刑事技术 2011 年第 4 期
3 � 讨 � 论
毒品问题在许多国家和地区已成为危害严重的
社会问题。近年来, 随着国际社会对毒品的严格管制
和对禁贩毒打击力度的加大, 使得毒品非法交易的利
润十分可观。一些犯罪分子为谋取暴利, 经常使用外
观类似毒品的化工原料、西药片剂等作为掺杂物、稀
释剂或直接冒充毒品进行贩卖, 以获取期待的暴利。
如 N-异丙基苄胺作为工业原料, 其价格非常便宜,又
非管制类药物,因此被用作�冰毒�的稀释剂或直接假
冒�冰毒�。这种外观和毒品相似的化工原料应当引起
禁毒及刑事部门执法者和检验人员的注意和重视。
参考文献:
[ 1] � Sanderson RS� Identification of N-Methylbenzylamine Hydro-
chloride, N-Ethylbenzylamine H ydrochlor ide, and N- Iso-
propylbenzylamine Hydrochlo ride [ J/ OL ] � Microg ram
Journal January- June 2008; 6( 1-2)� < a href = "http: / /
w ww " tar get= "- new "> htt p: / / ww w< / a> � usdo j�
gov/ dea/ prog rams/ for ensicsci/ m icro g ram / journa l - v6
- num12/ pg4� html�
[ 2] � N- isopropy lbenzy lamine hydro chlor ide( as � ice� metham-
phetamine mimics) on the west coast [ EB/ OL ] � M icro-
gr am Bulletin, March 2008� < a href = "http: / / w w w "
targ et= "- new "> http: / / w ww < / a> � usdo j� gov / dea/
prog rams/ for ensicsci/ microg ram/ mg0308/
mg0308� html�
[ 3] � Very lar ge seizur e o f N- isopropy lbenzylamine hydrochlo-
ride in bakersfield, california[ EB/ OL ]� Microg ram Bu-l
letin, April 2008� < a href= "ht tp: / / ww w" t arg et= "-
new " > http: / / w ww < / a> � usdo j� gov/ dea/ pr og rams/
for ensicsci/ micro gr am/ mg0408/ mg0408� html�
[ 4 ] � N-benzylmet hy lamine hcl and N-benzylet hy lamine hcl
(� ice� and cr ystal methamphetamine mimics ) in the
southwest[ EB/ OL ]� Microg ram Bulletin, August 2007
< a href = " http: / / ww w " targ et = "- new " > http: / /
w ww < / a > � usdoj� gov/ dea/ prog rams/ forensicsci/ m-i
crog ram/ mg0807/ mg0807� html�
收稿日期: 2011-02-22
信息收集型木马电子数据
取证方法探讨
罗文华� (中国刑事警察学院计算机犯罪侦查系, 辽宁沈阳
� 110854)
关键词:木马; 电子数据取证; 系统文件变化; 网络信息传输;
恶意程序逻辑
中图分类号: DF793� 2 � � 文献标识码: B
文章编号: 1008-3650( 2011) 04-0056-03
信息收集型木马被植入目标系统并运行后,能够
记录或收集目标系统中的各类重要信息, 如账户名
称、账户密码、系统操作与键盘按键信息等,并将所得
数据信息通过定时发送邮件或者主动访问特定网页
的方式发送给嫌疑人, 使其获得非法利益。信息搜索
型木马在对网络安全造成破坏的同时, 也成了诸多不
法分子的犯罪工具,它不仅造成了网络用户巨大的经
济损失,而且对社会治安也造成了不良影响。
针对木马恶意程序,特别是信息收集型木马恶意
程序的电子数据取证方法研究, 一直是相关领域的热
点与难点。本文即以信息收集型木马 � 终极免杀
