最近真的太忙了，天天打仗一样，感谢大家的支持和关注，继续加油！该系列文章将系统整理和深入学习系统安全、逆向分析和恶意代码检测，文章会更加聚焦，更加系统，更加深入，也是作者的慢慢成长史。漫漫长征路，偏向虎山行。享受过程，一起奋斗~

前文详细介绍2022 DataCon大数据安全分析中恶意样本IOC自动化提取和攻击者画像分析内容。这篇文章将尝试软件来源分析，结合网络攻击中常见的判断方法，利用Python调用扩展包进行溯源，但也存在局限性。文章同时也普及了PE文件分析相关基础，且看且珍惜。

作者的github资源：

作者作为网络安全的小白，分享一些自学基础教程给大家，主要是关于安全工具和实践操作的在线笔记，希望您们喜欢。同时，更希望您能与我一起操作和进步，后续将深入学习网络安全和系统安全知识并分享相关实验。总之，希望该系列文章对博友有所帮助，写文不易，大神们不喜勿喷，谢谢！如果文章对您有帮助，将是我创作的最大动力，点赞、评论、私聊均可，一起加油喔！

声明：本人坚决反对利用教学方法进行犯罪的行为，一切犯罪行为必将受到严惩，绿色网络需要我们共同维护，更推荐大家了解它们背后的原理，更好地进行防护。（参考文献见后）

你是否想过如何判断PE软件或APP来源哪个国家或地区呢？你又想过印度是如何确保一键正确卸载中国APP呢？使用黑白名单吗？本文尝试进行软件来源溯源，目前想到的方法包括：

欢迎大家讨论和留言，我们一起进行更深入的尝试和安全测试 O(∩_∩)O

什么是PE文件？ PE文件的全称是Portable Executable，意为可移植的可执行的文件，常见的EXE、DLL、OCX、SYS、COM都是PE文件，PE文件是微软Windows操作系统上的程序文件（可能是间接被执行，如DLL）。

EXE文件格式：

为什么要重点学习这种文件格式呢？

可执行程序是具有不同的形态的，比如用户眼中的QQ如下图所示。

本质上，QQ如下图所示。

PE文件格式总体结构 接着让我们来欣赏下PE文件格式总体结构图，包括：MZ头部、DOS stub、PE文件头、可选文件头、节表、节等。

本文的第二部分我们将对PE文件格式进行详细解析。比如，MZ头文件是定位PE文件头开始位置，用于PE文件合法性检测。DOS下运行该程序时，会提示用户“This Program cannot be run in DOS mode”。

PE文件格式与恶意软件的关系

PE文件解析常用工具包括：

该部分实验内容：

PE文件结构如下图所示，我推荐大家使用010Editor工具及其模板来进行PE文件分析。 MZ头部+DOS stub+PE文件头+可选文件头+节表+节

(1) 使用010Editor工具打开PE文件，并运行模板。 该PE文件可分为若干结构，如下图所示。

(2) MZ文件头（000h-03fh）。 下图为hello-2.5.exe的MZ文件头，该部分固定大小为40H个字节。偏移3cH处字段Offset to New EXE Header，指示“NT映象头的偏移地址”，其中000000B0是NT映象头的文件偏移地址，定位PE文件头开始位置，用于PE文件合法性检验。

000000B0指向PE文件头开始位置。

(3) DOS插桩程序（040h-0afh） DOS Stub部分大小不固定，位于MZ文件头和NT映象头之间，可由MZ文件头中的Offset to New EXE Header字段确定。下图为hello-2.5.exe中的该部分内容。

(4) PE文件头（0b0h-1a7h） 该部分包括PE标识、映像文件头、可选文件头。

对应解析如下图所示，包括PE标识、X86架构、3个节、文件生成时间、COFF便宜、可选头大小、文件信息标记等。

010Editor使用模板定位PE文件各节点信息。

PE文件可选文件头224字节，其对应的字段信息如下所示：

(5) 节表（1a8h-21fh）

该结构包括3个节，对应上图的3个struct IMAGE_SECTION_HEADER，即“.test”、“.rdata”、“.data”节，其偏移地址对应下图紫色区域，分别是400、600、800的位置。

(6) 3个节

注意，代码节“.text”前46H为数据，后面全是0位填充值，为了实现文件的200H对齐，所以代码节是400H到5ffH。

(7) 引入函数节 ⽤来从其他DLL中引⼊函数，引入了kernel32.dll和user32.dll，这个节一般名为“.rdata”。引入函数是被某模块调用的但又不在调用者模块中的函数，用来从其他（系统或第三方写的）DLL中引入函数，例如kernel32.dll、gdi32.dll等。

