摘要：目的在不清楚盜號木馬監(jiān)控的特定窗體標題及關鍵配置信息加密情況下,辦案人員很難通過網(wǎng)絡監(jiān)聽和逆向分析方法獲得黑客預置的電子郵箱賬戶數(shù)據(jù)。為了有效提取上述信息,本文提出一種基于“執(zhí)行路徑重建”的盜號木馬逆向分析取證方法。方法首先逆向分析木馬程序的執(zhí)行路徑,隨后正向修改、重建木馬程序的執(zhí)行路徑,強制木馬程序沿著檢驗人員設定的路徑執(zhí)行電子郵件發(fā)送行為,進而獲取郵箱配置等關鍵信息。結果從木馬程序執(zhí)行的郵件發(fā)送函數(shù)參數(shù)中提取出黑客電子郵箱賬戶、密碼等關鍵配置信息。結論應用本文提出的基于“執(zhí)行路徑重建”的盜號木馬逆向分析取證方法可以對木馬程序進行有效的檢驗分析。