[系统安全] 三十四.恶意代码检测(4)编写代码自动提取IAT表、字符串及时间戳溯源地区

叁歲伎倆 2022-09-02 04:28 377阅读 0赞

**您可能之前看到过我写的类似文章，为什么还要重复撰写呢？只是想更好地帮助初学者了解病毒逆向分析和系统安全，更加成体系且不破坏之前的系列。因此，我重新开设了这个专栏，准备系统整理和深入学习系统安全、逆向分析和恶意代码检测，“系统安全”系列文章会更加聚焦，更加系统，更加深入，也是作者的慢慢成长史。换专业确实挺难的，逆向分析也是块硬骨头，但我也试试，看看自己未来四年究竟能将它学到什么程度，漫漫长征路，偏向虎山行。享受过程，一起加油~**

前文从总结基于机器学习的恶意代码检测技术，主要参考郑师兄的视频总结，包括机器学习概述与算法举例、基于机器学习方法的恶意代码检测、机器学习算法在工业界的应用。这篇文章将尝试软件来源分析，结合APT攻击中常见的判断方法，利用Python调用扩展包进行溯源，但也存在局限性。文章同时也普及了PE文件分析和APT溯源相关基础，基础性文章，希望对您有所帮助~

**你是否想过如何判断PE软件或APP来源哪个国家或地区呢？你又想过南亚如何确保一键正确卸载中国APP呢？使用黑白名单吗？本文尝试进行软件来源溯源，目前想到的方法包括：**

*  通过PE文件分析抓取创建文件时间戳，然后UTC定位国家地区，但受样本数量较少，活动规律不稳定影响很大
 *  通过静态分析获取非英文字符串，软件中一般有供该国使用的文字，然后进行编码比对溯源地区
 *  某些APP或软件存在流量反馈或IP定位，尝试进行流量抓取分析
 *  利用深度学习进行分类，然后提取不同国家的特征完成溯源

作者作为网络安全的小白，分享一些自学基础教程给大家，主要是关于安全工具和实践操作的在线笔记，希望您们喜欢。同时，更希望您能与我一起操作和进步，后续将深入学习网络安全和系统安全知识并分享相关实验。总之，希望该系列文章对博友有所帮助，写文不易，大神们不喜勿喷，谢谢！如果文章对您有帮助，将是我创作的最大动力，点赞、评论、私聊均可，一起加油喔！

### 文章目录 ###

*  一.PE文件格式
 *  二.PE文件格式解析
 *   *  1.010Editor解析PE文件
     *  2.Ollydbg动态调试程序
 *  三.Python获取时间戳
 *  四.时间戳判断来源地区
 *   *  1.UTC时间转换
     *  2.时区APT溯源案例（白象）
     *  3.时间戳分析
 *  五.总结

**作者的github资源：**

*  逆向分析：[https://github.com/eastmountyxz/SystemSecurity-ReverseAnalysis][https_github.com_eastmountyxz_SystemSecurity-ReverseAnalysis]
 *  网络安全：[https://github.com/eastmountyxz/NetworkSecuritySelf-study][https_github.com_eastmountyxz_NetworkSecuritySelf-study]

> 从2019年7月开始，我来到了一个陌生的专业——网络空间安全。初入安全领域，是非常痛苦和难受的，要学的东西太多、涉及面太广，但好在自己通过分享100篇“网络安全自学”系列文章，艰难前行着。感恩这一年相识、相知、相趣的安全大佬和朋友们，如果写得不好或不足之处，还请大家海涵！  
>   
> 接下来我将开启新的安全系列，叫“系统安全”，也是免费的100篇文章，作者将更加深入的去研究恶意样本分析、逆向分析、内网渗透、网络攻防实战等，也将通过在线笔记和实践操作的形式分享与博友们学习，希望能与您一起进步，加油~
> 
>  *  推荐前文：[网络安全自学篇系列-100篇][-100]

**前文分析：**

*  [\[系统安全\] 一.什么是逆向分析、逆向分析基础及经典扫雷游戏逆向][_.]
 *  [\[系统安全\] 二.如何学好逆向分析及吕布传游戏逆向案例][_. 1]
 *  [\[系统安全\] 三.IDA Pro反汇编工具初识及逆向工程解密实战][_.IDA Pro]
 *  [\[系统安全\] 四.OllyDbg动态分析工具基础用法及Crakeme逆向][_.OllyDbg_Crakeme]
 *  [\[系统安全\] 五.OllyDbg和Cheat Engine工具逆向分析植物大战僵尸游戏][_.OllyDbg_Cheat Engine]
 *  [\[系统安全\] 六.逆向分析之条件语句和循环语句源码还原及流程控制][_. 2]
 *  [\[系统安全\] 七.逆向分析之PE病毒原理、C++实现文件加解密及OllyDbg逆向][_._PE_C_OllyDbg]
 *  [\[系统安全\] 八.Windows漏洞利用之CVE-2019-0708复现及蓝屏攻击][_.Windows_CVE-2019-0708]
 *  [\[系统安全\] 九.Windows漏洞利用之MS08-067远程代码执行漏洞复现及深度提权][_.Windows_MS08-067]
 *  [\[系统安全\] 十.Windows漏洞利用之SMBv3服务远程代码执行漏洞（CVE-2020-0796）复现][_.Windows_SMBv3_CVE-2020-0796]
 *  [\[系统安全\] 十一.那些年的熊猫烧香及PE病毒行为机理分析][_._PE]
 *  [\[系统安全\] 十二.熊猫烧香病毒IDA和OD逆向分析（上）病毒初始化][_._IDA_OD]
 *  [\[系统安全\] 十三.熊猫烧香病毒IDA和OD逆向分析（中）病毒释放机理][_._IDA_OD 1]
 *  [\[系统安全\] 十四.熊猫烧香病毒IDA和OD逆向分析–病毒释放过程（下）][_._IDA_OD 2]
 *  [\[系统安全\] 十五.Chrome浏览器保留密码功能渗透解析、蓝屏漏洞及某音乐软件漏洞复现][_.Chrome]
 *  [\[系统安全\] 十六.PE文件逆向基础知识(PE解析、PE编辑工具和PE修改)][_.PE_PE_PE_PE]
 *  [\[系统安全\] 十七.Windows PE病毒概念、分类及感染方式详解][_.Windows PE]
 *  [\[系统安全\] 十八.病毒攻防机理及WinRAR恶意劫持漏洞(脚本病毒、自启动、定时关机、蓝屏攻击)][_._WinRAR]
 *  [\[系统安全\] 十九.宏病毒之入门基础、防御措施、自发邮件及APT28宏样本分析][_._APT28]
 *  [\[系统安全\] 二十.PE数字签名之(上)什么是数字签名及Signtool签名工具详解][_.PE_Signtool]
 *  [\[系统安全\] 二十一.PE数字签名之(中)Signcode、PEView、010Editor、Asn1View工具用法][_.PE_Signcode_PEView_010Editor_Asn1View]
 *  [\[系统安全\] 二十二.PE数字签名之(下)微软证书漏洞CVE-2020-0601复现及Windows验证机制分析][_.PE_CVE-2020-0601_Windows]
 *  [\[系统安全\] 二十三.逆向分析之OllyDbg动态调试复习及TraceMe案例分析][_._OllyDbg_TraceMe]
 *  [\[系统安全\] 二十四.逆向分析之OllyDbg调试INT3断点、反调试、硬件断点与内存断点][_._OllyDbg_INT3]
 *  [\[系统安全\] 二十五.WannaCry勒索病毒分析 (1)Python复现永恒之蓝漏洞实现勒索加密][_.WannaCry_ _1_Python]
 *  [\[系统安全\] 二十六.WannaCry勒索病毒分析 (2)MS17-010漏洞利用及病毒解析][_.WannaCry_ _2_MS17-010]
 *  [\[系统安全\] 二十七.WannaCry勒索病毒分析 (3)蠕虫传播机制解析及IDA和OD逆向][_.WannaCry_ _3_IDA_OD]
 *  [\[系统安全\] 二十八.WannaCry勒索病毒分析 (4)全网"最"详细的蠕虫传播机制解读][_.WannaCry_ _4]
 *  [\[系统安全\] 二十九.深信服分享之外部威胁防护和勒索病毒对抗][_. 3]
 *  [\[系统安全\] 三十.CS逆向分析 (1)你的游戏子弹用完了吗？Cheat Engine工具入门普及][_.CS_ _1_Cheat Engine]
 *  [\[系统安全\] 三十一.恶意代码检测(1)恶意代码攻击溯源及恶意样本分析][_._1]
 *  [\[系统安全\] 三十二.恶意代码检测(2)常用技术详解及总结][_._2]
 *  \[系统安全\] 三十三.恶意代码检测(3)基于机器学习的恶意代码检测技术

> 声明：本人坚决反对利用教学方法进行犯罪的行为，一切犯罪行为必将受到严惩，绿色网络需要我们共同维护，更推荐大家了解它们背后的原理，更好地进行防护。该样本不会分享给大家，分析工具会分享。（参考文献见后）