QQ2009大盗�为例,重点从网络信息传输、系统文件
变化与恶意程序逻辑 3个角度分析其恶意行为(以下
分析测试均在虚拟机环境下进行) ,从而寻找相应的
证据或线索, 希望能够为众多同行提供借鉴和参考。
1 � 信息收集型木马电子数据取证方法
1� 1 � 终极免杀 QQ2009大盗
�终极 QQ2009木马�是一款较典型的信息收集
型木马,其生成器的运行界面如图 1所示。它用发送
邮件的方式通过网络将盗取的账号与密码发送给木
马受益人。在发信地址栏写入空间地址与木马生成
路径,点击�测试收信�可测试网络是否连通, 若连通
会弹出指定的地址空间,然后点击�生成木马�即生成
一个名为 ser ver� exe 的木马文件。受害人执行伪装
serv er� exe之后, 若执行登录 QQ2009 操作, 该木马
便会自动向指定空间地址发送账号与密码,木马受益
人登录后便可获知相关信息。图 2所示即为指定地
址空间存放的QQ 账号123598564及其密码 456789。
1� 2 � 从网络信息传输角度进行分析
监控网络传输信息是针对木马恶意程序常用的
电子数据取证方法之一,一般情况下能够直接观察到
�56�
刑事技术 2011 年第 4 期
木马窃取的信息及其发往地址。以 � 终极免杀
QQ2009大盗�为例, 双击执行木马样本� serv er� exe�
之后,发现该文件运行后自动消失(程序中含自我销
毁功能)。通过对比运行前后系统进程状况, 发现进
程列表中多了一个名为� INEXPL0ER�EXE�进程(注
意中间的是数字� 0�,而不是英文字母� o�) ,如图 3所
示。由此怀疑该进程是 server� exe自我销毁前注入
内存的进程,负责监控用户操作并通过网络将信息传
递给木马受益人。
图 3� 进程列表中多出的 INEXPL0ER� EXE 进程
由此考虑架设网络嗅探器,通过监控网络传输信
息进行分析。利用软件 Snif fer 进行监控并进行抓
包,从捕获的信息包中发现了该木马的收件地址为<
a href= "http: / / 192" tar get= "_new "> http: / / 192
< / a> � 168� 159� 115/ log in� asp,如图 4所示。
图 4 � 利用 Sniffer抓包分析得出收件地址
1� 3 � 从系统文件变化角度进行分析
从系统文件变化角度进行分析, 有助于更深刻地
了解木马行为, 以便收集到更多的木马样本进行分
析。首先,可以使用 RegSnap 软件备份系统文件及
注册表信息, 之后运行 serv er� exe 木马样本, 并执行
登录 QQ2009操作,然后再用RegSnap生成第二份系
统文件与注册表信息的备份, 利用 RegSnap 自身具
备的对照功能将两个文件进行比对分析, 注册表与系
统文件的比对结果分别如图 5、图 6所示。
经过分析, 该木马在注册表里修改了一个很重要
的键值:
HKEY_ LOCAL _MACHINE \ SOFTWARE \ M-i
crosoft\ DirectDraw\ M ostRecentApplication\Name
新: 字符串: � IEXPLORE�EXE�
旧: 字符串: � iexplore� exe�
同时,在运行木马后注册表快照对比可以从中发
现删除了一个键值:
HKEY _ CU RREN T _ USER \ Sof tw ar e \ M-i
cr osof t \ Window s \ ShellNoRoam \ MUICache \ C: \
Documents and Set t ings\ You\桌面\ ser ver� exe
并新建了一个键值:
HKEY _ CU RREN T _ USER \ Sof tw ar e \ M-i
cr osof t \ Window s \ ShellNoRoam \ MUICache \ C: \
WINDOWS\Web\ IEXPL0RE� exe
系统文件比对结果显示木马运行后修改了两个系
统文件� Web\ IEXPL0RE�EXE�(注意: 中间不是英文
字母�o� ,而是数字�0� )与� windowsupdate� log�。进入
到系统文件夹下查看这两个文件, 发现 IEX-
PL0RE�EXE( C: \ Window s\ w eb\ IEXPL0RE�EXE)
原本并不存在, 是在运行木马后生成的, 且其属性为
隐藏、系统文件,无法手动删除。如有必要,这个新发
现的� IEXPL0RE�EXE�也需作为木马样本进行分
析。而文件 w indow supdate� log 是日志文件,对比木
马运行前后的日志文件信息,发现该日志中多出两条
记录,如图 7所示。
