CN109547447A - 一种恶意程序通信数据中gif图像重组方法 - Google Patents
一种恶意程序通信数据中gif图像重组方法 Download PDFInfo
- Publication number
- CN109547447A CN109547447A CN201811443478.6A CN201811443478A CN109547447A CN 109547447 A CN109547447 A CN 109547447A CN 201811443478 A CN201811443478 A CN 201811443478A CN 109547447 A CN109547447 A CN 109547447A
- Authority
- CN
- China
- Prior art keywords
- communication data
- gif
- rogue program
- data flow
- tcp communication
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L69/00—Network arrangements, protocols or services independent of the application payload and not provided for in the other groups of this subclass
- H04L69/16—Implementation or adaptation of Internet protocol [IP], of transmission control protocol [TCP] or of user datagram protocol [UDP]
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Information Transfer Between Computers (AREA)
Abstract
本发明属于公安机关侦查痕迹提取领域,尤其涉及一种恶意程序通信数据中GIF图像重组方法,包括如下步骤:(1)根据TCP协议三次握手标志定位提取TCP通信数据流。(2)从TCP通信数据流中定位GIF图片起始标志。(3)从TCP通信数据流中提取GIF图片。(4)去除GIF图片中的杂质数据。本发明可从恶意程序产生的网络通信数据中提取出可直接浏览的GIF图像,获得木马存在的直接证据。
Description
技术领域
本发明属于公安机关侦查痕迹提取领域,尤其涉及一种恶意程序通信数据中GIF图像重组方法。
背景技术
个人用户在使用计算机、平板电脑或智能手机浏览网页、收发电子邮件时均可能被种植恶意程序。一旦感染恶意程序,个人终端将被黑客完全控制,他可以远程操作受害者计算机,窃取涉密文件,篡改重要数据,盗取网银账户,甚至监听受害者的语音、视频和网络通信。可以说恶意程序对个人用户乃至国家信息安全均构成严重威胁。
远程协助是恶意程序的一项常见功能,通过远程协助功能可以完全控制受害者主机的鼠标和键盘输入,即完全控制受害者主机。远程协助过程中受害者主机的被监控画面需要实时发送至黑客主机,目前恶意程序大多采用GIF格式传递图像数据。因此,从恶意程序通信数据流中提取、重组GIF图像,获得木马存在的直接证据,对公安机关 的调查取证工作有重要意义。
发明内容
本发明旨在克服现有技术的不足之处而提供一种恶意程序通信数据中GIF图像重组方法。该方法可从恶意程序产生的网络通信数据中提取出可直接浏览的GIF图像。
为解决上述技术问题,本发明是这样实现的。
一种恶意程序通信数据中GIF图像重组方法,包括如下步骤:
(1)根据TCP协议三次握手标志定位提取TCP通信数据流;
(2)从TCP通信数据流中定位GIF图片起始标志;
(3)从TCP通信数据流中提取GIF图片;
(4)去除GIF图片中的杂质数据。
作为一种优选方案,本发明所述步骤(3)中,TCP通信数据流包括两个方向的数据传输,而GIF图片只包含在客户向服务器发送的TCP通信数据流中。
进一步地,本发明所述步骤(4)中,去除GIF图片中首部杂质数据。
目前恶意程序大多采用GIF格式传递图像数据。本发明可从恶意程序产生的网络通信数据中提取出可直接浏览的GIF图像,获得木马存在的直接证据,对公安机关的调查取证工作有重要意义。
附图说明
下面结合附图和具体实施方式对本发明作进一步说明。本发明的保护范围不仅局限于下列内容的表述。
图1 GIF图片重组流程。
图2 根据TCP三次握手标志,提取TCP数据流。
图3定位GIF图片起始和结束标志。
图4去除杂质数据代码。
具体实施方式
如图1所示,一种恶意程序通信数据中GIF图像重组方法,包括如下步骤。
(1)根据TCP协议三次握手标志定位提取TCP通信数据流。TCP第一次握手报文带有SYN标记,根据这个特点可以从捕获的网络通信数据中识别出TCP通信数据流的起始位置,进而提取出完整的TCP通信数据流。
