木马取证与分析鉴定
2013.11.15
木马的原理
• 完整的木马程序一般由服务端程序和控制 端程序组成。中了木马就是指安装了木马 的服务端程序。
木马的植入方式
• • • • • • 1，邮件植入：广告邮件、附件等 2，IM植入：QQ、MSN等传递文件 3，下载植入：网站或论坛下载软件或文档等 4，系统漏洞植入：利用漏洞工具攻击 5，网页植入：网页诱惑点击 6，移动存储植入：u盘等媒介传播
网页
诱惑点击
系统配置文件sys.ini等
移动设备 木马攻击
U盘、MP3等
注册表HKEY_CURRENT_USER 键值
电脑死机 网速变慢
危害 账号丢失
莫名错误
取证步骤
• 1，识别木马：IDS、防火墙、木马工具识别木马 • 2，证据提取：从系统日志、防火墙、数据库操作记录、 swap分区、书签、聊天记录等提出证据 • 3，分析：通过文件动态分析、静态分析、网络数据分析、 日志分析，找出木马的功能，追踪木马作者、木马的使用 者
木马的危害
• • • • • 1，计算机有死机现象，有时重启 2，系统速度变慢，系统资源占用很多；有未知程序运行 3，硬盘出现忙，网络连接慢，鼠标屏幕异常 4，浏览器自动打开某个网站 5，盗取了电脑密码
莫名exe进程 邮件
广告
应用程序日志IM源自QQ文件 恶意软件植入方式
下载
/system32/目录