发明专利/实用新型/：发明授权
简介：本发明公开了一种木马网络通信检测与取证方法，包括：接收 用户提交的取证指令，并接受用户的输入，输入为需要被监测的木马 进程ID 号，根据该取证指令实时的从网卡层捕获计算机网络通信时的 网络数据包，以生成计算机网络数据包文件，同时从传输-网络层捕获 用户被监测木马进程ID 下的网络链接信息，以生成被监测木马进程的 ·1209· 网络通信链接信息文件，将计算机网络数据包文件在被监测木马进程 的网络通信链接信息的控制下过滤出仅与被监测木马进程相关联的被 监测木马进程网络数据包文件。本发明能够解决现有网络通信取证技 术无法将木马与该木马传出或接收的数据包确切关联起来，或无法将 木马传入或传出数据包以应用层的完整文件形式呈现的技术问题。
完成人：覃中平、王翎霁