摘要：目的在不清楚盜號木馬監控的特定窗體標題及關鍵配置信息加密情況下,辦案人員很難通過網絡監聽和逆向分析方法獲得黑客預置的電子郵箱賬戶數據。為了有效提取上述信息,本文提出一種基于“執行路徑重建”的盜號木馬逆向分析取證方法。方法首先逆向分析木馬程序的執行路徑,隨后正向修改、重建木馬程序的執行路徑,強制木馬程序沿著檢驗人員設定的路徑執行電子郵件發送行為,進而獲取郵箱配置等關鍵信息。結果從木馬程序執行的郵件發送函數參數中提取出黑客電子郵箱賬戶、密碼等關鍵配置信息。結論應用本文提出的基于“執行路徑重建”的盜號木馬逆向分析取證方法可以對木馬程序進行有效的檢驗分析。