盜號木馬分析與追蹤的詳細(xì)介紹

■王 明

盜號木馬分析與追蹤的詳細(xì)介紹

■王 明

在當(dāng)今互聯(lián)網(wǎng)遍布全球的時代，網(wǎng)絡(luò)已經(jīng)成為社會生活不可缺少的重要工具，人們?nèi)粘９ぷ?、學(xué)習(xí)、交流以及各種經(jīng)濟交往，都借助網(wǎng)絡(luò)得以快速便捷的實現(xiàn)。然而，網(wǎng)絡(luò)犯罪也應(yīng)運而生，并呈現(xiàn)急速猛增態(tài)勢。

一、盜號木馬入侵路徑

盜號木馬是一段專門盜取受害人網(wǎng)絡(luò)賬號和密碼的惡意程序。盜號木馬通常經(jīng)過加密和加殼處理，具有一般程序所不具有的隱蔽性和頑固性。盜號木馬被植入受害人電腦后，一般通過記錄受害人的網(wǎng)絡(luò)賬號和密碼，并將其發(fā)送到指定的郵箱，其常見步驟如下。

1.掛馬與感染。盜號者一般把盜號木馬放在網(wǎng)頁上，或者利用網(wǎng)頁的JS腳本、ActiveX插件等功能，把盜號木馬下載到用戶電腦上。有時還把盜號木馬綁定到圖片、動畫、視頻里，誘騙用戶點擊。有時把盜號木馬綁定到一些程序中，使用戶在不知不覺中上當(dāng)。中招的用戶，一般是瀏覽過一些八卦網(wǎng)站，被誘惑點擊過某些圖片、動畫、視頻，或者運行過某些來歷不明的程序。

2.潛伏與激活。盜號木馬技術(shù)在不斷翻新和發(fā)展，新型盜號木馬會把自身功能模塊(或者自身程序代碼)寫入WINDOWS的系統(tǒng)文件中，如資源管理器EXPLORER. EXE，聲卡、顯卡的驅(qū)動程序等，就此潛伏下來。即便是安全模式，只要開機，盜號木馬都會被XP系統(tǒng)加載。以前盜號木馬通常需要通過修改注冊表來啟動，現(xiàn)在則是自主加載，較之過去先進(jìn)得多。盜號木馬被加載后就被激活，現(xiàn)在的新型盜號木馬激活后沒有獨立的內(nèi)存進(jìn)程，而是把自身注入到正常的系統(tǒng)進(jìn)程SVCHOST.EXE中，因而即使檢查內(nèi)存進(jìn)程也看不到它。如，XP系統(tǒng)起碼有5個SVCHOST.EXE進(jìn)程，用于支持用戶上網(wǎng)功能，盜號木馬隨意找準(zhǔn)其中一個進(jìn)程，都可以躲藏進(jìn)去。

3.監(jiān)視與竊取。盜號木馬會自動監(jiān)視用戶的活動，監(jiān)視用戶電腦內(nèi)存特定進(jìn)程，如qq程序、游戲程序的進(jìn)程，并記錄用戶在該進(jìn)程輸入的賬號、密碼等信息。有些盜號木馬會偷偷地主動連接網(wǎng)絡(luò)并向外發(fā)送記錄到的信息，因此被殺毒軟件和防火墻發(fā)現(xiàn)。另一些設(shè)計巧妙的網(wǎng)游盜號木馬，則會以靜默方式等待，一直等到盜號者發(fā)出指令，才把記錄的信息發(fā)送出去。

二、盜號木馬的分析與追蹤

木馬分析和追蹤的核心是如何找到犯罪嫌疑人的收信地址。通常通過盜號木馬代碼分析、木馬內(nèi)存分析、關(guān)鍵字搜索、網(wǎng)絡(luò)監(jiān)聽試驗等方法，對盜號木馬的收信地址進(jìn)行追蹤。