--------------------

# 一.PE文件格式 #

**什么是PE文件？**  
PE文件的全称是Portable Executable，意为可移植的可执行的文件，常见的EXE、DLL、OCX、SYS、COM都是PE文件，PE文件是微软Windows操作系统上的程序文件（可能是间接被执行，如DLL）。

EXE文件格式：

*  DOS：MZ格式
 *  WIndows 3.0/3.1：NE（New Executable）、16位Windows可执行文件格式

**为什么要重点学习这种文件格式呢？**

*  PE文件是可移植、可执行、跨Win32平台的文件格式
 *  所有Win32执行体（exe、dll、kernel mode drivers）
 *  知道PE文件本质后，能更好进行恶意样本分析、APT攻击分析、勒索病毒分析
 *  了解软件加密和加壳的思想，能够PJ相关的PE文件
 *  它是您熟悉Windows操作系统的第一步，包括EXE程序怎么映射到内存，DLL怎么导入等
 *  软件逆向工程的基本思想与PE文件格式息息相关
 *  如果您想成为一名黑客、系统安全工程师，那么精通PE文件是非常必要的

可执行程序是具有不同的形态的，比如用户眼中的QQ如下图所示。

![在这里插入图片描述][20200325192255451.png_pic_center]

![在这里插入图片描述][watermark_type_ZmFuZ3poZW5naGVpdGk_shadow_10_text_aHR0cHM6Ly9ibG9nLmNzZG4ubmV0L0Vhc3Rtb3VudA_size_16_color_FFFFFF_t_70_pic_center]

本质上，QQ如下图所示。

![在这里插入图片描述][watermark_type_ZmFuZ3poZW5naGVpdGk_shadow_10_text_aHR0cHM6Ly9ibG9nLmNzZG4ubmV0L0Vhc3Rtb3VudA_size_16_color_FFFFFF_t_70_pic_center 1]

**PE文件格式总体结构**  
接着让我们来欣赏下PE文件格式总体结构图，包括：MZ头部、DOS stub、PE文件头、可选文件头、节表、节等。

![在这里插入图片描述][watermark_type_ZmFuZ3poZW5naGVpdGk_shadow_10_text_aHR0cHM6Ly9ibG9nLmNzZG4ubmV0L0Vhc3Rtb3VudA_size_16_color_FFFFFF_t_70_pic_center 2]

本文的第二部分我们将对PE文件格式进行详细解析。比如，MZ头文件是定位PE文件头开始位置，用于PE文件合法性检测。DOS下运行该程序时，会提示用户“This Program cannot be run in DOS mode”。

![在这里插入图片描述][20200325192717800.png_pic_center]

**PE文件格式与恶意软件的关系**

*  何为文件感染或控制权获取？  
    使目标PE文件具备或启动病毒功能（或目标程序）  
    不破坏目标PE文件原有功能和外在形态（如图标）等  
    …
 *  病毒代码如何与目标PE文件融为一体呢？  
    代码植入  
    控制权获取  
    图标更改  
    Hook  
    …

PE文件解析常用工具包括：

*  **PEView**：可按照PE文件格式对目标文件的各字段进行详细解析。
 *  **Stud\_PE**：可按照PE文件格式对目标文件的各字段进行详细解析。
 *  **Ollydbg**：可跟踪目标程序的执行过程，属于用户态调试工具。
 *  **UltraEdit \\ 010Editor**：可对目标文件进行16进制查看和修改。

--------------------

# 二.PE文件格式解析 #

该部分实验内容：

*  使用010Editor观察PE文件例子程序hello-2.5.exe的16进制数据
 *  使用Ollydbg对该程序进行初步调试，了解该程序功能结构，在内存中观察该程序的完整结构
 *  使用010Editor修改该程序，使得该程序仅弹出第二个对话框

## 1.010Editor解析PE文件 ##

PE文件结构如下图所示，我推荐大家使用010Editor工具及其模板来进行PE文件分析。  
**MZ头部+DOS stub+PE文件头+可选文件头+节表+节**

![在这里插入图片描述][watermark_type_ZmFuZ3poZW5naGVpdGk_shadow_10_text_aHR0cHM6Ly9ibG9nLmNzZG4ubmV0L0Vhc3Rtb3VudA_size_16_color_FFFFFF_t_70_pic_center 3]

**(1) 使用010Editor工具打开PE文件，并运行模板。**  
该PE文件可分为若干结构，如下图所示。

![在这里插入图片描述][watermark_type_ZmFuZ3poZW5naGVpdGk_shadow_10_text_aHR0cHM6Ly9ibG9nLmNzZG4ubmV0L0Vhc3Rtb3VudA_size_16_color_FFFFFF_t_70_pic_center 4]

**(2) MZ文件头（000h-03fh）。**  
下图为hello-2.5.exe的MZ文件头，该部分固定大小为40H个字节。偏移3cH处字段Offset to New EXE Header，指示“NT映象头的偏移地址”，其中**000000B0**是NT映象头的文件偏移地址，定位PE文件头开始位置，用于PE文件合法性检验。

![在这里插入图片描述][watermark_type_ZmFuZ3poZW5naGVpdGk_shadow_10_text_aHR0cHM6Ly9ibG9nLmNzZG4ubmV0L0Vhc3Rtb3VudA_size_16_color_FFFFFF_t_70_pic_center 5]

000000B0指向PE文件头开始位置。

![在这里插入图片描述][watermark_type_ZmFuZ3poZW5naGVpdGk_shadow_10_text_aHR0cHM6Ly9ibG9nLmNzZG4ubmV0L0Vhc3Rtb3VudA_size_16_color_FFFFFF_t_70_pic_center 6]

**(3) DOS插桩程序（040h-0afh）**  
DOS Stub部分大小不固定，位于MZ文件头和NT映象头之间，可由MZ文件头中的Offset to New EXE Header字段确定。下图为hello-2.5.exe中的该部分内容。

![在这里插入图片描述][watermark_type_ZmFuZ3poZW5naGVpdGk_shadow_10_text_aHR0cHM6Ly9ibG9nLmNzZG4ubmV0L0Vhc3Rtb3VudA_size_16_color_FFFFFF_t_70_pic_center 7]

**(4) PE文件头（0b0h-1a7h）**  
该部分包括PE标识、映像文件头、可选文件头。

*  **Signature**：字串“PE\\0\\0”，4个字节（0b0H~0b4H）
 *  **映象文件头File Header**：14H个字节（0b5H~0c7H）  
    偏移2H处，字段Number of Section 给出节的个数（2个字节）：0003  
    偏移10H处，字段Size of Optional Header 给出可选映象头的大小（2个字节）：00E0
 *  **可选映象头Optional Header**：0c8H~1a7H

![在这里插入图片描述][watermark_type_ZmFuZ3poZW5naGVpdGk_shadow_10_text_aHR0cHM6Ly9ibG9nLmNzZG4ubmV0L0Vhc3Rtb3VudA_size_16_color_FFFFFF_t_70_pic_center 8]

对应解析如下图所示，包括PE标识、X86架构、3个节、文件生成时间、COFF便宜、可选头大小、文件信息标记等。

![在这里插入图片描述][20200325150601281.png_pic_center]

010Editor使用模板定位PE文件各节点信息。

![在这里插入图片描述][watermark_type_ZmFuZ3poZW5naGVpdGk_shadow_10_text_aHR0cHM6Ly9ibG9nLmNzZG4ubmV0L0Vhc3Rtb3VudA_size_16_color_FFFFFF_t_70_pic_center 9]

PE文件可选文件头224字节，其对应的字段信息如下所示：

typedef struct _IMAGE_OPTIONAL_HEADER {
    
        WORD    Magic;　　　　　　　　　　　　　　　　　　/*机器型号,判断是PE是32位还是64位*/
        BYTE    MajorLinkerVersion;　　　　　　　　　　/*连接器版本号高版本*/
        BYTE    MinorLinkerVersion;　　　　　　　　　　/*连接器版本号低版本,组合起来就是 5.12 其中5是高版本,C是低版本*/
        DWORD   SizeOfCode;　　　　　　　　　　　　　　　/*代码节的总大小(512为一个磁盘扇区)*/
        DWORD   SizeOfInitializedData;　　　　　　　　/*初始化数据的节的总大小,也就是.data*/
        DWORD   SizeOfUninitializedData;　　　　　　 /*未初始化数据的节的大小,也就是 .data ? */
        DWORD   AddressOfEntryPoint;　　　　　　　　  /*程序执行入口(OEP) RVA(相对偏移)*/
        DWORD   BaseOfCode;　　　　　　　　　　　　　　 /*代码的节的起始RVA(相对偏移)也就是代码区的偏移,偏移+模块首地址定位代码区*/
        DWORD   BaseOfData;　　　　　　　　　　　　　　 /*数据结的起始偏移(RVA),同上*/
        DWORD   ImageBase;　　　　　　　　　　　　　　　/*程序的建议模块基址(意思就是说作参考用的,模块地址在哪里)*/
    