010Editor打开如下图所示：

详细标注信息如下图所示：（图引自HYQ同学，再此感谢）

(8) 数据节 数据节实际大小58h，对齐后大小200h，地址为800h-9ffh，包括对话框弹出的具体内容。

使用Ollydbg对该程序进行初步调试，了解该程序功能结构，在内存中观察该程序的完整结构。注意，内存对齐单位和文件对齐单位的不同，内容和文件中IAT表内容的不同。

第一步，打开OD加载PE文件。 OD是一款PE文件动态调试器，此时程序断点自动停止在程序入口点00401000H位置。

在010Editor中，我们可以看到，该PE程序基地址是400000h，程序入口地址是1000h，两个相加为加载至内存中的地址，即401000h。

第二步，动态调试程序。 当我们双击地址位置，则可以下断点且变红，比如0040100Fh。

接着查看对应调试快捷键，F7是单步步入，F8是单步步过。

我们直接按F8单步步过，此时的位置会CALL一个MessageBoxA函数。

直接单步步过，此时会弹出第一个对话框，点击“确定”按钮。

第三步，动态调试程序之数据跟随。 接着我们看左下角部分的内存数据，在该区域按下“Ctrl+G”在数据窗口中跟随，输入基地址400000。

此时可以看到加载到内存中的数据，可以看到该数据与010Editor打开的PE文件数据一致的。

接着继续按F8单步步过弹出第二个窗口。

右上角是它寄存器的值，包括各个寄存器中的数据，我们实验中主要使用的寄存器包括EAX、ECX、EDX、EBX等。

接着步过0040102E，它是退出进程ExitProcess的位置，此时进程已经终止，如下图所示。

实验讲到这里，使用OD动态调试的PE文件的基础流程就讲解完毕，后续随着实验深入，我们还会使用该工具。

接着我们尝试通过Python来获取时间戳，python的PE库是pefile，它是用来专门解析PE文件的，可静态分析PE文件。pefile能完成的任务包括：

推荐大家学习官方资料和github文档。

安装扩展包的方法如下：

假设安装成功之后，我们需要对下图所示的软件进行分析，该软件是我在前面博客中生成的，大家直接使用即可（文章开头的github链接能下载）。

第一步，我们通过010Editor分析PE文件。 其时间戳的输出结果如下：

我们希望通过Python写代码实现自动化提取，为后续自动化溯源提供帮助。

第二步，撰写Python代码实现简单分析。

输出如下图所示结果，这是Python包自定义的PE结构。

squeezed text表示python的一种编程规范要求，简称pep8，你只需要将鼠标放到Squeezed上，右键Copy即可查看内容，显示的是该PE文件的基本结构，如下所示：

对应于010Editor分析的结果，前后是一致的。

同时，我们可以输入help(pefile.PE) 查看帮助信息，它定义了pefile包的一些函数和属性。

第三步，撰写代码获取PE文件的方法和属性，比如section。

输出如下结果：

获取导入表信息代码如下：

输出如下所示的结果，包括KERNEL32.dll、USER32.dll等。

对应010editor的PE软件分析结果如下：

第四步，分析文件结构及时间戳位置。 同样，我们可以使用stud_PE查看文件属性，该软件用于显示头部、DOs、区段、函数等信息，包括导入表、导出表等，显示该EXE程序加载的DLL文件及函数。

这里我们最关心的内容是“TimeDateStamp”，接下来想办法获取它即可。

对应的Python包返回的值如下所示：

第五步，接着我们通过pe.DOS_HEADER、pe.FILE_HEADER等方法获取对应的内容。

输出如下图所示的结构，其中时间戳也在其中。

作者本想通过它指定的方法提取对应的值，但一直失败，但作为长期从事NLP和数据挖掘的程序员，这都不是事，我们通过正则表达式即可提取所需知识。

最终输出结果如下所示，这样我们就完成了Python自动化提取PE软件的时间戳过程。任何一个PE软件都能进行提取，该时间戳也记录了软件的编译时间。

协调世界时，又称世界统一时间、世界标准时间、国际协调时间。由于英文（CUT）和法文（TUC）的缩写不同，作为妥协，简称UTC。协调世界时是以原子时秒长为基础，在时刻上尽量接近于世界时的一种时间计量系统。Python时间解析代码如下：

