木马取证与分析鉴定2013.11.15木马的原理• 完整的木马程序一般由服务端程序和控制 端程序组成中了木马就是指安装了木马 的服务端程序木马的植入方式• 1,邮件植入:广告邮件、附件等 • 2,IM植入:、MSN等传递文件 • 3,下载植入:网站或论坛下载软件或文档等 • 4,系统漏洞植入:利用漏洞工具攻击 • 5,网页植入:网页诱惑点击 • 6,移动存储植入:u盘等媒介传播木马的危害• 1,计算机有死机现象,有时重启 • 2,系统速度变慢,系统资源占用很多;有未知程序运行 • 3,硬盘出现忙,网络连接慢,鼠标屏幕异常 • 4,浏览器自动打开某个网站 • 5,盗取了电脑密码广告文件恶意软件诱惑点击U盘、MP3等邮件木马攻击植入方式危害IM下载网页移动设备网速变慢账号丢失莫名错误电脑死机莫名exe进程应用程序日志/system32/目录系统配置文件sys.ini等注册表HKEY_CURRENT_USER 键值取证步骤• 1,识别木马:IDS、防火墙、木马工具识别木马 • 2,证据提取:从系统日志、防火墙、数据库操作记录、 swap分区、书签、聊天记录等提出证据 • 3,分析:通过文件动态分析、静态分析、网络数据分析 、日志分析,找出木马的功能,追踪木马作者、木马的使 用者。