01
一张图,快速了解远控木马病毒诈骗
02
远控木马病毒诈骗案件取证现状
难发现
为不让受害人察觉,逃避杀毒软件的检测,增加办案民警的勘查难度,此类远控木马病毒程序都会使用一系列的“伪装手段”,使其达到强隐蔽。
例如通过修改注册表实现自启动,或将自身文件属性设置为隐藏,亦或在安装运行后自动删除程序等。因此,即便判断案件可能与“远控木马病毒”关联,也难以快速定位到目标程序。
缺经验
此类“远控木马病毒”形式新颖、技术迭代快速,现阶段缺乏更新的实战经验,同时误操作、漏操作等也会影响取证电脑的安全性以及实战效率。
难实现符合取证要求的高效分析
现阶段,市面上针对“远控木马病毒”分析的专业取证产品较少,多依靠三方工具。
因此,对于清晰、高效梳理恶意程序行为,获取其与远程服务器的网络通信痕迹,导出规范取证分析报告等需求,实战中无法高效实现。
缺一体化解决方案
基于取证规范要求、围绕服务司法诉讼的目标,现阶段针对“远控木马病毒”提取-分析-功能性鉴定的全流程一体化方案还处于空白阶段。
03
远控木马病毒诈骗案件取证全新方案
面对此类案件勘查取证遇到的难点和技术需要,平航科技推出“远控木马病毒取证一站式闭环解决方案”,覆盖从发现可疑/木马程序,到规范固定、分析,再完成功能性鉴定全流程的产品与支持服务。
方案图谱
此外,基于过去实战中积累的远控木马病毒制作、传播等特征,平航建立了“远控木马病毒特征库”,进一步赋能前端针对木马病毒的“探测”能力。并且随着实战不断更新,特征库也会持续完善,做到未来实战的高适用性,让远控木马病毒取证更快、更轻松。
Step 01/ 发现与固定
通过总结大量类案特征、伪装形态、作案手法、功能性特征等,我们凝练出一系列适用于现场及实验室的远控木马病毒扫描战法,并融入平航计算机快取及实验室介质取证产品中,满足不同场景、不同维度的远控木马病毒扫描需求。
⭐️ PK-Q2计算机现场快取通过扫描下载路径、系统自启注册表、端口、进程等多种维度,实现对现场目标电脑中的可疑程序、文件的快速挖掘。同时,扫描结果支持以压缩包的形式自定义勾选导出;
此外,对于正在运行的可疑程序,还支持固定流量数据。
⭐️CS6100实验室介质取证软件通过对目标磁盘、镜像进行文件匹配,实现对磁盘、镜像中的可疑程序、文件的快速挖掘。同时,匹配结果也支持一键导出。
Step 02/ 恶意程序深度分析
与恶意APP诈骗案件线索挖掘思路相似,作为一款专家级的逆向分析产品,平航应用逆向解析系统AR200系列针对此类远控木马病毒分析需求,也提出了专业的取证分析方案,涵盖静态分析、行为分析、动态抓包以及报告导出全流程可视化分析需要。并且,针对此类程序的分析需求,AR200还定制了安全启动沙箱环境,以保障取证电脑的实战安全性。
2.1
恶意程序【静态分析】
AR200除了可以获取恶意程序文件属性、MD5等基本信息外,还支持获取编译时间、语言、工具以及程序开发环境等信息。在进行病毒木马深度分析时,为木马程序脱壳、反编译提供便利。
并且,还可获取文件字符串池所有的字符串数据,通过关键词搜索,查找文件中的可疑字符串,比如IP、邮箱等,拓展线索面。
2.2
恶意程序【行为分析】
AR200可实现对病毒木马的行为进行深度跟踪,包括创建文件、读写注册表、创建子进程等关键行为,并定位行为发生的时间和位置。
2.3
恶意程序【动态分析】
除了静态和行为分析,AR200还可对病毒木马的网络通信进行监测,包括HTTP/HTTPS抓包、TCP抓包,辅助精准定位木马远程通信的服务器节点。
Step 03/ 司法鉴定服务
案件侦查最终还是以服务司法诉讼为目标,通过平航自有司法鉴定服务,可针对可疑木马程序功能性鉴定需要提供专业司法鉴定服务,并出具司法鉴定报告。
平航司法鉴定服务体系
上述产品功能及服务均已上线
如果您在此类案件取证过程中
有任何技术支持需求
都可以联系平航官方
我们竭诚为您服务!
选择平航 选择专业
推荐站内搜索:最好用的开发软件、免费开源系统、渗透测试工具云盘下载、最新渗透测试资料、最新黑客工具下载……
还没有评论,来说两句吧...