1.代碼分析法是對木馬取樣和脫殼解密，反匯編出木馬的原始代碼，找到木馬收信地址的解密函數(shù)，最終找到木馬的收信地址，進(jìn)而鎖定木馬控制者。代碼分析容易掌握盜號木馬的整體結(jié)構(gòu)。隨著加密技術(shù)、加殼技術(shù)、免殺技術(shù)的發(fā)展，致使反匯編后的代碼內(nèi)很多加密數(shù)據(jù)無法直接獲取，必須找到重要數(shù)據(jù)的密文代碼和相應(yīng)的解密函數(shù)。這不僅增加了木馬分析的難度，也降低了木馬分析的效率，實戰(zhàn)中很難在較短時間內(nèi)達(dá)到專業(yè)的脫殼解密的代碼分析水平，很難迅速找到關(guān)鍵證據(jù)。

2.內(nèi)存分析法是基于原始程序代碼在磁盤文件中，一般以加密后的形式存在，只在執(zhí)行時在內(nèi)存中還原。這樣可以有效地防止破解者對程序文件進(jìn)行非法修改，同時也可以防止程序被靜態(tài)反編譯。內(nèi)存分析首先克服了對“活馬”的要求，也繞過了木馬的脫殼解密過程，而是當(dāng)木馬在內(nèi)存中執(zhí)行時提取相關(guān)執(zhí)行代碼和明文數(shù)據(jù)，就能準(zhǔn)確找到木馬的收信地址，既能對木馬控制者進(jìn)行追蹤定位，同時方便前期的遠(yuǎn)程偵查取證和后期對犯罪嫌疑人電腦的勘驗取證。犯罪嫌疑人往往是直接訪問收信地址來獲取木馬回傳的網(wǎng)路賬戶密碼信件，其電腦內(nèi)往往有大量的訪問收信地址的記錄，即使被刪除也能通過encase等取證軟件恢復(fù)。

3.關(guān)鍵字搜索法可以較直接地獲得盜號木馬的收信地址，無需上述繁雜的分析過程。由于盜號木馬在硬盤中一般是以加密后的形式出現(xiàn)，所以無法直接通過encase搜索出結(jié)果。木馬內(nèi)存運行的時候會自脫殼自解密，當(dāng)內(nèi)存和硬盤的虛擬緩存做頁面交換的時候，就會在硬盤虛擬緩存中留下痕跡。當(dāng)然不同盜號木馬的關(guān)鍵字是不同的，這個需要建立在對相同類型的木馬的代碼分析歸納的基礎(chǔ)上。此外，虛擬緩存空間有限，頁面交換也很頻繁。如果不及時對受害人電腦進(jìn)行搜索，就會大大降低搜索命中的概率。

4.監(jiān)聽實驗法是在實驗平臺上，搭建網(wǎng)游登錄環(huán)境，在登錄網(wǎng)游的同時對網(wǎng)絡(luò)數(shù)據(jù)進(jìn)行監(jiān)聽，分析嗅探到的網(wǎng)絡(luò)數(shù)據(jù)包，找到隱藏在其中的發(fā)送用戶名和密碼的網(wǎng)絡(luò)數(shù)據(jù)，進(jìn)而找到接收方的IP地址。這種方法能夠較直接地找到木馬的回傳地址，可以直接跟蹤木馬的控制者。但需要搭建網(wǎng)絡(luò)賬號登陸環(huán)境，分析大量的網(wǎng)絡(luò)數(shù)據(jù)包。還要求木馬必須為“活馬”(沒有被相關(guān)服務(wù)器端封殺)，所得到的也只是收信方的IP地址，不是具體的箱子地址，無法直接進(jìn)行遠(yuǎn)程偵查取證。

在實際辦案中，可以根據(jù)案件實際情況采用以上一種或幾種方法，在木馬案件中有效而又快速地發(fā)現(xiàn)犯罪嫌疑人的收信地址，整個案件才能有突破口，問題也就迎刃而解了。