信息收集型木马电子数据取证方法探讨

刑事技术 2011 年第 4 期 3 � 讨 � 论 毒品问题在许多国家和地区已成为危害严重的 社会问题。近年来, 随着国际社会对毒品的严格管制 和对禁贩毒打击力度的加大, 使得毒品非法交易的利 润十分可观。一些犯罪分子为谋取暴利, 经常使用外 观类似毒品的化工原料、西药片剂等作为掺杂物、稀 释剂或直接冒充毒品进行贩卖, 以获取期待的暴利。 如 N-异丙基苄胺作为工业原料, 其价格非常便宜,又 非管制类药物,因此被用作�冰毒�的稀释剂或直接假 冒�冰毒�。这种外观和毒品相似的化工原料应当引起 禁毒及刑事部门执法者和检验人员的注意和重视。 参考文献: [ 1] � Sanderson RS� Identification of N-Methylbenzylamine Hydro- chloride, N-Ethylbenzylamine H ydrochlor ide, and N- Iso- propylbenzylamine Hydrochlo ride [ J/ OL ] � Microg ram Journal January- June 2008; 6( 1-2)� < a href = "http: / / w ww " tar get= "- new "> htt p: / / ww w< / a> � usdo j� gov/ dea/ prog rams/ for ensicsci/ m icro g ram / journa l - v6 - num12/ pg4� html� [ 2] � N- isopropy lbenzy lamine hydro chlor ide( as � ice� metham- phetamine mimics) on the west coast [ EB/ OL ] � M icro- gr am Bulletin, March 2008� < a href = "http: / / w w w " targ et= "- new "> http: / / w ww < / a> � usdo j� gov / dea/ prog rams/ for ensicsci/ microg ram/ mg0308/ mg0308� html� [ 3] � Very lar ge seizur e o f N- isopropy lbenzylamine hydrochlo- ride in bakersfield, california[ EB/ OL ]� Microg ram Bu-l letin, April 2008� < a href= "ht tp: / / ww w" t arg et= "- new " > http: / / w ww < / a> � usdo j� gov/ dea/ pr og rams/ for ensicsci/ micro gr am/ mg0408/ mg0408� html� [ 4 ] � N-benzylmet hy lamine hcl and N-benzylet hy lamine hcl (� ice� and cr ystal methamphetamine mimics ) in the southwest[ EB/ OL ]� Microg ram Bulletin, August 2007 < a href = " http: / / ww w " targ et = "- new " > http: / / w ww < / a > � usdoj� gov/ dea/ prog rams/ forensicsci/ m-i crog ram/ mg0807/ mg0807� html� 收稿日期: 2011-02-22 信息收集型木马电子数据 取证方法探讨 罗文华� (中国刑事警察学院计算机犯罪侦查系, 辽宁沈阳 � 110854) 关键词:木马; 电子数据取证; 系统文件变化; 网络信息传输; 恶意程序逻辑 中图分类号: DF793� 2 � � 文献标识码: B 文章编号: 1008-3650( 2011) 04-0056-03 信息收集型木马被植入目标系统并运行后,能够 记录或收集目标系统中的各类重要信息, 如账户名 称、账户密码、系统操作与键盘按键信息等,并将所得 数据信息通过定时发送邮件或者主动访问特定网页 的方式发送给嫌疑人, 使其获得非法利益。