一种木马网络通信检测与取证方法和系统

摘要

本发明公开了一种木马网络通信检测与取证方法，包括：接收用户提交的取证指令，并接受用户的输入，输入为需要被监测的木马进程ID号，根据该取证指令实时的从网卡层捕获计算机网络通信时的网络数据包，以生成计算机网络数据包文件，同时从传输-网络层捕获用户被监测木马进程ID下的网络链接信息，以生成被监测木马进程的网络通信链接信息文件，将计算机网络数据包文件在被监测木马进程的网络通信链接信息的控制下过滤出仅与被监测木马进程相关联的被监测木马进程网络数据包文件。本发明能够解决现有网络通信取证技术无法将木马与该木马传出或接收的数据包确切关联起来，或无法将木马传入或传出数据包以应用层的完整文件形式呈现的技术问题。

说明书

技术领域

本发明属于计算机信息安全的计算机网络通信取证领域，更具体地， 涉及一种木马网络通信检测与取证方法和系统

背景技术

目前网络通信取证技术主要是依靠对网卡层的数据包的截取，并分析 其中的通信链路地址（源IP、目地IP、源端口、目地端口）与数据包载荷， 从而确定通信链路的源地址或目地是否可靠以及数据包载荷是否涉及用户 隐私等。尽管通过这种分析可以从一定程度确定电脑是否遭受入侵威胁， 但无法准确定位到是何进程将恶意文件从外部传入计算机或将计算机内敏 感文件传出计算机，使得对计算机犯罪行为的取证还较为粗糙。

目前现有的计算机取证技术大多依赖于国外的取证软件Encase、德国 的X-WAYS系列取证软件等，这些软件可以实现简单的网络行为记录。但由 于这些软件使用技术只能够记录通信链路地址及数据包载荷，而无法定位 到发起这个网络通信会话的进程实体，因而不能从根本上无法消除犯罪主 体的抵赖性，同时，通过这些取证软件得到的犯罪证据只是很多零散、无 关联的网络数据包，无法通过呈现符合逻辑的证据链来举证犯罪行为。

发明内容

针对现有技术的以上缺陷或改进需求，本发明提供了一种木马网络通 信检测与取证方法和系统，其目的在于，解决现有网络通信取证技术无法 将木马与该木马传出或接收的数据包确切关联起来，或无法将木马传入或 传出数据包以应用层的完整文件形式呈现的技术问题，通过木马与数据包 的关联，以及传入或传出的数据包重组成应用层的完整文件，使本发明的 取证方法具有证据的主体确切指向性质与证据直观确切性，并最终提供具 有主体确切指向准确可靠与直观的合乎逻辑的证据链，使犯罪行为不可抵 赖。

为实现上述目的，按照本发明的一个方面，提供了一种木马网络通信 检测与取证方法，包括以下步骤：

（1）接收用户提交的取证指令，并接受用户的输入，输入为需要被监 测的木马进程ID号，根据该取证指令实时的从本机的网卡层捕获计算机网 络通信时的网络数据包，以生成计算机网络数据包文件，同时从传输-网络 层捕获被监测木马进程ID下的网络链接信息，以生成被监测木马进程的网 络通信链接信息文件；

（2）将计算机网络数据包文件在被监测木马进程的网络通信链接信息 的控制下过滤出仅与被监测木马进程相关联的被监测木马进程网络数据包 文件；

（3）对被监测木马进程的网络通信包文件进行还原和重组处理，以生 成被监测木马进程传出或接收的应用层文件，或与外界交互的有序信息交 互序列；

（4）对步骤（1）得到的被监测木马进程的网络链接信息文件，步骤 （2）得到的被监测木马进程网络数据包文件与步骤（3）得到的被监测木 马相关联应用层文件或有序信息交互序列进行整理归纳，以生成记录被监 测木马网络通信的三级有序证据链文件。

优选地，计算机网络数据包文件中包括该数据包所在通信链路的源端 口号、目地端口号、目地IP地址和数据包载荷，以及该数据包的接收/发 送时间，被监测木马进程的网络通信链接信息文件包括进程的进程名和ID 号，该进程发起或撤销的网络通信链路的源及目的端口号与目的IP地址， 该进程该发起或断开网络链接的时间以及发起或断开网络链接的标志，其 中网络链接信息文件的信息项是作为一个整体被导出的。