图 7� w indowsupdate� log 文件中多出的记录信息 �57�
刑事技术 2011 年第 4 期
1� 4 � 从恶意程序逻辑角度进行分析
实践中发现, 在多数情况下, 因木马中设置的运
行有效期限或者其他运行条件已被破坏, 木马样本往
往无法被激活, 网络嗅探等方法不能发现有价值的信
息。在这样的情况下,有必要针对恶意程序逻辑进行
动态逆向分析, 从而发现相关证据或线索。
为了防止被杀毒软件查杀或被跟踪调试,大多数
木马恶意程序也采用了壳的技术。因此分析之前首
先要对木马样本进行查壳, 如果发现其有壳, 则需利
用脱壳软件或手工操作进行脱壳, 然后再用反汇编软
件进行程序逻辑分析。图 8 所示为利用查壳软件
PEiD使用普通扫描和深度扫描检查 QQ2009大盗的
壳,未发现其加壳。
图 8 � 未发现终极 QQ2009 大盗加壳
之后便可利用动态分析软件 Ollydbg 打开木马样本,
利用UNICODE方式查看其字符串信息,如图9所示。
图 9� 利用 U NICODE 方式查看字符串信息
在字符串窗口可以查看所有字符串及其对应地
址,之后寻找关键字符串,在关键字符串处下断点, 本
例中即为� send�、� qqget� asp�等。设置断点的地方虚
拟地址会以红色显示,如图 10所示。
图 10� 在字符串� send�处设置断点
运行至断点处, 按 F7进行单步跟踪,并注意信息
栏的解码分析。更改断点设置位置, 再次重复以上步
骤,当将断点设置在� qqget� asp�处并进行分析时, 会
发现该程序访问了一个 ASP 网页地址: < a href= "
ht tp: / / 192" target = " _ new " > http: / / 192 < / a>
� 168� 159� 115/ qqpo st� asp, 即嫌疑人获取信息的地
址空间,如图 11所示。
图 11 � 在内存中发现可疑的 ASP 网页地址
2 � 讨 � 论
本文主要利用了 Ollydbg、Snif fer、RegSnap 和
PEiD4个软件,从网络信息传输、系统文件变化以及
恶意程序逻辑 3个角度探讨了针对木马恶意程序的
电子数据取证方法。应该说这 4个软件都较为圆满
地完成了自己的任务。值得一提的是 RegSnap 与
Ollydbg。RegSnap操作简单且功能强大, 针对注册
表以及系统文件的比对都可以通过它完成,分析结果
直观明了,是取证调查工作中非常得力的工具; Olly-
dbg 则是运行 Window s系统下的分析代码级调试工
具,可以调试 PE 格式的执行文件及动态链接库, 本
文利用它来完成针对恶意程序的动态逆向分析,该软
件的使用门槛较高,要求使用者对计算机系统要有比
较全面深刻的理解,实践使用该软件时需要多练习多
思考,才能达到发现证据或线索的目的。另外, 分析
木马恶意程序时要注意模拟还原其原来所处的环境,
这样才能提高木马被激活的可能性,也能够进一步保
证分析结果的准确性。本文中所谈到的 3种分析方
法,既可分开使用也可综合使用,依实际情况而定。
参考文献:
[ 1] � 陶永红� 文件在磁盘中存取轨迹分析 [ J]� 刑事技术,
2010( 2) : 56-59�
[ 2] � 尹春社� 对电子数据现场获取存在问题的分析与探讨
[ J]� 刑事技术, 2008( 3) : 26-28�
[ 3] � 陈剑� 电子物证特性研究[ J]� 刑事技术,2009( 4) : 38-40�
[ 4] � 刘虓,王光卫,范明钰� 不同加壳软件加壳后程序逆向分析的
难易度实验[ J]� 实验技术与管理, 2009( 6) :94-100�
[ 5] � 梁晓� 恶意代码行为自动化分析技术探析[ J]� 技术与
市场, 2010( 8) : 15-16�
[ 6] � 秦青文� 基于 IDA- Pro的软件逆向分析方法[ J]� 计算
机工程, 2008( 11) : 86-88�
收稿日期: 2010-11-06
�58�
本文档为【信息收集型木马电子数据取证方法探讨】,请使用软件OFFICE或WPS软件打开。作品中的文字与图均可以修改和编辑,
图片更改请在作品中右键图片并更换,文字修改请直接点击文字进行修改,也可以新增和删除文档中的内容。
该文档来自用户分享,如有侵权行为请发邮件ishare@vip.sina.com联系网站客服,我们会及时删除。
[版权声明] 本站所有资料为用户分享产生,若发现您的权利被侵害,请联系客服邮件isharekefu@iask.cn,我们尽快处理。
本作品所展示的图片、画像、字体、音乐的版权可能需版权方额外授权,请谨慎使用。
网站提供的党政主题相关内容(国旗、国徽、党徽..)目的在于配合国家政策宣传,仅限个人学习分享使用,禁止用于任何广告和商用目的。