摘要
文章主要研究在远程控制通道无法正常建立的情况下如何提取黑客主机的IP地址。采用的研究方法是利用协议分析软件sniffer捕获"受害者"主机收发的通信数据,通过分析捕获的数据报,确定黑客主机使用的通信方式以及当前所处的状态,总结在不同状态下提取黑客线索的方法。文章对远程控制木马使用的两种刷新IP地址方式进行了研究。当黑客主机处于关闭状态或者停止木马控制端程序时,可以应用本文提出的方法获取黑客主机的IP地址。
When remote control channel can not be established, the method to obtain the IP address of the hacker host is studied in this paper. Research method is to use sniffer to capture the "victim" host communication data, analyze the captured data, determine communication mode and state of hacker host and summarize the method to obtain the IP address of hacker host in different states. Both mode of horse refresh IP address are studied. When hacker host is down or stop the Trojans control program, hackers host IP address can be obtained.
出处
《信息网络安全》
2014年第3期52-56,共5页
Netinfo Security
基金
国家科技支撑计划项目[2007BAK34B03]
关键词
远程控制
木马
协议
调查
sniffer
remote control
trojan
protocol
investigation
sniffer