        DWORD   SectionAlignment;　　　　　　　　　　　/*内存中的节对齐*/
        DWORD   FileAlignment;　　　　　　　　　　　　　/*文件中的节对齐*/
        WORD    MajorOperatingSystemVersion;　　　　/*操作系统版本号高位*/
        WORD    MinorOperatingSystemVersion;　　　　/*操作系统版本号低位*/
        WORD    MajorImageVersion;　　　　　　　　　　/*PE版本号高位*/
        WORD    MinorImageVersion;　　　　　　　　　　/*PE版本号低位*/
        WORD    MajorSubsystemVersion;　　　　　　　　/*子系统版本号高位*/
        WORD    MinorSubsystemVersion;　　　　　　　　/*子系统版本号低位*/
        DWORD   Win32VersionValue;　　　　　　　　　　/*32位系统版本号值,注意只能修改为4 5 6表示操作系统支持nt4.0 以上,5的话依次类推*/
        DWORD   SizeOfImage;　　　　　　　　　　　　   /*整个程序在内存中占用的空间(PE映尺寸)*/
        DWORD   SizeOfHeaders;　　　　　　　　　　　　/*所有头(头的结构体大小)+节表的大小*/
        DWORD   CheckSum;　　　　　　　　　　　　　　 /*校验和,对于驱动程序,可能会使用*/
        WORD    Subsystem;　　　　　　　　　　　　　　/*文件的子系统 :重要*/
        WORD    DllCharacteristics;　　　　　　　　 /*DLL文件属性,也可以成为特性,可能DLL文件可以当做驱动程序使用*/
        DWORD   SizeOfStackReserve;　　　　　　　　 /*预留的栈的大小*/
        DWORD   SizeOfStackCommit;　　　　　　　 　 /*立即申请的栈的大小(分页为单位)*/
        DWORD   SizeOfHeapReserve;　　　　　　　  　/*预留的堆空间大小*/
        DWORD   SizeOfHeapCommit;　　　　　　　 　  /*立即申请的堆的空间的大小*/
        DWORD   LoaderFlags;　　　　　　　　　　　　 /*与调试有关*/
        DWORD   NumberOfRvaAndSizes;　　　　　　　  /*下面的成员,数据目录结构的项目数量*/
        IMAGE_DATA_DIRECTORY DataDirectory[16];  /*数据目录,默认16个,16是宏,这里方便直接写成16*/
    } IMAGE_OPTIONAL_HEADER32, *PIMAGE_OPTIONAL_HEADER32;

**(5) 节表（1a8h-21fh）**

*  表项大小固定，28H个字节；表项个数由映象文件头的字段Number of Section 给出。
 *  每个表项的起始位置起（8个字节），字段Name给出对应节的名称。
 *  每个表项的偏移14H处（4个字节），字段Offset to Raw Data给出对应节的起始文件偏移。

![在这里插入图片描述][watermark_type_ZmFuZ3poZW5naGVpdGk_shadow_10_text_aHR0cHM6Ly9ibG9nLmNzZG4ubmV0L0Vhc3Rtb3VudA_size_16_color_FFFFFF_t_70_pic_center 10]

该结构包括3个节，对应上图的3个struct IMAGE\_SECTION\_HEADER，即“.test”、“.rdata”、“.data”节，其偏移地址对应下图紫色区域，分别是400、600、800的位置。

![在这里插入图片描述][20200325152350672.png_pic_center]

**(6) 3个节**

*  400H-5ffH：代码节
 *  600H-7ffH：引入函数节
 *  800H-9ffH：数据节

![在这里插入图片描述][watermark_type_ZmFuZ3poZW5naGVpdGk_shadow_10_text_aHR0cHM6Ly9ibG9nLmNzZG4ubmV0L0Vhc3Rtb3VudA_size_16_color_FFFFFF_t_70_pic_center 11]

注意，代码节“.text”前46H为数据，后面全是0位填充值，为了实现文件的200H对齐，所以代码节是400H到5ffH。

![在这里插入图片描述][watermark_type_ZmFuZ3poZW5naGVpdGk_shadow_10_text_aHR0cHM6Ly9ibG9nLmNzZG4ubmV0L0Vhc3Rtb3VudA_size_16_color_FFFFFF_t_70_pic_center 12]

**(7) 引入函数节**  
⽤来从其他DLL中引⼊函数，引入了kernel32.dll和user32.dll，这个节一般名为“.rdata”。引入函数是被某模块调用的但又不在调用者模块中的函数，用来从其他（系统或第三方写的）DLL中引入函数，例如kernel32.dll、gdi32.dll等。

![在这里插入图片描述][20200325204426291.png_pic_center]

010Editor打开如下图所示：

![在这里插入图片描述][watermark_type_ZmFuZ3poZW5naGVpdGk_shadow_10_text_aHR0cHM6Ly9ibG9nLmNzZG4ubmV0L0Vhc3Rtb3VudA_size_16_color_FFFFFF_t_70_pic_center 13]

详细标注信息如下图所示：（图引自HYQ同学，再此感谢）

![在这里插入图片描述][watermark_type_ZmFuZ3poZW5naGVpdGk_shadow_10_text_aHR0cHM6Ly9ibG9nLmNzZG4ubmV0L0Vhc3Rtb3VudA_size_16_color_FFFFFF_t_70_pic_center 14]

**(8) 数据节**  
数据节实际大小58h，对齐后大小200h，地址为800h-9ffh，包括对话框弹出的具体内容。

![在这里插入图片描述][20200325154943404.png_pic_center]

--------------------

## 2.Ollydbg动态调试程序 ##

使用Ollydbg对该程序进行初步调试，了解该程序功能结构，在内存中观察该程序的完整结构。注意，内存对齐单位和文件对齐单位的不同，内容和文件中IAT表内容的不同。

**第一步，打开OD加载PE文件。**  
OD是一款PE文件动态调试器，此时程序断点自动停止在程序入口点00401000H位置。

![在这里插入图片描述][watermark_type_ZmFuZ3poZW5naGVpdGk_shadow_10_text_aHR0cHM6Ly9ibG9nLmNzZG4ubmV0L0Vhc3Rtb3VudA_size_16_color_FFFFFF_t_70_pic_center 15]

**在010Editor中，我们可以看到，该PE程序基地址是400000h，程序入口地址是1000h，两个相加为加载至内存中的地址，即401000h。**

![在这里插入图片描述][watermark_type_ZmFuZ3poZW5naGVpdGk_shadow_10_text_aHR0cHM6Ly9ibG9nLmNzZG4ubmV0L0Vhc3Rtb3VudA_size_16_color_FFFFFF_t_70_pic_center 16]

**第二步，动态调试程序。**  
当我们双击地址位置，则可以下断点且变红，比如0040100Fh。

![在这里插入图片描述][watermark_type_ZmFuZ3poZW5naGVpdGk_shadow_10_text_aHR0cHM6Ly9ibG9nLmNzZG4ubmV0L0Vhc3Rtb3VudA_size_16_color_FFFFFF_t_70_pic_center 17]

接着查看对应调试快捷键，F7是单步步入，F8是单步步过。

![在这里插入图片描述][watermark_type_ZmFuZ3poZW5naGVpdGk_shadow_10_text_aHR0cHM6Ly9ibG9nLmNzZG4ubmV0L0Vhc3Rtb3VudA_size_16_color_FFFFFF_t_70_pic_center 18]

我们直接按F8单步步过，此时的位置会CALL一个MessageBoxA函数。

![在这里插入图片描述][watermark_type_ZmFuZ3poZW5naGVpdGk_shadow_10_text_aHR0cHM6Ly9ibG9nLmNzZG4ubmV0L0Vhc3Rtb3VudA_size_16_color_FFFFFF_t_70_pic_center 19]

直接单步步过，此时会弹出第一个对话框，点击“确定”按钮。

![在这里插入图片描述][watermark_type_ZmFuZ3poZW5naGVpdGk_shadow_10_text_aHR0cHM6Ly9ibG9nLmNzZG4ubmV0L0Vhc3Rtb3VudA_size_16_color_FFFFFF_t_70_pic_center 20]

**第三步，动态调试程序之数据跟随。**  
接着我们看左下角部分的内存数据，在该区域按下“Ctrl+G”在数据窗口中跟随，输入基地址400000。

![在这里插入图片描述][watermark_type_ZmFuZ3poZW5naGVpdGk_shadow_10_text_aHR0cHM6Ly9ibG9nLmNzZG4ubmV0L0Vhc3Rtb3VudA_size_16_color_FFFFFF_t_70_pic_center 21]

此时可以看到加载到内存中的数据，可以看到该数据与010Editor打开的PE文件数据一致的。

![在这里插入图片描述][watermark_type_ZmFuZ3poZW5naGVpdGk_shadow_10_text_aHR0cHM6Ly9ibG9nLmNzZG4ubmV0L0Vhc3Rtb3VudA_size_16_color_FFFFFF_t_70_pic_center 22]

接着继续按F8单步步过弹出第二个窗口。

![在这里插入图片描述][watermark_type_ZmFuZ3poZW5naGVpdGk_shadow_10_text_aHR0cHM6Ly9ibG9nLmNzZG4ubmV0L0Vhc3Rtb3VudA_size_16_color_FFFFFF_t_70_pic_center 23]