优选地，计算机网络数据包的捕获是通过基于WinPcap协议实现，被 监测木马进程网络链接信息的捕获是通过在传输网络层设置Hook函数的方 式实现，这两种方式是通过基于TCP/IP网络协议栈所导出的。

优选地，步骤（2）具体为，将计算机网络数据包文件中每一个数据包 所在通信链路的端口号、IP地址与被监测木马进程网络链接信息文件中的 进程所在通信链路的端口号、IP地址进行比较，以找出与之相同的多个数 据包，并将这些数据包所在通信链路的端口号、IP地址和其它通信内容保 存为被监测木马进程的网络数据包文件，并确保这些数据包的接收/发送时 间位于被监测木马进程网络链接信息文件中该进程所在通信链路的发起时 间和断开时间之间。

优选地，步骤（3）具体为，首先去除被监测木马进程的网络通信包文 件中包头的冗余信息，及其中的数据包的接收/发送时间，最后再使用数据 包重组应用层文件算法将该被监测木马进程的网络通信包文件进行还原处 理，以生成被监测木马传出接收的应用层文件或有序信息交互序列。

按照本发明的另一方面，提供了一种木马网络通信检测与取证系统， 包括：

木马网络链接信息获取模块，用于接收用户提交的取证指令与用户输 入的木马进程ID，从传输-网络层捕获用户监测木马进程ID下的网络通信 链接信息，以生成被监测木马进程的网络链接信息文件；

计算机网络数据包获取模块，用于在接收用户提交的取证指令的同时， 根据该取证指令从本机的网卡层捕获计算机通信时的网络数据包，以生成 计算机网络数据包文件；

网络数据包过滤模块，用于将木马网络链接信息获取模块生成的被监 测木马进程的网络链接信息文件作为控制信息，对计算机网络数据包文件 过滤，以生成仅与被监测木马进程相关联的被监测木马进程网络数据包文 件；

文件重组模块，用于对被监测木马进程的网络通信包文件进行还原和 重组处理，以生成被监测木马进程传出接收的应用层文件，或与外界交互 的有序信息交互序列；

证据生成模块，用于对得到的被监测木马进程的网络通信链接信息文 件，监测木马进程网络数据包文件与被监测木马传出接收应用层文件或有 序信息交互序列进行整理归纳，以生成记录被监测木马网络犯罪行为的三 级有序逻辑相扣证据链。

优选地，被监测木马进程的网络链接信息文件包括进程的进程名和ID 号，该进程所在通信链路的端口号和IP地址，以及该通信链路的发起时间 和断开时间，该通信链路的发起或断开的标志；计算机网络数据包文件中 包括该数据包所在通信链路的端口号、IP地址和其它通信内容，以及该数 据包的接收或发送时间。

总体而言，通过本发明所构思的以上技术方案与现有技术相比，能够 取得下列有益效果：

1、采用多方面证据采集，并加以科学的符合逻辑的处理，通过共有的 信息项将犯罪主体与犯罪证据关联起来。

2、在进行关联处理的时候采用时间逻辑限定，确保证据事项发生时间 处于犯罪主体行为发生时间段内，增强其关联性。

3、通过网络数据包还原技术，将其恢复成可读的、直观的应用层文件 或是有序的信息交互序列，使得犯罪行为不可抵赖，因而对网络取证技术 来说是一项突破，对今后取证技术的发展及标准化有着重大的意义。

4、在所获取的证据的完备性上是一大进步，电子证据由于其特殊的单 一性，它往往只能确定某一方面的行为，本取证方法通过多方获取可靠、 准确的证据，并通过严谨、科学的处理，进而形成完整的逻辑相扣的证据 链，以此定位犯罪主体及确定其犯罪行为。