输出结果如下，可以看到该EXE的创建时间。如果想转换成时间戳可以进一步处理。

接下来我们需要进一步分析，根据时间戳判断所在区域。

安天公司通过时区溯源白象APT来自南亚地区，这里再进行回顾下。

在过去的四年中，安天的工程师们关注到了中国的机构和用户反复遭遇来自“西南方向”的网络入侵尝试。这些攻击虽进行了一些掩盖和伪装，我们依然可以将其推理回原点——来自南亚次大陆的某个国家。

安天在2014年4月相关文章中披露的针对中国两所大学被攻击的事件，涉及以下六个样本。其中五个样本投放至同一个目标，这些样本间呈现出模块组合作业的特点。

那么，如何溯源该组织所来自的区域呢？ 安天通过对样本集的时间戳、时区分析进行分析，发现其来自南亚。样本时间戳是一个十六进制的数据，存储在PE文件头里，该值一般由编译器在开发者创建可执行文件时自动生成，时间单位细化到秒，通常可以认为该值为样本生成时间（GMT时间）。

时间戳的分析需要收集所有可用的可执行文件时间戳，并剔除过早的和明显人为修改的时间，再将其根据特定标准分组统计，如每周的天或小时，并以图形的形式体现，下图是通过小时分组统计结果：

从上图的统计结果来看，如果假设攻击者的工作时间是早上八九点至下午五六点的话，那么将工作时间匹配到一个来自UTC+4或UTC+5时区的攻击者的工作时间。根据我们匹配的攻击者所在时区（UTC+4 或UTC+5），再对照世界时区分布图，就可以来推断攻击者所在的区域或国家。

接着对该攻击组织进行更深入的分析。对这一攻击组织继续综合线索，基于互联网公开信息，进行了画像分析，包括成员、C&C关联等。通过这个案例，我们可以通过时区、公开信息、黑客ID、C&C域名进行溯源，并一步步递进。

比如当前北京时间是2020年7月16日晚上9点3分，而UTC时间是13点3分。

但这里存在一个问题，当有很多恶意样本的时候，我们基于多个样本时间戳并结合正常作息时间进行分析，才能判断其来源。但是，如果仅从一个样本进行分析，其准确率还是会有影响，有的恶意软件是深夜发布，也影响了该方法的准确性，同时混淆、加壳、对抗样本也能影响我们的实验效果，但作者仅是提供了一种方法，更深入的研究还在继续，如果您有好的方法也欢迎和我讨论。

这里我们PE软件获取的时间是“2020-06-19 10:46:21”，对应北京时间是19点46分。因为作者习惯晚上写代码，但如果是软件或恶意样本，大公司通常会有正常的作息，从而可以结合海量数据分析来确定最终的软件来源地区或国家。

此时的Python代码如下：

输出结果如下图所示，不同地区有对应的时间分布，如果正常作息是早上9点到12点、下午2点到5点，从结果看更像是来自India、England、Japan等地区。当然，只有恶意样本很多的时候，我们才能进行更好的溯源。

写到这里，这篇文章就介绍完毕，希望对您有所帮助，最后进行简单的总结下作者的猜想。

本文尝试的是最简单的方法，所以也存在很多问题，比如当有很多恶意样本的时候，我们才能基于多个样本时间戳并结合正常作息时间进行分析，才能判断其来源。如果仅从一个样本进行分析，其准确率还是会有影响，有的恶意软件是深夜发布，也影响了该方法的准确性，同时混淆、加壳、对抗样本也能影响我们的实验效果，但作者仅是提供了一种方法，更深入的研究还在继续，如果您有好的方法也欢迎和我讨论。

最后欢迎大家讨论如何判断PE软件或APP来源哪个国家或地区呢？印度又是如何确保一键正确卸载中国APP呢？未知攻，焉知防。加油~

感谢大家2023年的支持和关注，让我们在2024年继续加油！分享更多好文章，感恩，娜璋白首。

(By:Eastmount 2023-06-27 夜于火星)

参考文章如下，感谢这些大佬。

[1] 武汉大学，彭老师《软件安全之恶意代码机理与防护》课程（强推大家关注，MOOC有） [2] [网络安全自学篇] 六十二.PE文件逆向之PE文件解析、PE编辑工具使用和PE结构修改（三） [3] 白象的舞步——来自南亚次大陆的网络攻击： https://www.antiy.com/response/WhiteElephant/WhiteElephant.html [4] https://xz.aliyun.com/t/2688 [5] [原创]利用python+pefile库做PE格式文件的快速开发 - jmpjerryy [6] python 时间类型和相互转换 - shhnwangjian