右上角是它寄存器的值，包括各个寄存器中的数据，我们实验中主要使用的寄存器包括EAX、ECX、EDX、EBX等。

![在这里插入图片描述][watermark_type_ZmFuZ3poZW5naGVpdGk_shadow_10_text_aHR0cHM6Ly9ibG9nLmNzZG4ubmV0L0Vhc3Rtb3VudA_size_16_color_FFFFFF_t_70_pic_center 24]

接着步过0040102E，它是退出进程ExitProcess的位置，此时进程已经终止，如下图所示。

![在这里插入图片描述][watermark_type_ZmFuZ3poZW5naGVpdGk_shadow_10_text_aHR0cHM6Ly9ibG9nLmNzZG4ubmV0L0Vhc3Rtb3VudA_size_16_color_FFFFFF_t_70_pic_center 25]

实验讲到这里，使用OD动态调试的PE文件的基础流程就讲解完毕，后续随着实验深入，我们还会使用该工具。

--------------------

# 三.Python获取时间戳 #

接着我们尝试通过Python来获取时间戳，python的PE库是pefile，它是用来专门解析PE文件的，可静态分析PE文件。pefile能完成的任务包括：

*  检查头
 *  分析部分数据
 *  检索嵌入式数据
 *  从资源中读取字符串
 *  警告值可疑和格式错误
 *  PE的基本分析，喜欢写一些领域和其他部分的PE的
 *  带有PEiD签名的打包程序检测
 *  PEiD签名 生成

推荐大家学习官方资料和github文档。

*  [https://github.com/erocarrera/pefile][https_github.com_erocarrera_pefile]
 *  [https://pypi.org/project/pefile/][https_pypi.org_project_pefile]
 *  [https://github.com/erocarrera/pefile/releases][https_github.com_erocarrera_pefile_releases]

安装扩展包的方法如下：

*  **pip install pefile**

![在这里插入图片描述][watermark_type_ZmFuZ3poZW5naGVpdGk_shadow_10_text_aHR0cHM6Ly9ibG9nLmNzZG4ubmV0L0Vhc3Rtb3VudA_size_16_color_FFFFFF_t_70_pic_center 26]

假设安装成功之后，我们需要对下图所示的软件进行分析，该软件是我在第85篇博客中生成的，大家直接使用即可（文章开头的github链接能下载）。

*  [八十五.Windows黑客编程之注入技术详解（全局钩子、远线程钩子、突破Session 0注入、APC注入）][.Windows_Session 0_APC]

![在这里插入图片描述][watermark_type_ZmFuZ3poZW5naGVpdGk_shadow_10_text_aHR0cHM6Ly9ibG9nLmNzZG4ubmV0L0Vhc3Rtb3VudA_size_16_color_FFFFFF_t_70_pic_center 27]

**第一步，我们通过010Editor分析PE文件。**  
其时间戳的输出结果如下：

*  **06/19/2020 10:46:21**

我们希望通过Python写代码实现自动化提取，为后续自动化溯源提供帮助。

![在这里插入图片描述][watermark_type_ZmFuZ3poZW5naGVpdGk_shadow_10_text_aHR0cHM6Ly9ibG9nLmNzZG4ubmV0L0Vhc3Rtb3VudA_size_16_color_FFFFFF_t_70_pic_center 28]

**第二步，撰写Python代码实现简单分析。**

import pefile
    import os,string,shutil,re
    
    PEfile_Path = "MFCApplication.exe"
     
    pe = pefile.PE(PEfile_Path)
    print(type(pe))
    print(pe)

输出如下图所示结果，这是Python包自定义的PE结构。

![在这里插入图片描述][20200716161401164.png_pic_center]

squeezed text表示python的一种编程规范要求，简称pep8，你只需要将鼠标放到Squeezed上，右键Copy即可查看内容，显示的是该PE文件的基本结构，如下所示：

----------Parsing Warnings----------
    
    Byte 0xcc makes up 17.8750% of the file's contents. This may indicate truncation / malformation.
    
    Suspicious flags set for section 0. Both IMAGE_SCN_MEM_WRITE and IMAGE_SCN_MEM_EXECUTE are set. This might indicate a packed executable.
    
    ----------DOS_HEADER----------
    
    [IMAGE_DOS_HEADER]
    0x0        0x0   e_magic:                       0x5A4D    
    0x2        0x2   e_cblp:                        0x90      
    0x4        0x4   e_cp:                          0x3       
    0x6        0x6   e_crlc:                        0x0       
    0x8        0x8   e_cparhdr:                     0x4       
    0xA        0xA   e_minalloc:                    0x0       
    0xC        0xC   e_maxalloc:                    0xFFFF    
    0xE        0xE   e_ss:                          0x0       
    0x10       0x10  e_sp:                          0xB8      
    0x12       0x12  e_csum:                        0x0       
    0x14       0x14  e_ip:                          0x0       
    0x16       0x16  e_cs:                          0x0       
    0x18       0x18  e_lfarlc:                      0x40      
    0x1A       0x1A  e_ovno:                        0x0       
    0x1C       0x1C  e_res:                         
    0x24       0x24  e_oemid:                       0x0       
    0x26       0x26  e_oeminfo:                     0x0       
    0x28       0x28  e_res2:                        
    0x3C       0x3C  e_lfanew:                      0x108     
    
    ----------NT_HEADERS----------
    
    [IMAGE_NT_HEADERS]
    0x108      0x0   Signature:                     0x4550    
    
    ----------FILE_HEADER----------
    
    [IMAGE_FILE_HEADER]
    0x10C      0x0   Machine:                       0x14C     
    0x10E      0x2   NumberOfSections:              0xA       
    0x110      0x4   TimeDateStamp:                 0x5EEC977D [Fri Jun 19 10:46:21 2020 UTC]
    0x114      0x8   PointerToSymbolTable:          0x0       
    0x118      0xC   NumberOfSymbols:               0x0       
    0x11C      0x10  SizeOfOptionalHeader:          0xE0      
    0x11E      0x12  Characteristics:               0x102     
    Flags: IMAGE_FILE_32BIT_MACHINE, IMAGE_FILE_EXECUTABLE_IMAGE
    
    ----------OPTIONAL_HEADER----------
    
    [IMAGE_OPTIONAL_HEADER]
    0x120      0x0   Magic:                         0x10B     
    0x122      0x2   MajorLinkerVersion:            0xE       
    0x123      0x3   MinorLinkerVersion:            0x1A      
    0x124      0x4   SizeOfCode:                    0x700C00  
    0x128      0x8   SizeOfInitializedData:         0x2F1E00  
    0x12C      0xC   SizeOfUninitializedData:       0x0       
    0x130      0x10  AddressOfEntryPoint:           0x36CE65  
    0x134      0x14  BaseOfCode:                    0x1000    
    0x138      0x18  BaseOfData:                    0x1000    
    0x13C      0x1C  ImageBase:                     0x400000  
    0x140      0x20  SectionAlignment:              0x1000    
    0x144      0x24  FileAlignment:                 0x200     
    0x148      0x28  MajorOperatingSystemVersion:   0x6       
    0x14A      0x2A  MinorOperatingSystemVersion:   0x0       
    0x14C      0x2C  MajorImageVersion:             0x0       
    0x14E      0x2E  MinorImageVersion:             0x0       
    0x150      0x30  MajorSubsystemVersion:         0x6       
    0x152      0x32  MinorSubsystemVersion:         0x0       
    0x154      0x34  Reserved1:                     0x0       
    0x158      0x38  SizeOfImage:                   0xD54000  
    0x15C      0x3C  SizeOfHeaders:                 0x400     
    0x160      0x40  CheckSum:                      0x0       
    0x164      0x44  Subsystem:                     0x2       
    0x166      0x46  DllCharacteristics:            0x8140    
    0x168      0x48  SizeOfStackReserve:            0x100000  
    0x16C      0x4C  SizeOfStackCommit:             0x1000    
    0x170      0x50  SizeOfHeapReserve:             0x100000  
    0x174      0x54  SizeOfHeapCommit:              0x1000    
    0x178      0x58  LoaderFlags:                   0x0       
    0x17C      0x5C  NumberOfRvaAndSizes:           0x10      
    DllCharacteristics: IMAGE_DLLCHARACTERISTICS_DYNAMIC_BASE, IMAGE_DLLCHARACTERISTICS_NX_COMPAT, IMAGE_DLLCHARACTERISTICS_TERMINAL_SERVER_AWARE
    
    ----------PE Sections----------
    
    [IMAGE_SECTION_HEADER]
    0x200      0x0   Name:                          .textbss
    0x208      0x8   Misc:                          0x35B30B  
    0x208      0x8   Misc_PhysicalAddress:          0x35B30B  
    0x208      0x8   Misc_VirtualSize:              0x35B30B  
    0x20C      0xC   VirtualAddress:                0x1000    
    0x210      0x10  SizeOfRawData:                 0x0       
    0x214      0x14  PointerToRawData:              0x0       
    0x218      0x18  PointerToRelocations:          0x0       
    0x21C      0x1C  PointerToLinenumbers:          0x0       
    0x220      0x20  NumberOfRelocations:           0x0       
    0x222      0x22  NumberOfLinenumbers:           0x0       
    0x224      0x24  Characteristics:               0xE00000A0
    Flags: IMAGE_SCN_CNT_CODE, IMAGE_SCN_CNT_UNINITIALIZED_DATA, IMAGE_SCN_MEM_EXECUTE, IMAGE_SCN_MEM_READ, IMAGE_SCN_MEM_WRITE
    Entropy: 0.000000 (Min=0.0, Max=8.0)
    MD5     hash: d41d8cd98f00b204e9800998ecf8427e
    SHA-1   hash: da39a3ee5e6b4b0d3255bfef95601890afd80709
    SHA-256 hash: e3b0c44298fc1c149afbf4c8996fb92427ae41e4649b934ca495991b7852b855
    SHA-512 hash: cf83e1357eefb8bdf1542850d66d8007d620e4050b5715dc83f4a921d36ce9ce47d0d13c5d85f2b0ff8318d2877eec2f63b931bd47417a81a538327af927da3e
    ....

