城居民笑开颜……”退休老干部白保国写的这首顺口溜,真实地反映了宜阳县规范城区道路街巷名称前后的变化。     

基于Windows内存取证的计算机病毒木马行为分析

随着技术发展,病毒木马对计算机的攻击隐秘性日益提高,只存在和运行于内存中的病毒已经出现,对内存的取证成为当前电子取证工作中重要一环。传统的取证手段已经无法完全满足当前的取证要求,因此,通过内存镜像对病毒木马进行取证研究已迫在眉睫。通过对木马病毒样本进行仿真、取证、分析,提出了一套从Windows内存镜像中对病毒木马行为进行分析研判的方法,该方法能够将内存分析简单模式化,为取证人员提供思路。     

木马犯罪案件的常见侦查方法

木马犯罪案件是伴随互联网发展而生的新型案件。该类案件的主要特点有成本低、技术新、隐蔽性强、犯罪手法新颖、查处难度较高、获取利益巨大等。木马犯罪案件有着与传统案件不同的表现形式和行为特点,给公安机关侦查破获带来更多的困难。公安机关应充分利用涉案信息,将传统侦查思路和计算机网络技术相结合,综合运行多学科知识。同时建立起公安机关内部各部门之间、公安机关和其他部门之间、各区域之间的多部门联动机制和应急处置机制,健全完善法律法规,从而有效打击木马犯罪。     

浅谈互联网上的信息安全

随着互联网的发展与应用,上网就像读书、看报、看电视一样,已经成为人们日常生活、工作中不可或缺的内容。当越来越多的电脑通过网络实现信息共享,获得网络提供的各种方便和利益的同时,也在不断地受到种种网络不安全因素带来的威胁,如网络违法、犯罪、黑客攻击、有害信息传播等等。为了防范网络陷阱,广大网民都应加强网络信息安全意识,掌握一些行之有效的网络信息安全技术,提高自身的信息安全素质。一、IP地址与网络身份证在互联网上,每一台计算机都有一个由授权机构分配的号码,也就是一个统一规定格式的地址,我们称它为IP地址。这个IP地…     

网络文化浅析

计算机互联网是一个全新的事物,而网络迅速发展把我们带入了一个新的时代。即“网络时代”。１９９５年１０月２４日“联合网络委员会”通过了一项关于“互联网定义”的决议:‘互联网’这个词的定义。‘互联网’指的是全球性的信息系统———１通过全球性的唯一的地址逻辑地链接在一起。这个地址是建立在‘网络间协议’或今后其他协议基础之上的。２可以通过‘传输控制协议’和‘网络间协议’或者今后其他接替的协议或与‘网络间协议’兼容的协议来进行通信。３可以让公共用户或者私人用户使用高水平的服务。这种服务是建立在上述通信及相关…     

个人网上银行的安全分析与防范策略

网上银行是随着电子商务和网络金融发展而产生的,由于能为广大网民提供方便、快捷的服务,所以从网上银行产生开始便受到广大网民的欢迎。然而由于服务平台是建立在互联网的基础之上,因此安全性问题已成为其发展的最大障碍。本文将介绍网上银行的各个安全环节,并在分析各种木马威胁原理的基础上,提出几种防范威胁的解决方法。     

内部网中IP及域名系统的实现方法

在网络环境下,实现通信的每台计算机应有各自的IP地址,才能进行数据传输;本文对内 部网络的IP分配、DNS域名系统管理、域名设计提出了实现方法,制定了各层级域名的命 名,以保证计算机网、IP地址和名字的唯一性和灵活性。     

S9841使用的声码器基本原理及性能参数

声码器是以语音产生模型为基础,分析、提取表征音源和声道有关的特征参数,将这些参数编码,传输到收信端,再根据这些参数的编码信号重新合成语音,其目的是减少语音信号传输时所需的频带和进行复杂的加密。