附图说明

图1是本发明木马网络通信检测与取证方法的流程图。

图2是计算机网络数据包文件的记录结构示意图。

图3是网络通信链接信息文件的记录结构示意图。

图4是本发明木马网络通信检测与取证系统的模块与数据流向示意图。

图5是三级有序的证据链示意图。

具体实施方式

为了使本发明的目的、技术方案及优点更加清楚明白，以下结合附图 及实施例，对本发明进行进一步详细说明。应当理解，此处所描述的具体 实施例仅仅用以解释本发明，并不用于限定本发明。此外，下面所描述的 本发明各个实施方式中所涉及到的技术特征只要彼此之间未构成冲突就可 以相互组合。

本发明的整体思路在于，通过在传输-网络层处捕获的用户监测的计算 机木马的网络通信链接信息（IP地址，端口号，链接时间）与在网卡层获 得的数据包文件关联比对以获得用户监测的计算机木马的网络通信时发送 或接收的数据包；应用网络包重组文件技术获得该木马在网络通信时发送 或接受的直观的应用层数据文件。

如图1所示，本发明的木马网络通信检测与取证方法包括以下步骤：

（1）接收用户提交的取证指令，并接受用户的输入，输入为需要被监 测的木马进程ID号，根据该取证指令实时的从本机的网卡层捕获计算机网 络通信时的网络数据包，以生成计算机网络数据包文件，同时从传输-网络 层捕获被监测木马进程ID下的网络链接信息，以生成被监测木马进程的网 络通信链接信息文件，其中计算机网络数据包文件中包括该数据包所在通 信链路的源端口号、目地端口号、目地IP地址和数据包载荷，以及该数据 包的接收/发送时间（文件格式如图2所示），被监测木马进程的网络通信 链接信息文件包括进程的进程名和ID号，该进程发起或撤销的网络通信链 路的源及目的端口号与目的IP地址，该进程该发起或断开网络链接的时间 以及发起或断开网络链接的标志（文件格式如图3所示），其中网络链接信 息文件的信息项是作为一个整体被导出的；具体而言，计算机网络数据包 的捕获是通过基于WinPcap协议实现，被监测木马进程网络链接信息的捕 获是通过在传输网络层设置Hook函数的方式实现，这两种方式是通过基于 TCP/IP网络协议栈所导出的。

本步骤的优点在于：在传输-网络层采用HOOK抓捕机制捕获的被监测 木马进程的网络通信链接信息，其中每个信息项是作为一个整体通过HOOK 捕获出的，可为被监测的木马与其传输的数据包的关联性提供直接证据。

（2）将计算机网络数据包文件在被监测木马进程的网络通信链接信息 的控制下过滤出仅与被监测木马进程相关联的被监测木马进程网络数据包 文件，具体而言，本步骤是将计算机网络数据包文件中每一个数据包所在 通信链路的端口号、IP地址与被监测木马进程网络链接信息文件中的进程 所在通信链路的端口号、IP地址进行比较，以找出与之相同的多个数据包， 并将这些数据包所在通信链路的端口号、IP地址和其它通信内容保存为监 测木马进程的网络数据包文件，并确保这些数据包的接收/发送时间位于被 监测木马进程网络链接信息文件中该进程所在通信链路的发起时间和断开 时间之间；

本步骤的优点在于，所获得的监测木马进程的网络数据包文件只与被 监测木马进程相关，从而得到被监测木马网络通信行为证据链的两个逻辑 相关的组成部分：被监测木马的网络通信链接信息文件与被监测木马网络 数据包文件；

（3）对被监测木马进程的网络通信包文件进行还原和重组处理，以生 成被监测木马进程传出接收的应用层文件，或与外界交互的有序信息交互 序列；具体而言，首先去除被监测木马进程的网络通信包文件中包头的冗 余信息，及其中的数据包的接收/发送时间，最后再使用数据包重组应用层 文件算法将该被监测木马进程的网络通信包文件进行还原处理，以生成被 监测木马传出接收应用层文件或有序信息交互序列；

本步骤的优点在于，将一条条按照网络协议传输的网络数据包，去除 冗余信息，并通过特殊的还原处理，最后形成直观的、可视的应用层文件， 从而避免证据不清晰而无法指认罪犯的问题。

（4）对步骤（1）得到的被监测木马进程的网络链接信息文件，步骤 （2）得到的监测木马进程网络数据包文件与步骤（3）得到的被监测木马 传出接收应用层文件或有序信息交互序列进行整理归纳，以生成记录被监 测木马网络通信的三级有序逻辑相扣的证据链文件，该证据链文件结构如 图5所示。