对应于010Editor分析的结果，前后是一致的。

![在这里插入图片描述][watermark_type_ZmFuZ3poZW5naGVpdGk_shadow_10_text_aHR0cHM6Ly9ibG9nLmNzZG4ubmV0L0Vhc3Rtb3VudA_size_16_color_FFFFFF_t_70_pic_center 29]

同时，我们可以输入help(pefile.PE) 查看帮助信息，它定义了pefile包的一些函数和属性。

Help on class PE in module pefile:
    
    class PE(builtins.object)
     |  PE(name=None, data=None, fast_load=None)
     |  
     |  A Portable Executable representation.
     |  
     |  This class provides access to most of the information in a PE file.
     |  
     |  It expects to be supplied the name of the file to load or PE data
     |  to process and an optional argument 'fast_load' (False by default)
     |  which controls whether to load all the directories information,
     |  which can be quite time consuming.
     |  
     |  pe = pefile.PE('module.dll')
     |  pe = pefile.PE(name='module.dll')
     |  
     |  would load 'module.dll' and process it. If the data is already
     |  available in a buffer the same can be achieved with:
     |  
     |  pe = pefile.PE(data=module_dll_data)
     |  
     |  The "fast_load" can be set to a default by setting its value in the
     |  module itself by means, for instance, of a "pefile.fast_load = True".
     |  That will make all the subsequent instances not to load the
     |  whole PE structure. The "full_load" method can be used to parse
     |  the missing data at a later stage.
     |  
     |  Basic headers information will be available in the attributes:
     |  
     |  DOS_HEADER
     |  NT_HEADERS
     |  FILE_HEADER
     |  OPTIONAL_HEADER
     |  
     |  All of them will contain among their attributes the members of the
     |  corresponding structures as defined in WINNT.H
     |  
     |  The raw data corresponding to the header (from the beginning of the
     |  file up to the start of the first section) will be available in the
     |  instance's attribute 'header' as a string.
     |  
     |  The sections will be available as a list in the 'sections' attribute.
     |  Each entry will contain as attributes all the structure's members.
     |  
     |  Directory entries will be available as attributes (if they exist):
     |  (no other entries are processed at this point)
     |  
     |  DIRECTORY_ENTRY_IMPORT (list of ImportDescData instances)
     |  DIRECTORY_ENTRY_EXPORT (ExportDirData instance)
     |  DIRECTORY_ENTRY_RESOURCE (ResourceDirData instance)
     |  DIRECTORY_ENTRY_DEBUG (list of DebugData instances)
     |  DIRECTORY_ENTRY_BASERELOC (list of BaseRelocationData instances)
     |  DIRECTORY_ENTRY_TLS
     |  DIRECTORY_ENTRY_BOUND_IMPORT (list of BoundImportData instances)
     |  
     |  The following dictionary attributes provide ways of mapping different
     |  constants. They will accept the numeric value and return the string
     |  representation and the opposite, feed in the string and get the
     |  numeric constant:
     |  
     |  DIRECTORY_ENTRY
     |  IMAGE_CHARACTERISTICS
     |  SECTION_CHARACTERISTICS
     |  DEBUG_TYPE
     |  SUBSYSTEM_TYPE
     |  MACHINE_TYPE
     |  RELOCATION_TYPE
     |  RESOURCE_TYPE
     |  LANG
     |  SUBLANG
    ......

**第三步，撰写代码获取PE文件的方法和属性，比如section。**

import pefile
    import os,string,shutil,re
    
    PEfile_Path = "MFCApplication.exe"
    
    #解析PE文件
    pe = pefile.PE(PEfile_Path)
    print(type(pe))
    print(pe)
    
    #查看方法和属性
    print(dir(pefile.PE))
    for section in pe.sections:
        print(section)

输出如下结果：

![在这里插入图片描述][watermark_type_ZmFuZ3poZW5naGVpdGk_shadow_10_text_aHR0cHM6Ly9ibG9nLmNzZG4ubmV0L0Vhc3Rtb3VudA_size_16_color_FFFFFF_t_70_pic_center 30]

获取导入表信息代码如下：

import pefile
    import os,string,shutil,re
    
    PEfile_Path = "MFCApplication.exe"
    
    #解析PE文件
    pe = pefile.PE(PEfile_Path)
    print(type(pe))
    print(pe)
    
    #获取导入表信息
    for item in pe.DIRECTORY_ENTRY_IMPORT:
        print(item.dll)
        for con in item.imports:
            print(con.name)
        print("") #换行

输出如下所示的结果，包括KERNEL32.dll、USER32.dll等。

b'KERNEL32.dll'
    b'RtlUnwind'
    b'GetModuleHandleExW'
    b'GetCommandLineA'
    b'GetSystemInfo'
    b'CreateThread'
    ...
    
    b'USER32.dll'
    b'DlgDirSelectExA'
    b'FindWindowExA'
    b'FindWindowA'
    b'SetParent'
    b'ChildWindowFromPointEx'
    ...
    
    b'GDI32.dll'
    b'CreateEllipticRgn'
    b'CreateFontIndirectA'
    b'CreateHatchBrush'
    b'CreateICA'
    b'CreatePalette'
    b'CreatePen'
    ...
    
    b'MSIMG32.dll'
    b'AlphaBlend'
    b'GradientFill'
    b'TransparentBlt'
    
    b'ADVAPI32.dll'
    b'RegCloseKey'
    b'RegQueryValueExA'
    b'RegCreateKeyExA'
    b'RegDeleteKeyA'
    ...
    
    b'SHELL32.dll'
    b'SHGetPathFromIDListA'
    b'SHGetSpecialFolderLocation'
    b'SHBrowseForFolderA'
    b'SHGetDesktopFolder'
    b'DragAcceptFiles'
    ...
    
    b'COMCTL32.dll'
    b'InitCommonControlsEx'
    
    ...

对应010editor的PE软件分析结果如下：

![在这里插入图片描述][watermark_type_ZmFuZ3poZW5naGVpdGk_shadow_10_text_aHR0cHM6Ly9ibG9nLmNzZG4ubmV0L0Vhc3Rtb3VudA_size_16_color_FFFFFF_t_70_pic_center 31]

**第四步，分析文件结构及时间戳位置。**  
同样，我们可以使用stud\_PE查看文件属性，该软件用于显示头部、DOs、区段、函数等信息，包括导入表、导出表等，显示该EXE程序加载的DLL文件及函数。

![在这里插入图片描述][watermark_type_ZmFuZ3poZW5naGVpdGk_shadow_10_text_aHR0cHM6Ly9ibG9nLmNzZG4ubmV0L0Vhc3Rtb3VudA_size_16_color_FFFFFF_t_70_pic_center 32]

这里我们最关心的内容是“TimeDateStamp”，接下来想办法获取它即可。

typedef     struct _IMAGE_FILE_HEADER 
    { 
    	+04h    WORD        Machine;              // 运行平台
    	+06h    WORD        NumberOfSections;     // 文件的区块数目
    	+08h    DWORD       TimeDateStamp;        // 文件创建日期和时间
    	+0Ch    DWORD       PointerToSymbolTable; // 指向符号表(主要用于调试)
    	+10h    DWORD       NumberOfSymbols;      // 符号表中符号个数(同上)
    	+14h    WORD        SizeOfOptionalHeader; // IMAGE_OPTIONAL_HEADER32 结构大小
    	+16h    WORD        Characteristics;      // 文件属性
    } IMAGE_FILE_HEADER, *PIMAGE_FILE_HEADER;

对应的Python包返回的值如下所示：

![在这里插入图片描述][watermark_type_ZmFuZ3poZW5naGVpdGk_shadow_10_text_aHR0cHM6Ly9ibG9nLmNzZG4ubmV0L0Vhc3Rtb3VudA_size_16_color_FFFFFF_t_70_pic_center 33]

**第五步，接着我们通过pe.DOS\_HEADER、pe.FILE\_HEADER等方法获取对应的内容。**

import pefile
    import os,string,shutil,re
    
    PEfile_Path = "MFCApplication.exe"
    
    #解析PE文件
    pe = pefile.PE(PEfile_Path, fast_load=True)
    print(type(pe))
    print(pe)
    
    #显示DOS_HEADER
    print(pe.DOS_HEADER,"\n")
    
    #显示NT_HEADERS
    print(pe.NT_HEADERS,"\n")
    
