网络技术的飞速发展和互联网的快速普及,使得网络通信程序正在逐渐成为人们获取信息和交流的重要工具。与此同时,一些以窃取用户或企业私有信息为目的的木马程序,以传播非法信息为目的的翻墙程序等加密网络程序,正在成为个人或企业甚至是国家信息安全的重要威胁。传统的非加密网络程序的分析方法基本上是通过监听其通信数据,再结合程序行为特征,猜测并验证其特定的数据内容对应的网络行为。但是,对于加密通信的网络程序,由于监听到的数据大多为无法识别的数据格式的原因,传统方法已经难以分析出正确结果。为了对加密网络程序进行有效的分析,本文提出使用软件逆向分析的方法对加密网络程序进行跟踪分析,并详细介绍了软件逆向分析的相关知识与技术,然后从加密网络程序的初步逆向、加密算法的逆向和通信过程的逆向三个方面给出了逆向分析的方法,并以POISONIVY加密木马程序为例,对其程序特点、加密算法和通信过程进行了详细的逆向分析。加密网络程序的逆向分析重点包括加密算法和通信过程的逆向分析两个方面,加密算法的分析确保能够正确解密截获的数据包,通信过程的分析确保能够解析解密后的数据包。本文对POISON IVY的SIMPLE_CAMELLIA加密算法进行了详细的逆向分析,完成了该算法的还原、验证与密码破解,并以此为基础逆向分析了通信的命令格式以及命令接收、处理、发送处理结果等过程,实现了该木马通信过程的还原与验证。本文通过对POISON IVY加密木马程序的逆向分析,验证了软件逆向分析方法分析加密网络通信程序的有效性与可行性,对于分析其他加密网络通信程序具有较好的借鉴意义。