本步骤的优点在于，将获取的原始数据与处理后数据进行归纳整理， 确保最后生成一条完整的、合乎逻辑的、严谨的、科学的三级有序逻辑相 扣的证据链，对犯罪主体及其犯罪行为进行认定，使其无法抵赖。

如图4所示，本发明的木马网络通信检测与取证系统包括：

木马网络链接信息获取模块，用于接收用户提交的取证指令与用户输 入的木马进程ID，从传输-网络层捕获用户监测木马进程ID下的网络通信 链接信息，以生成被监测木马进程的网络链接信息文件，其中被监测木马 进程的网络链接信息文件包括进程的进程名和ID号，该进程所在通信链路 的端口号和IP地址，该通信链路的发起时间和断开时间，以及该通信链路 的发起或断开的标志。

计算机网络数据包获取模块，用于在接收用户提交的取证指令的同时， 根据该取证指令从本机的网卡层捕获计算机通信时的网络数据包，以生成 计算机网络数据包文件，该计算机网络数据包文件中包括该数据包所在通 信链路的端口号、IP地址和其它通信内容，以及该数据包的接收或发送时 间。

网络数据包过滤模块，用于将木马网络链接信息获取模块生成的被监 测木马进程的网络链接信息文件作为控制信息，对计算机网络数据包文件 过滤，以生成仅与被监测木马进程相关联的被监测木马进程网络数据包文 件。具体而言，本步骤是将计算机网络数据包文件中每一个数据包所在通 信链路的端口号、IP地址与进程链接文件中的被监测木马进程的网络通信 链接信息文件中的端口号、IP地址进行比较，以找出与之相同的多个数据 包，并将这些数据包记录项保存入监测木马进程网络数据包文件，并确保 这些数据包的接收/发送时间位于被监测木马进程的网络通信链接信息文 件中该进程所在通信链路的发起时间和断开时间之间；

文件重组模块，用于对被监测木马进程的网络通信包文件进行还原和 重组处理，以生成被监测木马进程传出接收的应用层文件，或与外界交互 的有序信息交互序列；具体而言，首先去除被监测木马进程的网络通信包 文件中包头的冗余信息，及其中的数据包的接收/发送时间，最后再使用数 据包重组应用层文件算法将该被监测木马进程的网络通信包文件进行还原 处理，以生成被监测木马传出接收应用层文件或有序信息交互序列；

证据生成模块，对得到的被监测木马进程的网络通信链接信息文件， 监测木马进程网络数据包文件与被监测木马相关联应用层文件或有序信息 交互序列进行整理归纳，以生成被监测木马网络犯罪行为的三级有序逻辑 相扣的证据链，该证据链结使木马犯罪行为不可抵赖。

本发明的有益效果是：采用传输-网络层与网卡层同时取证的技术，通 过它们所共有的网络通信链接信息项，将木马进程主体与犯罪行为证据进 行关联，过滤掉非被监测木马进程的网络数据包，使留下的数据包只与被 监测木马进程想关联，同时将木马的网络活动时间进行记录，作为网卡层 数据的一个限定，即网卡层数据的活动时间点必须位于它所在链路活动时 间范围内，从而在时间逻辑上增强它们关联性。然后，通过数据包重组应 用层文件技术，将上述杂乱，冗余，不直观的数据包文件还原成直观、清 晰、可读的与被监测木马进程相关联的应用层数据文件或是有序的木马信 息交互序列，对于指正木马的犯罪行为具有不可抵赖性。最后通过统一的 证据生成处理，将所得到的被监测木马进程的网络通信链接信息文件，监 测木马进程网络数据包文件与被监测木马相关联应用层文件或有序信息交 互序列整理形成严谨的、科学的符合逻辑的三级有序证据链，以此定位犯 罪主体及确定其犯罪行为。

本领域的技术人员容易理解，以上所述仅为本发明的较佳实施例而已， 并不用以限制本发明，凡在本发明的精神和原则之内所作的任何修改、等 同替换和改进等，均应包含在本发明的保护范围之内。