远程控制木马通信协议及线索调查方法研究
徐国天
The Research of Remote Control Trojan Communication Protocol and Investigation Method
XU Guo-tian
摘要: 文章主要研究在远程控制通道无法正常建立的情况下如何提取黑客主机的 IP 地址。采用的研究方法是利用协议分析软件 sniffer 捕获“受害者”主机收发的通信数据,通过分析捕获的数据报,确定黑客主机使用的通信方式以及当前所处的状态,总结在不同状态下提取黑客线索的方法。文章对远程控制木马使用的两种刷新 IP 地址方式进行了研究。当黑客主机处于关闭状态或者停止木马控制端程序时,可以应用本文提出的方法获取黑客主机的 IP 地址。