    #显示FILE_HEADER
    print(pe.FILE_HEADER,"\n")
    
    #显示OPTIONAL_HEADER
    print(pe.OPTIONAL_HEADER,"\n")

输出如下图所示的结构，其中时间戳也在其中。

![在这里插入图片描述][watermark_type_ZmFuZ3poZW5naGVpdGk_shadow_10_text_aHR0cHM6Ly9ibG9nLmNzZG4ubmV0L0Vhc3Rtb3VudA_size_16_color_FFFFFF_t_70_pic_center 34]

作者本想通过它指定的方法提取对应的值，但一直失败，但作为长期从事NLP和数据挖掘的程序员，这都不是事，我们通过正则表达式即可提取所需知识。

import pefile
    import os,string,shutil,re
    
    PEfile_Path = "MFCApplication.exe"
    
    #解析PE文件
    pe = pefile.PE(PEfile_Path, fast_load=True)
    print(type(pe))
    print(pe)
    print(pe.get_imphash())
    
    #显示DOS_HEADER
    dh = pe.DOS_HEADER
    
    #显示NT_HEADERS
    nh = pe.NT_HEADERS
    
    #显示FILE_HEADER
    fh = pe.FILE_HEADER
    
    #显示OPTIONAL_HEADER
    oh = pe.OPTIONAL_HEADER
    
    print(type(fh)) #<class 'pefile.Structure'>
    print(str(fh))
    
    #通过正则表达式获取时间
    p = re.compile(r'[[](.*?)[]]', re.I|re.S|re.M)   #最小匹配
    res = re.findall(p, str(fh))
    print(res[1])                                    #第一个值是IMAGE_FILE_HEADER
    # Fri Jun 19 10:46:21 2020 UTC

**最终输出结果如下所示，这样我们就完成了Python自动化提取PE软件的时间戳过程。任何一个PE软件都能进行提取，该时间戳也记录了软件的编译时间。**

<class 'pefile.PE'>
    Squeezed text(347 lines).
    
    <class 'pefile.Structure'>
    [IMAGE_FILE_HEADER]
    0x10C      0x0   Machine:                       0x14C     
    0x10E      0x2   NumberOfSections:              0xA       
    0x110      0x4   TimeDateStamp:                 0x5EEC977D [Fri Jun 19 10:46:21 2020 UTC]
    0x114      0x8   PointerToSymbolTable:          0x0       
    0x118      0xC   NumberOfSymbols:               0x0       
    0x11C      0x10  SizeOfOptionalHeader:          0xE0      
    0x11E      0x12  Characteristics:               0x102     
    
    Fri Jun 19 10:46:21 2020 UTC

--------------------

# 四.时间戳判断来源地区 #

## 1.UTC时间转换 ##

协调世界时，又称世界统一时间、世界标准时间、国际协调时间。由于英文（CUT）和法文（TUC）的缩写不同，作为妥协，简称UTC。协调世界时是以原子时秒长为基础，在时刻上尽量接近于世界时的一种时间计量系统。Python时间解析代码如下：

import pefile
    import time
    import datetime
    import os,string,shutil,re
    
    PEfile_Path = "MFCApplication.exe"
    
    #----------------------------------第一步 解析PE文件-------------------------------
    pe = pefile.PE(PEfile_Path, fast_load=True)
    print(type(pe))
    print(pe)
    print(pe.get_imphash())
    
    #显示DOS_HEADER
    dh = pe.DOS_HEADER
    
    #显示NT_HEADERS
    nh = pe.NT_HEADERS
    
    #显示FILE_HEADER
    fh = pe.FILE_HEADER
    
    #显示OPTIONAL_HEADER
    oh = pe.OPTIONAL_HEADER
    
    print(type(fh)) #<class 'pefile.Structure'>
    print(str(fh))
    
    #----------------------------------第二步 获取UTC时间-------------------------------
    #通过正则表达式获取时间
    p = re.compile(r'[[](.*?)[]]', re.I|re.S|re.M)   #最小匹配
    res = re.findall(p, str(fh))
    print(res[1])                                    #第一个值是IMAGE_FILE_HEADER
    res_time = res[1].replace(" UTC","")
    # Fri Jun 19 10:46:21 2020 UTC
    
    #获取当前时间
    t = time.ctime()
    print(t)                                         # Thu Jul 16 20:42:18 2020
    final_time = datetime.datetime.strptime(res_time, '%a %b %d %H:%M:%S %Y')
    print(final_time)
    # 2020-06-19 10:46:21

输出结果如下，可以看到该EXE的创建时间。如果想转换成时间戳可以进一步处理。

*  **Fri Jun 19 10:46:21 2020 UTC**
 *  **2020-06-19 10:46:21**

接下来我们需要进一步分析，根据时间戳判断所在区域。

--------------------

## 2.时区APT溯源案例（白象） ##

作者在“[七十四.APT攻击检测溯源与常见APT组织的攻击案例][.APT_APT]”文章中普及过，安天公司通过时区溯源白象APT来自南亚地区，这里再进行回顾下。

> 在过去的四年中，安天的工程师们关注到了中国的机构和用户反复遭遇来自“西南方向”的网络入侵尝试。这些攻击虽进行了一些掩盖和伪装，我们依然可以将其推理回原点——来自南亚次大陆的某个国家。
> 
>  *  参考文章：[白象的舞步——来自南亚次大陆的网络攻击][Link 1]

安天在2014年4月相关文章中披露的针对中国两所大学被攻击的事件，涉及以下六个样本。其中五个样本投放至同一个目标，这些样本间呈现出模块组合作业的特点。

*  4号样本是初始投放样本，其具有下载其他样本功能
 *  3号样本提取主机相关信息生成日志文件
 *  5号样本负责上传
 *  6号样本采集相关文档文件信息
 *  2号样本则是一个键盘记录器

![在这里插入图片描述][20200511171245813.png_pic_center]

**那么，如何溯源该组织所来自的区域呢？**  
安天通过对样本集的时间戳、时区分析进行分析，发现其来自南亚。样本时间戳是一个十六进制的数据，存储在PE文件头里，该值一般由编译器在开发者创建可执行文件时自动生成，时间单位细化到秒，通常可以认为该值为样本生成时间（GMT时间）。

![在这里插入图片描述][2020051117141964.png_pic_center]

时间戳的分析需要收集所有可用的可执行文件时间戳，并剔除过早的和明显人为修改的时间，再将其根据特定标准分组统计，如每周的天或小时，并以图形的形式体现，下图是通过小时分组统计结果：

![在这里插入图片描述][20200511171437853.png_pic_center]

从上图的统计结果来看，如果假设攻击者的工作时间是早上八九点至下午五六点的话，那么将工作时间匹配到一个来自UTC+4或UTC+5时区的攻击者的工作时间。根据我们匹配的攻击者所在时区（UTC+4 或UTC+5），再对照世界时区分布图，就可以来推断攻击者所在的区域或国家。

![在这里插入图片描述][20200511171500888.png_pic_center]

接着对该攻击组织进行更深入的分析。对这一攻击组织继续综合线索，基于互联网公开信息，进行了画像分析，认为这是一个由10~16人的组成的攻击小组。其中六人的用户ID是cr01nk 、neeru rana、andrew、Yash、Ita nagar、Naga。

![在这里插入图片描述][20200511171604241.png_pic_center]

在安天的跟踪分析中，发现该组织的部分C&C地址是一些正常的网站，经过分析我们认为，有可能该组织入侵了这些网站，将自己的C&C服务控制代码放到它们的服务器上，以此来隐藏自己的IP信息。同时这种方式还会使安全软件认为连接的是正常的网站，而不会触发安全警报。

基于现有资源可以分析出，“白象二代”组织一名开发人员的ID为“Kanishk”，通过维基百科查询到一个类似单词“Kanishka”，这是一个是梵文译音，中文翻译为“迦腻色迦”，迦腻色伽是贵霜帝国（Kushan Empire）的君主，贵霜帝国主要控制范围在印度河流域。至此推测该APT组织来自南亚某国。

![在这里插入图片描述][20200511171722766.png_pic_center]

通过这个案例，我们可以通过时区、公开信息、黑客ID、C&C域名进行溯源，并一步步递进。

--------------------

## 3.时间戳分析 ##

比如当前北京时间是2020年7月16日晚上9点3分，而UTC时间是13点3分。

![在这里插入图片描述][20200716210436102.png_pic_center]

**但这里存在一个问题，当有很多恶意样本的时候，我们基于多个样本时间戳并结合正常作息时间进行分析，才能判断其来源。但是，如果仅从一个样本进行分析，其准确率还是会有影响，有的恶意软件是深夜发布，也影响了该方法的准确性，同时混淆、加壳、对抗样本也能影响我们的实验效果，但作者仅是提供了一种方法，更深入的研究还在继续，如果您有好的方法也欢迎和我讨论。**

![在这里插入图片描述][watermark_type_ZmFuZ3poZW5naGVpdGk_shadow_10_text_aHR0cHM6Ly9ibG9nLmNzZG4ubmV0L0Vhc3Rtb3VudA_size_16_color_FFFFFF_t_70_pic_center 35]