信息搜索 型木马在对网络安全造成破坏的同时, 也成了诸多不 法分子的犯罪工具,它不仅造成了网络用户巨大的经 济损失,而且对社会治安也造成了不良影响。 针对木马恶意程序,特别是信息收集型木马恶意 程序的电子数据取证方法研究, 一直是相关领域的热 点与难点。本文即以信息收集型木马 � 终极免杀 QQ2009大盗�为例,重点从网络信息传输、系统文件 变化与恶意程序逻辑 3个角度分析其恶意行为(以下 分析测试均在虚拟机环境下进行) ,从而寻找相应的 证据或线索, 希望能够为众多同行提供借鉴和参考。 1 � 信息收集型木马电子数据取证方法 1� 1 � 终极免杀 QQ2009大盗 �终极 QQ2009木马�是一款较典型的信息收集 型木马,其生成器的运行界面如图 1所示。它用发送 邮件的方式通过网络将盗取的账号与密码发送给木 马受益人。在发信地址栏写入空间地址与木马生成 路径,点击�测试收信�可测试网络是否连通, 若连通 会弹出指定的地址空间,然后点击�生成木马�即生成 一个名为 ser ver� exe 的木马文件。受害人执行伪装 serv er� exe之后, 若执行登录 QQ2009 操作, 该木马 便会自动向指定空间地址发送账号与密码,木马受益 人登录后便可获知相关信息。图 2所示即为指定地 址空间存放的QQ 账号123598564及其密码 456789。 1� 2 � 从网络信息传输角度进行分析 监控网络传输信息是针对木马恶意程序常用的 电子数据取证方法之一,一般情况下能够直接观察到 �56� 刑事技术 2011 年第 4 期 木马窃取的信息及其发往地址。以 � 终极免杀 QQ2009大盗�为例, 双击执行木马样本� serv er� exe� 之后,发现该文件运行后自动消失(程序中含自我销 毁功能)。通过对比运行前后系统进程状况, 发现进 程列表中多了一个名为� INEXPL0ER�EXE�进程(注 意中间的是数字� 0�,而不是英文字母� o�) ,如图 3所 示。由此怀疑该进程是 server� exe自我销毁前注入 内存的进程,负责监控用户操作并通过网络将信息传 递给木马受益人。 图 3� 进程列表中多出的 INEXPL0ER� EXE 进程 由此考虑架设网络嗅探器,通过监控网络传输信 息进行分析。利用软件 Snif fer 进行监控并进行抓 包,从捕获的信息包中发现了该木马的收件地址为< a href= "http: / / 192" tar get= "_new "> http: / / 192 < / a> � 168� 159� 115/ log in� asp,如图 4所示。 图 4 � 利用 Sniffer抓包分析得出收件地址 1� 3 � 从系统文件变化角度进行分析 从系统文件变化角度进行分析, 有助于更深刻地 了解木马行为, 以便收集到更多的木马样本进行分 析。首先,可以使用 RegSnap 软件备份系统文件及 注册表信息, 之后运行 serv er� exe 木马样本, 并执行 登录 QQ2009操作,然后再用RegSnap生成第二份系 统文件与注册表信息的备份, 利用 RegSnap 自身具 备的对照功能将两个文件进行比对分析, 注册表与系 统文件的比对结果分别如图 5、图 6所示。 经过分析, 该木马在注册表里修改了一个很重要 的键值: HKEY_ LOCAL _MACHINE \ SOFTWARE \ M-i crosoft\ DirectDraw\ M ostRecentApplication\Name 新: 字符串: � IEXPLORE�EXE� 旧: 字符串: � iexplore� exe� 同时,在运行木马后注册表快照对比可以从中发 现删除了一个键值: HKEY _ CU RREN T _ USER \ Sof tw ar e \ M-i cr osof t \ Window s \ ShellNoRoam \ MUICache \ C: \ Documents and Set t ings\ You\桌面\ ser ver� exe 并新建了一个键值: HKEY _ CU RREN T _ USER \ Sof tw ar e \ M-i cr osof t \ Window s \ ShellNoRoam \ MUICache \ C: \ WINDOWS\Web\ IEXPL0RE� exe 系统文件比对结果显示木马运行后修改了两个系 统文件� Web\ IEXPL0RE�EXE�(注意: 中间不是英文 字母�o� ,而是数字�0� )与� windowsupdate� log�。