[发明专利]一种恶意程序通信数据中GIF图像重组方法

说明书

本发明属于公安机关侦查痕迹提取领域，尤其涉及一种恶意程序通信数据中GIF图像重组方法，包括如下步骤：（1）根据TCP协议三次握手标志定位提取TCP通信数据流。（2）从TCP通信数据流中定位GIF图片起始标志。（3）从TCP通信数据流中提取GIF图片。（4）去除GIF图片中的杂质数据。本发明可从恶意程序产生的网络通信数据中提取出可直接浏览的GIF图像，获得木马存在的直接证据。

技术领域

本发明属于公安机关侦查痕迹提取领域，尤其涉及一种恶意程序通信数据中GIF图像重组方法。

背景技术

个人用户在使用计算机、平板电脑或智能手机浏览网页、收发电子邮件时均可能被种植恶意程序。一旦感染恶意程序，个人终端将被黑客完全控制，他可以远程操作受害者计算机，窃取涉密文件，篡改重要数据，盗取网银账户，甚至监听受害者的语音、视频和网络通信。可以说恶意程序对个人用户乃至国家信息安全均构成严重威胁。

远程协助是恶意程序的一项常见功能，通过远程协助功能可以完全控制受害者主机的鼠标和键盘输入，即完全控制受害者主机。远程协助过程中受害者主机的被监控画面需要实时发送至黑客主机，目前恶意程序大多采用GIF格式传递图像数据。因此，从恶意程序通信数据流中提取、重组GIF图像，获得木马存在的直接证据，对公安机关 的调查取证工作有重要意义。

发明内容

本发明旨在克服现有技术的不足之处而提供一种恶意程序通信数据中GIF图像重组方法。该方法可从恶意程序产生的网络通信数据中提取出可直接浏览的GIF图像。

为解决上述技术问题，本发明是这样实现的。

一种恶意程序通信数据中GIF图像重组方法，包括如下步骤：

（1）根据TCP协议三次握手标志定位提取TCP通信数据流；

（2）从TCP通信数据流中定位GIF图片起始标志；

（3）从TCP通信数据流中提取GIF图片；

（4）去除GIF图片中的杂质数据。

作为一种优选方案，本发明所述步骤（3）中，TCP通信数据流包括两个方向的数据传输，而GIF图片只包含在客户向服务器发送的TCP通信数据流中。

进一步地，本发明所述步骤（4）中，去除GIF图片中首部杂质数据。

目前恶意程序大多采用GIF格式传递图像数据。本发明可从恶意程序产生的网络通信数据中提取出可直接浏览的GIF图像，获得木马存在的直接证据，对公安机关的调查取证工作有重要意义。

附图说明

下面结合附图和具体实施方式对本发明作进一步说明。本发明的保护范围不仅局限于下列内容的表述。

图1 GIF图片重组流程。

图2 根据TCP三次握手标志，提取TCP数据流。

图3定位GIF图片起始和结束标志。

图4去除杂质数据代码。

具体实施方式

如图1所示，一种恶意程序通信数据中GIF图像重组方法，包括如下步骤。

（1）根据TCP协议三次握手标志定位提取TCP通信数据流。TCP第一次握手报文带有SYN标记，根据这个特点可以从捕获的网络通信数据中识别出TCP通信数据流的起始位置，进而提取出完整的TCP通信数据流。

（2）定位GIF图片数据的起始位置。在TCP通信数据流应用层数据中寻找GIF图像文件的起始标志“GIF89a”，同时该数据包携带的数据也必须符合二进制图像数据的特征，符合上述特征的数据包，可以确定是GIF图片的起始部分。