(2)定位GIF图片数据的起始位置。在TCP通信数据流应用层数据中寻找GIF图像文件的起始标志“GIF89a”,同时该数据包携带的数据也必须符合二进制图像数据的特征,符合上述特征的数据包,可以确定是GIF图片的起始部分。
(3)提取GIF图像数据。在以太网环境内,单个数据包可以传输的最大报文长度是1516字节,而一个GIF图像的大小可能是几百KB,因此一个GIF图片通常会通过多个数据包传递。TCP通信数据流包括两个方向的数据传输,而GIF图片只包含在客户向服务器发送的TCP数据流中。因此,只对这个方向的TCP数据流中的应用层数据进行重组。
(4)去除GIF图像中的杂质数据。GIF文件的起始位置位于文件的第262字节,前面262字节为杂质数据需要去除。GIF文件的结束标志是0X003B,位于文件末尾,其后没有杂质数据。从粗选GIF图片中提取图像数据。使用VC++6.0编写一个简易软件系统,实现图像数据的自动提取,程序代码如图4所示。文件指针fp1指向粗选数据文件,以“只读”方式打开这个文件。fseek(fp1,262,0);语句将文件指针跳转到第263字节,即字符串“GIF89a”的第1个字节。之后,以“写”方式打开目标GIF文件,即2.gif。最后是一组循环语句,依次读出粗选数据文件的每个字节数据并写入到2.gif文件中。feof(fp1)用于判断文件指针fp1是否指向文件尾部,如指向文件尾部,则返回true,否则,返回false。在while循环体中fgetc函数每次读入一个字符,文件指针就向后移动一个字节,当文件指针最终指向文件结束位置时,feof(fp1)函数返回true,!feof(fp1)返回false,while循环自动结束。粗选数据文件文件从第263字节开始后面所有字节被依次复制到2.gif文件中。最后程序执行两条fclose命令,关闭两个gif文件,提取操作结束。
以上关于本发明的具体描述,仅用于说明本发明而并非受限于本发明实施例所描述的技术方案。本领域的普通技术人员应当理解,仍然可以对本发明进行修改或等同替换,以达到相同的技术效果。只要满足使用需要,都在发明的保护范围内。
Claims (3)
1.一种恶意程序通信数据中GIF图像重组方法,其特征在于,包括如下步骤:
(1)根据TCP协议三次握手标志定位提取TCP通信数据流;
(2)从TCP通信数据流中定位GIF图片起始标志;
(3)从TCP通信数据流中提取GIF图片;
(4)去除GIF图片中的杂质数据。
2.根据权利要求1所述的一种恶意程序通信数据中GIF图像重组方法,其特征在于:所述步骤(3)中,TCP通信数据流包括两个方向的数据传输,而GIF图片只包含在客户向服务器发送的TCP通信数据流中。
3.根据权利要求2所述的一种恶意程序通信数据中GIF图像重组方法,其特征在于:所述步骤(4)中,去除GIF图片中首部杂质数据。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201811443478.6A CN109547447A (zh) | 2018-11-29 | 2018-11-29 | 一种恶意程序通信数据中gif图像重组方法 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201811443478.6A CN109547447A (zh) | 2018-11-29 | 2018-11-29 | 一种恶意程序通信数据中gif图像重组方法 |
Publications (1)
Publication Number | Publication Date |
---|---|
CN109547447A true CN109547447A (zh) | 2019-03-29 |
Family
ID=65852404
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN201811443478.6A Pending CN109547447A (zh) | 2018-11-29 | 2018-11-29 | 一种恶意程序通信数据中gif图像重组方法 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN109547447A (zh) |
Citations (3)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN103281213A (zh) * | 2013-04-18 | 2013-09-04 | 西安交通大学 | 一种网络流量内容提取和分析检索方法 |
CN104424617A (zh) * | 2013-08-21 | 2015-03-18 | 中国银联股份有限公司 | 一种处理图像的方法和装置 |
CN206498428U (zh) * | 2016-11-11 | 2017-09-15 | 中华通信系统有限责任公司 | 基于tcp重组的审计系统 |
-
2018
- 2018-11-29 CN CN201811443478.6A patent/CN109547447A/zh active Pending
