在当今互联网遍布全球的时代,网络已经成为社会生活不可缺少的重要工具,人们日常工作、学习、交流以及各种经济交往,都借助网络得以快速便捷的实现。然而,网络犯罪也应运而生,并呈现急速猛增态势。一些不法分子利用网络系统的技术缺陷,或者人们相关方面知识的欠缺,进行网络犯罪活动,如利用盗号木马专门盗取他人网络账号和密码,进行犯罪活动。(我在想我发这个会不会被喷 )
一、盗号木马入侵路径
盗号木马是一段专门盗取受害人网络账号和密码的恶意程序。盗号木马通常经过加密和加壳处理,具有一般程序所不具有的隐蔽性和顽固性。盗号木马被植入受害人电脑后,一般通过记录受害人的网络账号和密码,并将其发送到指定的邮箱,其常见步骤如下。
1.挂马与感染。盗号者一般把盗号木马放在网页上,或者利用网页的JS脚本、ActiveX插件等功能,把盗号木马下载到用户电脑上。有时还把盗号木马绑定到图片、动画、视频里,诱骗用户点击。有时把盗号木马绑定到一些程序中,使用户在不知不觉中上当。中招的用户,一般是浏览过一些八卦网站,被诱惑点击过某些图片、动画、视频,或者运行过某些来历不明的程序。
2.潜伏与激活。盗号木马技术在不断翻新和发展,新型盗号木马会把自身功能模块(或者自身程序代码)写入WINDOWS的系统文件中,如资源管理器EXPLORER.EXE,声卡、显卡的驱动程序等,就此潜伏下来。即便是安全模式,只要开机,盗号木马都会被XP系统加载。以前盗号木马通常需要通过修改注册表来启动,现在则是自主加载,较之过去先进得多。盗号木马被加载后就被激活,现在的新型盗号木马激活后没有独立的内存进程,而是把自身注入到正常的系统进程SVCHOST.EXE中,因而即使检查内存进程也看不到它。如,XP系统起码有5个SVCHOST.EXE进程,用于支持用户上网功能,盗号木马随意找准其中一个进程,都可以躲藏进去。
3.监视与窃取。盗号木马会自动监视用户的活动,监视用户电脑内存特定进程,如qq程序、游戏程序的进程,并记录用户在该进程输入的账号、密码等信息。有些盗号木马会偷偷地主动连接网络并向外发送记录到的信息,因此被杀毒软件和防火墙发现。另一些设计巧妙的网游盗号木马,则会以静默方式等待,一直等到盗号者发出指令,才把记录的信息发送出去。
二、盗号木马的分析与追踪
木马分析和追踪的核心是如何找到犯罪嫌疑人的收信地址。通常通过盗号木马代码分析、木马内存分析、关键字搜索、网络监听试验等方法,对盗号木马的收信地址进行追踪。
1.代码分析法是对木马取样和脱壳解密,反汇编出木马的原始代码,找到木马收信地址的解密函数,最终找到木马的收信地址,进而锁定木马控制者。代码分析容易掌握盗号木马的整体结构。随着加密技术、加壳技术、免杀技术的发展,致使反汇编后的代码内很多加密数据无法直接获取,必须找到重要数据的密文代码和相应的解密函数。这不仅增加了木马分析的难度,也降低了木马分析的效率,实战中很难在较短时间内达到专业的脱壳解密的代码分析水平,很难迅速找到关键证据。
2.内存分析法是基于原始程序代码在磁盘文件中,一般以加密后的形式存在,只在执行时在内存中还原。这样可以有效地防止破解者对程序文件进行非法修改,同时也可以防止程序被静态反编译。内存分析首先克服了对“活马”的要求,也绕过了木马的脱壳解密过程,而是当木马在内存中执行时提取相关执行代码和明文数据,就能准确找到木马的收信地址,既能对木马控制者进行追踪定位,同时方便前期的远程侦查取证和后期对犯罪嫌疑人电脑的勘验取证。犯罪嫌疑人往往是直接访问收信地址来获取木马回传的网路账户密码信件,其电脑内往往有大量的访问收信地址的记录,即使被删除也能通过encase等取证软件恢复。
3.关键字搜索法可以较直接地获得盗号木马的收信地址,无需上述繁杂的分析过程。由于盗号木马在硬盘中一般是以加密后的形式出现,所以无法直接通过encase搜索出结果。木马内存运行的时候会自脱壳自解密,当内存和硬盘的虚拟缓存做页面交换的时候,就会在硬盘虚拟缓存中留下痕迹。当然不同盗号木马的关键字是不同的,这个需要建立在对相同类型的木马的代码分析归纳的基础上。此外,虚拟缓存空间有限,页面交换也很频繁。如果不及时对受害人电脑进行搜索,就会大大降低搜索命中的概率。
4.监听实验法是在实验平台上,搭建网游登录环境,在登录网游的同时对网络数据进行监听,分析嗅探到的网络数据包,找到隐藏在其中的发送用户名和密码的网络数据,进而找到接收方的IP地址。这种方法能够较直接地找到木马的回传地址,可以直接跟踪木马的控制者。但需要搭建网络账号登陆环境,分析大量的网络数据包。还要求木马必须为“活马”(没有被相关服务器端封杀),所得到的也只是收信方的IP地址,不是具体的箱子地址,无法直接进行远程侦查取证。 综上所述,以上几种盗号木马的分析和追踪方法各有优势和缺陷。在实际办案中,可以根据案件实际情况采用以上一种或几种方法,在木马案件中有效而又快速地发现犯罪嫌疑人的收信地址,整个案件才能有突破口,问题也就迎刃而解了。
