远程控制木马通信协议及线索调查方法研究

徐国天

（中国刑事警察学院网络犯罪侦查系，辽宁沈阳 110854）

摘　要：

文章主要研究在远程控制通道无法正常建立的情况下如何提取黑客主机的IP 地址。采用的研究方法是利用协议分析软件sniffer 捕获“受害者”主机收发的通信数据，通过分析捕获的数据报，确

定黑客主机使用的通信方式以及当前所处的状态，总结在不同状态下提取黑客线索的方法。文章对远程

控制木马使用的两种刷新IP 地址方式进行了研究。当黑客主机处于关闭状态或者停止木马控制端程序时，

可以应用本文提出的方法获取黑客主机的IP 地址。

关键词：

远程控制；木马；协议；调查；sniffer 中图分类号：TP309 文献标识码： A 文章编号：1671-1122（2014）03-0052-05

The Research of Remote Control Trojan Communication Protocol

and Investigation Method

XU Guo-tian

(Department of Cyber Crime Investigation,China Criminal Police University,Shenyang Liaoning 110854, China )

Abstract: When remote control channel can not be established, the method to obtain the IP address of the

hacker host is studied in this paper. Research method is to use sniffer to capture the "victim" host communication data,

analyze the captured data, determine communication mode and state of hacker host and summarize the method to

obtain the IP address of hacker host in different states. Both mode of horse refresh IP address are studied. When hacker

host is down or stop the Trojans control program, hackers host IP address can be obtained.

Key words: remote control; trojan; protocol; investigation; sniffer

远程控制木马通信协议及线索调查方法研究

0引言

远程控制木马程序一般由两部分构成：客户端和服务端。在被入侵主机上种植客户端，在黑客主机上运行服务端。服务端通过计算机网络对客户端进行远程控制。被种植木马的受害者主机称为“肉机”，黑客可以远程完全控制“肉机”。深入研究这类木马线索的提取、分析方法对公安机关的侦查、取证工作有重要意义。

“肉机”联网之后通常会主动连接黑客主机，当远程控制通道建立起来之后，在“肉机”端使用netstat 命令可以查看到这条控制连接，进而获得黑客主机的IP 地址。但在某些情况下，远程控制通道并不能成功建立，此时在“肉机”端查看不到对应的控制连接。本文针对这种情况，从分析木马通信数据出发，总结了远程控制木马的线索调查方法。1 远程控制木马使用通信协议分析

远程控制木马在通信过程中会使用到DNS、ARP、TCP 等几种网络协议，下面分别介绍这些协议。

1.1 地址解析协议ARP

IP 地址和MAC 地址都是主机的唯一标识，但IP 地址在全世界范围内是唯一的，实现全网范围内主机到主机的通信。MAC 地址是在物理网络内唯一的，在全世界范围内不一定是唯一的，它实现了物理网络范围内主机到主机的通信。

因特网是由多个物理网络组成的。一个由源主机产生的IP 数据报在其最终到达目的主机之前，可能会通过几个不同收稿日期： 2013-08-20

基金项目：国家科技支撑计划项目[2007BAK34B03]

作者简介：徐国天（1978-），男，辽宁，副教授，硕士，主要研究方向：网络安全、数据还原。

doi ：10.3969/j.issn.1671-1122.2014.03.010