当被挂马网站采用HTTP/2协议时，办案人员无法对加密传输的通信数据进行有效分析，影响了网站挂马案件调查分析工作的开展。针对这一问题，提出一种基于主机内部调查和网络信息监听的木马线索调查方法，在染毒计算机上浏览疑似被挂马的HTTP/2网站，对比浏览前后进程和网络连接变化情况，初步筛选出木马程序，再使用Wireshark捕获并解密通信数据，还原木马程序，结合数据包中的Referer字段分析，确定木马感染计算机的完整过程，找到网站被挂马的具体位置，提取相应恶意代码。实验结果表明，应用提出的方法可以准确还原木马程序和木马传播链条，分析出网站被挂马位置，确定黑客端相关信息。

• 单位
  中国刑事警察学院; 公安部第三研究所