我怀疑,如何得出exe / dll来自特定国家/地区的结论? PE结构中是否存在保存此信息的字段?
我知道这样的信息(时间戳等)可以被覆盖,并且没有办法可以100%确定但仍然......在大多数分析报告中总是有一个声明,说恶意样本说&# 34;此样本似乎源自xyz国家"。
我希望得到一个没有工具作为解决方案的答案。
答案 0 :(得分:1)
PE / COFF格式中没有字段或元数据可以显示程序原产国的任何指示。 PE规范可在此处获得:http://msdn.microsoft.com/en-us/windows/hardware/gg463119.aspx - 它包含一个应由编译器设置的时间戳字段,但这很容易伪造。
我理解(尽管不确定)恶意软件的起源国是通过生物流行病学工作的相同方式来确定的:通过追溯感染来源,并考虑到互联网如何运作,这非常困难。通常通过HTTP(例如)传播的感染可以通过具有源IP地址的网络服务器日志文件进行检查,然后可以对其进行地理定位。
其他时候恶意软件包含关于其来源的直接线索 - 旧学校恶意软件(想想:ILOVEYOU)作者的傲慢是他们的垮台,在ILOVEYOU案例中,作者实际上把“by: spyder / ispyder@mail.com / @GRAMMERSoft Group /菲律宾马尼拉“直接在编写病毒的VBScript源代码中。
对于表面上写在中国或朝鲜的病毒(您可能正在考虑 - 考虑到最近索尼图片攻击的消息),他们可能会根据程序中包含的字符串进行有根据的猜测。用中文或韩文字母/字符。
......依靠这些启发式方法的问题在于,很容易“构建”一个国家并让某人远离你的踪迹。如果我缺乏道德部门,我可以想象通过编写病毒来进行虚假旗帜操作,使其包含外语字符串,并使用Tor或其他网络从另一个国家发起攻击,不留任何暗示真正的起源。
简而言之,我不相信任何人都可以确切地知道 - 大多数情况下,这是基于目标的猜测和最讨厌目标的人 - 或者实体无意中透露他们写了它的情况(例如以色列和Stuxnet)
答案 1 :(得分:0)
了解可执行文件的原始国家/地区的一种可能方法是检查字符串部分以查看是否可以找到任何返回某个主机服务器的链接。这可能表示用户正在尝试使用您的exe将一些信息/数据发回给自己的服务器。
Dai提出的另一个解决方案是搜索字符串以查找字符串并检查其语言,这可能表明原产国。
但是对于这两种解决方案,由于种种原因,语言可能会被改变以使您偏离轨道,或者在某个不同的国家/地区选择了服务器。因此,没有明确的方法告诉exe / dll文件的原始国家,但你可以做出合乎逻辑的猜测。