Patent Citations (3)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN103281213A (zh) * | 2013-04-18 | 2013-09-04 | 西安交通大学 | 一种网络流量内容提取和分析检索方法 |
CN104424617A (zh) * | 2013-08-21 | 2015-03-18 | 中国银联股份有限公司 | 一种处理图像的方法和装置 |
CN206498428U (zh) * | 2016-11-11 | 2017-09-15 | 中华通信系统有限责任公司 | 基于tcp重组的审计系统 |
Non-Patent Citations (2)
Title |
---|
徐国天: "基于网络数据还原的远程控制木马取证方法研究", 《警察技术》 * |
杨高飞: "对从TCP/IP数据包中自动还原图像的研究", 《中国优秀硕士学位论文全文数据库信息科技辑》 * |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
CN101895572B (zh) | 一种sd卡与主控设备之间的数据交互方法及系统 | |
CN103780610A (zh) | 基于协议特征的网络数据恢复方法 | |
CN107360145A (zh) | 一种多节点蜜罐系统及其数据分析方法 | |
CN102932954A (zh) | 移动无线电通信设备及管理该设备的连接状态的方法 | |
CN104899499A (zh) | 基于互联网图片搜索的Web验证码生成方法 | |
CN104821882A (zh) | 一种基于语音生物特征的网络安全验证方法 | |
CN103347084A (zh) | 一种多账号统一关联系统及关联方法 | |
US7889760B2 (en) | Systems and methods for sending binary, file contents, and other information, across SIP info and text communication channels | |
US10217455B2 (en) | Linguistic model database for linguistic recognition, linguistic recognition device and linguistic recognition method, and linguistic recognition system | |
CN103744711A (zh) | 基于3g及加密短信的电力应用程序远程重启方法及系统 | |
CN109547447A (zh) | 一种恶意程序通信数据中gif图像重组方法 | |
CN103001966A (zh) | 一种私网ip的处理、识别方法及装置 | |
CN105100246A (zh) | 一种基于下载资源名称的网络流量管控方法 | |
CN109873744A (zh) | 一种语言转换设备 | |
CN103209181A (zh) | 一种linux网络架构下应用连接防火墙的实现方法 | |
CN110602059B (zh) | 一种精准复原tls协议加密传输数据明文长度指纹的方法 | |
CN101212480A (zh) | 在usb主机和usb装置之间通信的方法和设备 | |
CN114553559B (zh) | 一种路由器中协议数据的修改方法、装置及可读存储介质 | |
CN113141332A (zh) | 一种命令注入识别方法、系统、设备及计算机存储介质 | |
CN105554737B (zh) | 一种语音通话实现方法及服务器 | |
CN115665055A (zh) | 一种报文处理方法及装置 | |
CN104079493A (zh) | 基于下载资源名的流量识别方法和设备、管控方法和设备 | |
CN106790596B (zh) | 服务信息的退订方法 | |
CN112000970A (zh) | 一种基于部件关联图的文本无载体隐写方法及系统 | |
CN105763516A (zh) | 从无线局域网内终端向网外设备发送数据的方法和装置 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
PB01 | Publication | ||
PB01 | Publication | ||
SE01 | Entry into force of request for substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
RJ01 | Rejection of invention patent application after publication | ||
RJ01 | Rejection of invention patent application after publication |
Application publication date: 20190329 |