逆向分析在电子数据取证中的应用#br#
——以“QQ密码大划拉”为例#br#

中国司法鉴定 ›› 2011 ›› Issue (6): 54-58.

逆向分析在电子数据取证中的应用#br# ——以“QQ密码大划拉”为例#br#

罗文华

中国刑事警察学院计算机犯罪侦查系，辽宁沈阳 110854

收稿日期:2011-05-24 出版日期:2011-11-15 发布日期:2022-08-01
作者简介:罗文华（1977-），男，副教授，硕士研究生，主要从事计算机犯罪侦查及电子物证研究。

The Application of Reverse Analysis in Digital Evidence Investigation#br# ——Taking the “QQ Passwords Collecting” Malware for Example#br#

LUO Wen-hua

Department of Computer Crime Investigation, China Criminal Police University, Shenyang 110854, China

Received:2011-05-24 Published:2011-11-15 Online:2022-08-01

摘要/Abstract

摘要： 逆向分析是恶意程序取证的常用方法之一，在揭示恶意程序意图及行为方面发挥着其他方法无法比拟的作用。在对逆向分析基本概念、方法、工具进行介绍的基础上，结合中国大陆地区一起利用恶意程序窃取QQ账号与密码的真实案例，从查壳、脱壳、断点设置、程序跟踪、关键信息获取等方面详细描述了针对恶意程序进行逆向分析的全过程。

关键词: 恶意程序, 逆向分析, QQ密码大划拉, 壳, 启动函数, Windows API

Abstract: The reverse analysis process is an advanced and efficient method that exposes the intention and process of malwares. This paper introduces the basic concepts, methods, and tools of the reverse analysis process. A case study of a malware in China, which was used to obtain QQ accounts and passwords, is presented to illustrate the whole process of the reverse analysis process of malware from the aspects of checking pack, unpacking, breakpoint setting, program tracing, key information acquiring and other facets.

Key words: malware, reverse analysis, QQ passwords collecting, pack, start function, Windows API

中图分类号:

TP393

罗文华. 逆向分析在电子数据取证中的应用#br# ——以“QQ密码大划拉”为例#br#[J]. 中国司法鉴定, 2011(6): 54-58.

LUO Wen-hua. The Application of Reverse Analysis in Digital Evidence Investigation#br# ——Taking the “QQ Passwords Collecting” Malware for Example#br#[J]. Chinese Journal of Forensic Sciences, 2011(6): 54-58.

[1]	姬忠远. 电化学腐蚀法与“502”胶显现发射过弹壳表面手印的比较研究[J]. , 2018, 97(2): 51-55.
[2]	秦玉海, 杨嵩, 候世恒. Android平台木马的检验鉴定[J]. , 2017, 92(3): 52-55.
[3]	李孝君, 慕玉玲, 李捷, 郝翔, 关晨. 阳极氧化电解显现射击前弹壳上手印的研究[J]. , 2015, 79(2): 55-57.
[4]	寿远景, 郑筱春, 徐孛. 2005式9mm警用转轮手枪射击弹壳痕迹研究 [J]. 中国司法鉴定, 2012, 64(5): 97-104.