进入 到系统文件夹下查看这两个文件, 发现 IEX- PL0RE�EXE( C: \ Window s\ w eb\ IEXPL0RE�EXE) 原本并不存在, 是在运行木马后生成的, 且其属性为 隐藏、系统文件,无法手动删除。如有必要,这个新发 现的� IEXPL0RE�EXE�也需作为木马样本进行分 析。而文件 w indow supdate� log 是日志文件,对比木 马运行前后的日志文件信息,发现该日志中多出两条 记录,如图 7所示。 图 7� w indowsupdate� log 文件中多出的记录信息 �57� 刑事技术 2011 年第 4 期 1� 4 � 从恶意程序逻辑角度进行分析 实践中发现, 在多数情况下, 因木马中设置的运 行有效期限或者其他运行条件已被破坏, 木马样本往 往无法被激活, 网络嗅探等方法不能发现有价值的信 息。在这样的情况下,有必要针对恶意程序逻辑进行 动态逆向分析, 从而发现相关证据或线索。 为了防止被杀毒软件查杀或被跟踪调试,大多数 木马恶意程序也采用了壳的技术。因此分析之前首 先要对木马样本进行查壳, 如果发现其有壳, 则需利 用脱壳软件或手工操作进行脱壳, 然后再用反汇编软 件进行程序逻辑分析。图 8 所示为利用查壳软件 PEiD使用普通扫描和深度扫描检查 QQ2009大盗的 壳,未发现其加壳。 图 8 � 未发现终极 QQ2009 大盗加壳 之后便可利用动态分析软件 Ollydbg 打开木马样本, 利用UNICODE方式查看其字符串信息,如图9所示。 图 9� 利用 U NICODE 方式查看字符串信息 在字符串窗口可以查看所有字符串及其对应地 址,之后寻找关键字符串,在关键字符串处下断点, 本 例中即为� send�、� qqget� asp�等。设置断点的地方虚 拟地址会以红色显示,如图 10所示。 图 10� 在字符串� send�处设置断点 运行至断点处, 按 F7进行单步跟踪,并注意信息 栏的解码分析。更改断点设置位置, 再次重复以上步 骤,当将断点设置在� qqget� asp�处并进行分析时, 会 发现该程序访问了一个 ASP 网页地址: < a href= " ht tp: / / 192" target = " _ new " > http: / / 192 < / a> � 168� 159� 115/ qqpo st� asp, 即嫌疑人获取信息的地 址空间,如图 11所示。 图 11 � 在内存中发现可疑的 ASP 网页地址 2 � 讨 � 论 本文主要利用了 Ollydbg、Snif fer、RegSnap 和 PEiD4个软件,从网络信息传输、系统文件变化以及 恶意程序逻辑 3个角度探讨了针对木马恶意程序的 电子数据取证方法。应该说这 4个软件都较为圆满 地完成了自己的任务。值得一提的是 RegSnap 与 Ollydbg。RegSnap操作简单且功能强大, 针对注册 表以及系统文件的比对都可以通过它完成,分析结果 直观明了,是取证调查工作中非常得力的工具; Olly- dbg 则是运行 Window s系统下的分析代码级调试工 具,可以调试 PE 格式的执行文件及动态链接库, 本 文利用它来完成针对恶意程序的动态逆向分析,该软 件的使用门槛较高,要求使用者对计算机系统要有比 较全面深刻的理解,实践使用该软件时需要多练习多 思考,才能达到发现证据或线索的目的。另外, 分析 木马恶意程序时要注意模拟还原其原来所处的环境, 这样才能提高木马被激活的可能性,也能够进一步保 证分析结果的准确性。本文中所谈到的 3种分析方 法,既可分开使用也可综合使用,依实际情况而定。 参考文献: [ 1] � 陶永红� 文件在磁盘中存取轨迹分析 [ J]� 刑事技术, 2010( 2) : 56-59� [ 2] � 尹春社� 对电子数据现场获取存在问题的分析与探讨 [ J]� 刑事技术, 2008( 3) : 26-28� [ 3] � 陈剑� 电子物证特性研究[ J]� 刑事技术,2009( 4) : 38-40� [ 4] � 刘虓,王光卫,范明钰� 不同加壳软件加壳后程序逆向分析的 难易度实验[ J]� 实验技术与管理, 2009( 6) :94-100� [ 5] � 梁晓� 恶意代码行为自动化分析技术探析[ J]� 技术与 市场, 2010( 8) : 15-16� [ 6] � 秦青文� 基于 IDA- Pro的软件逆向分析方法[ J]� 计算 机工程, 2008( 11) : 86-88� 收稿日期: 2010-11-06 �58