这里我们PE软件获取的时间是“2020-06-19 10:46:21”，对应北京时间是19点46分。因为作者习惯晚上写代码，但如果是软件或恶意样本，大公司通常会有正常的作息，从而可以结合海量数据分析来确定最终的软件来源地区或国家。

*  **Fri Jun 19 10:46:21 2020 UTC**
 *  **2020-06-19 10:46:21**

此时的Python代码如下：

import pefile
    import time
    import warnings
    import datetime
    import os,string,shutil,re
    
    #忽略警告
    warnings.filterwarnings("ignore")
    
    PEfile_Path = "MFCApplication.exe"
    
    #----------------------------------第一步 解析PE文件-------------------------------
    pe = pefile.PE(PEfile_Path, fast_load=True)
    print(type(pe))
    print(pe)
    print(pe.get_imphash())
    
    #显示DOS_HEADER
    dh = pe.DOS_HEADER
    
    #显示NT_HEADERS
    nh = pe.NT_HEADERS
    
    #显示FILE_HEADER
    fh = pe.FILE_HEADER
    
    #显示OPTIONAL_HEADER
    oh = pe.OPTIONAL_HEADER
    
    print(type(fh)) #<class 'pefile.Structure'>
    print(str(fh))
    
    #----------------------------------第二步 获取UTC时间-------------------------------
    #通过正则表达式获取时间
    p = re.compile(r'[[](.*?)[]]', re.I|re.S|re.M)   #最小匹配
    res = re.findall(p, str(fh))
    print(res[1])                                    #第一个值是IMAGE_FILE_HEADER
    res_time = res[1].replace(" UTC","")
    # Fri Jun 19 10:46:21 2020 UTC
    
    #获取当前时间
    t = time.ctime()
    print(t,"\n")                                    # Thu Jul 16 20:42:18 2020
    utc_time = datetime.datetime.strptime(res_time, '%a %b %d %H:%M:%S %Y')
    print("UTC Time:", utc_time)
    # 2020-06-19 10:46:21
    
    #----------------------------------第三步 全球时区转换-------------------------------
    #http://zh.thetimenow.com/india
    #UTC时间比北京时间晚八个小时 故用timedelta方法加上八个小时
    china_time = datetime.datetime.strptime(res_time, '%a %b %d %H:%M:%S %Y') + datetime.timedelta(hours=8)
    print("China Time:",china_time)
    
    #美国 UTC-5
    america_time = datetime.datetime.strptime(res_time, '%a %b %d %H:%M:%S %Y') - datetime.timedelta(hours=5)
    print("America Time:",america_time)
    
    #印度 UTC+5
    india_time = datetime.datetime.strptime(res_time, '%a %b %d %H:%M:%S %Y') + datetime.timedelta(hours=5)
    print("India Time:",india_time)
    
    #澳大利亚 UTC+10
    australia_time = datetime.datetime.strptime(res_time, '%a %b %d %H:%M:%S %Y') + datetime.timedelta(hours=10)
    print("Australia Time",australia_time)
    
    #俄罗斯 UTC+3
    russia_time = datetime.datetime.strptime(res_time, '%a %b %d %H:%M:%S %Y') + datetime.timedelta(hours=3)
    print("Russia Time",russia_time)
    
    #英国 UTC+0
    england_time = datetime.datetime.strptime(res_time, '%a %b %d %H:%M:%S %Y')
    print("England Time",england_time)
    
    #日本 UTC+9
    japan_time = datetime.datetime.strptime(res_time, '%a %b %d %H:%M:%S %Y') + datetime.timedelta(hours=9)
    print("Japan Time",england_time)
    
    #德国 UTC+1
    germany_time = datetime.datetime.strptime(res_time, '%a %b %d %H:%M:%S %Y') + datetime.timedelta(hours=1)
    print("Germany Time",germany_time)
    
    #法国 UTC+1
    france_time = datetime.datetime.strptime(res_time, '%a %b %d %H:%M:%S %Y') + datetime.timedelta(hours=1)
    print("France Time",france_time)
    
    #加拿大 UTC-5
    canada_time = datetime.datetime.strptime(res_time, '%a %b %d %H:%M:%S %Y') - datetime.timedelta(hours=5)
    print("Canada Time:",canada_time)
    
    #越南 UTC+7 
    vietnam_time = datetime.datetime.strptime(res_time, '%a %b %d %H:%M:%S %Y') + datetime.timedelta(hours=7)
    print("Vietnam Time:",vietnam_time)

输出结果如下图所示，不同地区有对应的时间分布，如果正常作息是早上9点到12点、下午2点到5点，从结果看更像是来自India、England、Japan等地区。当然，只有恶意样本很多的时候，我们才能进行更好的溯源，哈哈~

![在这里插入图片描述][watermark_type_ZmFuZ3poZW5naGVpdGk_shadow_10_text_aHR0cHM6Ly9ibG9nLmNzZG4ubmV0L0Vhc3Rtb3VudA_size_16_color_FFFFFF_t_70_pic_center 36]

--------------------

# 五.总结 #

写到这里，这篇文章就介绍完毕，希望对您有所帮助，最后进行简单的总结下作者的猜想。

本文尝试的是最简单的方法，所以也存在很多问题，比如当有很多恶意样本的时候，我们才能基于多个样本时间戳并结合正常作息时间进行分析，才能判断其来源。如果仅从一个样本进行分析，其准确率还是会有影响，有的恶意软件是深夜发布，也影响了该方法的准确性，同时混淆、加壳、对抗样本也能影响我们的实验效果，但作者仅是提供了一种方法，更深入的研究还在继续，如果您有好的方法也欢迎和我讨论。

最后欢迎大家讨论如何判断PE软件或APP来源哪个国家或地区呢？印度又是如何确保一键正确卸载中国APP呢？哈哈，未知攻，焉知防。加油~

**学安全一年，认识了很多安全大佬和朋友，希望大家一起进步。这篇文章中如果存在一些不足，还请海涵。作者作为网络安全初学者的慢慢成长路吧！希望未来能更透彻撰写相关文章。同时非常感谢参考文献中的安全大佬们的文章分享，深知自己很菜，得努力前行。**

《珈国情》  
明月千里两相思，  
清风缕缕寄离愁。  
燕归珞珈花已谢，  
情满景逸映深秋。  
最感恩的永远是家人的支持，知道为啥而来，知道要做啥，知道努力才能回去。  
夜已深，虽然笨，但还得奋斗。

欢迎大家讨论，是否觉得这系列文章帮助到您！任何建议都可以评论告知读者，共勉。

(By:Eastmount 2020-07-30 星期五 夜于东西湖 [http://blog.csdn.net/eastmount/][http_blog.csdn.net_eastmount] )

--------------------

参考文献：  
\[1\] [\[网络安全自学篇\] 六十二.PE文件逆向之PE文件解析、PE编辑工具使用和PE结构修改（三）][_.PE_PE_PE_PE 1]  
\[2\] [白象的舞步——来自南亚次大陆的网络攻击][Link 1]  
\[3\] [https://xz.aliyun.com/t/2688][https_xz.aliyun.com_t_2688]  
\[4\] [\[原创\]利用python+pefile库做PE格式文件的快速开发 - jmpjerryy][python_pefile_PE_ - jmpjerryy]  
\[5\] [python 时间类型和相互转换 - shhnwangjian][python _ - shhnwangjian]

