摘要：目的在不清楚盜號木馬監(jiān)控的特定窗體標(biāo)題及關(guān)鍵配置信息加密情況下,辦案人員很難通過網(wǎng)絡(luò)監(jiān)聽和逆向分析方法獲得黑客預(yù)置的電子郵箱賬戶數(shù)據(jù)。為了有效提取上述信息,本文提出一種基于“執(zhí)行路徑重建”的盜號木馬逆向分析取證方法。方法首先逆向分析木馬程序的執(zhí)行路徑,隨后正向修改、重建木馬程序的執(zhí)行路徑,強制木馬程序沿著檢驗人員設(shè)定的路徑執(zhí)行電子郵件發(fā)送行為,進(jìn)而獲取郵箱配置等關(guān)鍵信息。結(jié)果從木馬程序執(zhí)行的郵件發(fā)送函數(shù)參數(shù)中提取出黑客電子郵箱賬戶、密碼等關(guān)鍵配置信息。結(jié)論應(yīng)用本文提出的基于“執(zhí)行路徑重建”的盜號木馬逆向分析取證方法可以對木馬程序進(jìn)行有效的檢驗分析。