一种木马网络通信检测与取证方法和系统

其它领域

本发明公开了一种木马网络通信检测与取证方法，包括：接收用户提交的取证指令，并接受用户的输入，输入为需要被监测的木马进程 ID 号，根据该取证指令实时的从网卡层捕获计算机网络通信时的网络数据包，以生成计算机网络数据包文件，同时从传输-网络层捕获用户被监测木马进程 ID 下的网络链接信息，以生成被监测木马进程的网络通信链接信息文件，将计算机网络数据包文件在被监测木马进程的网络通信链接信息的控制下过滤出仅与被监测木马进程相关联的被监测木马进程网络数据包文件。本发明能够解决现有网络通信取证技术无法将木马与该

未应用