@所有人，关于远控木马病毒的那些事

一张图，快速了解远控木马病毒诈骗

远控木马病毒诈骗案件取证现状

难发现

为不让受害人察觉，逃避杀毒软件的检测，增加办案民警的勘查难度，此类远控木马病毒程序都会使用一系列的“伪装手段”，使其达到强隐蔽。

例如通过修改注册表实现自启动，或将自身文件属性设置为隐藏，亦或在安装运行后自动删除程序等。因此，即便判断案件可能与“远控木马病毒”关联，也难以快速定位到目标程序。

缺经验

此类“远控木马病毒”形式新颖、技术迭代快速，现阶段缺乏更新的实战经验，同时误操作、漏操作等也会影响取证电脑的安全性以及实战效率。

难实现符合取证要求的高效分析

现阶段，市面上针对“远控木马病毒”分析的专业取证产品较少，多依靠三方工具。

因此，对于清晰、高效梳理恶意程序行为，获取其与远程服务器的网络通信痕迹，导出规范取证分析报告等需求，实战中无法高效实现。

缺一体化解决方案

基于取证规范要求、围绕服务司法诉讼的目标，现阶段针对“远控木马病毒”提取-分析-功能性鉴定的全流程一体化方案还处于空白阶段。

远控木马病毒诈骗案件取证全新方案

面对此类案件勘查取证遇到的难点和技术需要，平航科技推出“远控木马病毒取证一站式闭环解决方案”，覆盖从发现可疑/木马程序，到规范固定、分析，再完成功能性鉴定全流程的产品与支持服务。

方案图谱

此外，基于过去实战中积累的远控木马病毒制作、传播等特征，平航建立了“远控木马病毒特征库”，进一步赋能前端针对木马病毒的“探测”能力。并且随着实战不断更新，特征库也会持续完善，做到未来实战的高适用性，让远控木马病毒取证更快、更轻松。

Step 01/ 发现与固定

通过总结大量类案特征、伪装形态、作案手法、功能性特征等，我们凝练出一系列适用于现场及实验室的远控木马病毒扫描战法，并融入平航计算机快取及实验室介质取证产品中，满足不同场景、不同维度的远控木马病毒扫描需求。

⭐️ PK-Q2计算机现场快取通过扫描下载路径、系统自启注册表、端口、进程等多种维度，实现对现场目标电脑中的可疑程序、文件的快速挖掘。同时，扫描结果支持以压缩包的形式自定义勾选导出；

此外，对于正在运行的可疑程序，还支持固定流量数据。

⭐️CS6100实验室介质取证软件通过对目标磁盘、镜像进行文件匹配，实现对磁盘、镜像中的可疑程序、文件的快速挖掘。同时，匹配结果也支持一键导出。

Step 02/ 恶意程序深度分析

与恶意APP诈骗案件线索挖掘思路相似，作为一款专家级的逆向分析产品，平航应用逆向解析系统AR200系列针对此类远控木马病毒分析需求，也提出了专业的取证分析方案，涵盖静态分析、行为分析、动态抓包以及报告导出全流程可视化分析需要。并且，针对此类程序的分析需求，AR200还定制了安全启动沙箱环境，以保障取证电脑的实战安全性。

2.1

恶意程序【静态分析】

AR200除了可以获取恶意程序文件属性、MD5等基本信息外，还支持获取编译时间、语言、工具以及程序开发环境等信息。在进行病毒木马深度分析时，为木马程序脱壳、反编译提供便利。

并且，还可获取文件字符串池所有的字符串数据，通过关键词搜索，查找文件中的可疑字符串，比如IP、邮箱等，拓展线索面。

2.2

恶意程序【行为分析】

AR200可实现对病毒木马的行为进行深度跟踪，包括创建文件、读写注册表、创建子进程等关键行为，并定位行为发生的时间和位置。

2.3

恶意程序【动态分析】

除了静态和行为分析，AR200还可对病毒木马的网络通信进行监测，包括HTTP/HTTPS抓包、TCP抓包，辅助精准定位木马远程通信的服务器节点。

Step 03/ 司法鉴定服务

案件侦查最终还是以服务司法诉讼为目标，通过平航自有司法鉴定服务，可针对可疑木马程序功能性鉴定需要提供专业司法鉴定服务，并出具司法鉴定报告。