[https_github.com_eastmountyxz_SystemSecurity-ReverseAnalysis]: https://github.com/eastmountyxz/SystemSecurity-ReverseAnalysis
[https_github.com_eastmountyxz_NetworkSecuritySelf-study]: https://github.com/eastmountyxz/NetworkSecuritySelf-study
[-100]: https://blog.csdn.net/eastmount/category_9183790.html
[_.]: https://blog.csdn.net/eastmount/article/details/108708564
[_. 1]: https://blog.csdn.net/eastmount/article/details/108832086
[_.IDA Pro]: https://blog.csdn.net/eastmount/article/details/108881705
[_.OllyDbg_Crakeme]: https://blog.csdn.net/Eastmount/article/details/108956863
[_.OllyDbg_Cheat Engine]: https://blog.csdn.net/Eastmount/article/details/109107692
[_. 2]: https://blog.csdn.net/Eastmount/article/details/110944699
[_._PE_C_OllyDbg]: https://blog.csdn.net/Eastmount/article/details/111027618
[_.Windows_CVE-2019-0708]: https://blog.csdn.net/Eastmount/article/details/111085560
[_.Windows_MS08-067]: https://blog.csdn.net/Eastmount/article/details/111341612
[_.Windows_SMBv3_CVE-2020-0796]: https://blog.csdn.net/Eastmount/article/details/111518785
[_._PE]: https://blog.csdn.net/Eastmount/article/details/111706890
[_._IDA_OD]: https://blog.csdn.net/Eastmount/article/details/111769346
[_._IDA_OD 1]: https://blog.csdn.net/Eastmount/article/details/111999346
[_._IDA_OD 2]: https://blog.csdn.net/Eastmount/article/details/111712482
[_.Chrome]: https://blog.csdn.net/Eastmount/article/details/112852434
[_.PE_PE_PE_PE]: https://blog.csdn.net/Eastmount/article/details/113141466
[_.Windows PE]: https://blog.csdn.net/Eastmount/article/details/113527586
[_._WinRAR]: https://blog.csdn.net/Eastmount/article/details/113574883
[_._APT28]: https://blog.csdn.net/Eastmount/article/details/113619336
[_.PE_Signtool]: https://blog.csdn.net/Eastmount/article/details/113744316
[_.PE_Signcode_PEView_010Editor_Asn1View]: https://blog.csdn.net/Eastmount/article/details/113774264
[_.PE_CVE-2020-0601_Windows]: https://blog.csdn.net/Eastmount/article/details/113829876
[_._OllyDbg_TraceMe]: https://blog.csdn.net/Eastmount/article/details/113923604
[_._OllyDbg_INT3]: https://blog.csdn.net/Eastmount/article/details/113964355
[_.WannaCry_ _1_Python]: https://blog.csdn.net/Eastmount/article/details/114194949
[_.WannaCry_ _2_MS17-010]: https://blog.csdn.net/Eastmount/article/details/114274291
[_.WannaCry_ _3_IDA_OD]: https://blog.csdn.net/Eastmount/article/details/114457643
[_.WannaCry_ _4]: https://blog.csdn.net/Eastmount/article/details/114649732
[_. 3]: https://blog.csdn.net/Eastmount/article/details/115034636
[_.CS_ _1_Cheat Engine]: https://blog.csdn.net/Eastmount/article/details/115839038
[_._1]: https://blog.csdn.net/Eastmount/article/details/118080456
[_._2]: https://blog.csdn.net/Eastmount/article/details/118812496
[20200325192255451.png_pic_center]: /images/20220829/4631f6b7a3c94d6ab726444b8da319bb.png
[watermark_type_ZmFuZ3poZW5naGVpdGk_shadow_10_text_aHR0cHM6Ly9ibG9nLmNzZG4ubmV0L0Vhc3Rtb3VudA_size_16_color_FFFFFF_t_70_pic_center]: /images/20220829/7e0cea6cbf74470d87e7879613c54be8.png
[watermark_type_ZmFuZ3poZW5naGVpdGk_shadow_10_text_aHR0cHM6Ly9ibG9nLmNzZG4ubmV0L0Vhc3Rtb3VudA_size_16_color_FFFFFF_t_70_pic_center 1]: /images/20220829/52e64e8a975248a8b16667cc2a44d455.png
[watermark_type_ZmFuZ3poZW5naGVpdGk_shadow_10_text_aHR0cHM6Ly9ibG9nLmNzZG4ubmV0L0Vhc3Rtb3VudA_size_16_color_FFFFFF_t_70_pic_center 2]: /images/20220829/760e56157c234a148c279e65d4580436.png
[20200325192717800.png_pic_center]: /images/20220829/b4da929851b445379ba1e726f32da16d.png
[watermark_type_ZmFuZ3poZW5naGVpdGk_shadow_10_text_aHR0cHM6Ly9ibG9nLmNzZG4ubmV0L0Vhc3Rtb3VudA_size_16_color_FFFFFF_t_70_pic_center 3]: /images/20220829/d3a5cbbe61cb4975952960d0d256d286.png
[watermark_type_ZmFuZ3poZW5naGVpdGk_shadow_10_text_aHR0cHM6Ly9ibG9nLmNzZG4ubmV0L0Vhc3Rtb3VudA_size_16_color_FFFFFF_t_70_pic_center 4]: /images/20220829/00860b7c5f104352ac846b3b2a8969f8.png
[watermark_type_ZmFuZ3poZW5naGVpdGk_shadow_10_text_aHR0cHM6Ly9ibG9nLmNzZG4ubmV0L0Vhc3Rtb3VudA_size_16_color_FFFFFF_t_70_pic_center 5]: /images/20220829/b436ded0cf0a405380b5a4f7cfde9163.png
[watermark_type_ZmFuZ3poZW5naGVpdGk_shadow_10_text_aHR0cHM6Ly9ibG9nLmNzZG4ubmV0L0Vhc3Rtb3VudA_size_16_color_FFFFFF_t_70_pic_center 6]: /images/20220829/245c8e72cdc048b7b28b06ebbfa64987.png
[watermark_type_ZmFuZ3poZW5naGVpdGk_shadow_10_text_aHR0cHM6Ly9ibG9nLmNzZG4ubmV0L0Vhc3Rtb3VudA_size_16_color_FFFFFF_t_70_pic_center 7]: /images/20220829/564cbbf1f1ec4cbea1715ebf21516927.png
[watermark_type_ZmFuZ3poZW5naGVpdGk_shadow_10_text_aHR0cHM6Ly9ibG9nLmNzZG4ubmV0L0Vhc3Rtb3VudA_size_16_color_FFFFFF_t_70_pic_center 8]: /images/20220829/69ee9af311204b27aa966c698b7bf5a7.png
[20200325150601281.png_pic_center]: /images/20220829/8d48540738794cd9bdab5d1041a84f2c.png
[watermark_type_ZmFuZ3poZW5naGVpdGk_shadow_10_text_aHR0cHM6Ly9ibG9nLmNzZG4ubmV0L0Vhc3Rtb3VudA_size_16_color_FFFFFF_t_70_pic_center 9]: /images/20220829/81e3b18687ac4ff8a270ef2640e09189.png
[watermark_type_ZmFuZ3poZW5naGVpdGk_shadow_10_text_aHR0cHM6Ly9ibG9nLmNzZG4ubmV0L0Vhc3Rtb3VudA_size_16_color_FFFFFF_t_70_pic_center 10]: /images/20220829/dcc046d048f54e08bdcfdb43ea2f2f29.png
[20200325152350672.png_pic_center]: /images/20220829/27f5de55d23f47729d5887e40def6d30.png
[watermark_type_ZmFuZ3poZW5naGVpdGk_shadow_10_text_aHR0cHM6Ly9ibG9nLmNzZG4ubmV0L0Vhc3Rtb3VudA_size_16_color_FFFFFF_t_70_pic_center 11]: /images/20220829/fce3cfc444ff45fba8758ecfdeb71ea8.png
[watermark_type_ZmFuZ3poZW5naGVpdGk_shadow_10_text_aHR0cHM6Ly9ibG9nLmNzZG4ubmV0L0Vhc3Rtb3VudA_size_16_color_FFFFFF_t_70_pic_center 12]: /images/20220829/89177c0e9aed464eb5b121b530e5d296.png
[20200325204426291.png_pic_center]: /images/20220829/ebe31ffae68f4ae9ba1300aac305997e.png
[watermark_type_ZmFuZ3poZW5naGVpdGk_shadow_10_text_aHR0cHM6Ly9ibG9nLmNzZG4ubmV0L0Vhc3Rtb3VudA_size_16_color_FFFFFF_t_70_pic_center 13]: /images/20220829/bd14b76a206d48faa3c2e3ca19bd0a23.png
[watermark_type_ZmFuZ3poZW5naGVpdGk_shadow_10_text_aHR0cHM6Ly9ibG9nLmNzZG4ubmV0L0Vhc3Rtb3VudA_size_16_color_FFFFFF_t_70_pic_center 14]: /images/20220829/4e74aafa81214cdaa9137ed9d044bf89.png
[20200325154943404.png_pic_center]: /images/20220829/b0c6a8864ab9473bbe180dd9d146aa45.png
[watermark_type_ZmFuZ3poZW5naGVpdGk_shadow_10_text_aHR0cHM6Ly9ibG9nLmNzZG4ubmV0L0Vhc3Rtb3VudA_size_16_color_FFFFFF_t_70_pic_center 15]: /images/20220829/9f3634e6367344a29ecf3ab0560d7359.png
[watermark_type_ZmFuZ3poZW5naGVpdGk_shadow_10_text_aHR0cHM6Ly9ibG9nLmNzZG4ubmV0L0Vhc3Rtb3VudA_size_16_color_FFFFFF_t_70_pic_center 16]: /images/20220829/33b57f42b2b44b8aaebeb29b4b07ed13.png
[watermark_type_ZmFuZ3poZW5naGVpdGk_shadow_10_text_aHR0cHM6Ly9ibG9nLmNzZG4ubmV0L0Vhc3Rtb3VudA_size_16_color_FFFFFF_t_70_pic_center 17]: /images/20220829/50f574b2ef7c416fb302b1864ad1f63b.png
[watermark_type_ZmFuZ3poZW5naGVpdGk_shadow_10_text_aHR0cHM6Ly9ibG9nLmNzZG4ubmV0L0Vhc3Rtb3VudA_size_16_color_FFFFFF_t_70_pic_center 18]: /images/20220829/7a4aceff14e948c99a106c8ed70b3a00.png
[watermark_type_ZmFuZ3poZW5naGVpdGk_shadow_10_text_aHR0cHM6Ly9ibG9nLmNzZG4ubmV0L0Vhc3Rtb3VudA_size_16_color_FFFFFF_t_70_pic_center 19]: /images/20220829/b93ca91a3d5f44fc9a1a851af757a91a.png
[watermark_type_ZmFuZ3poZW5naGVpdGk_shadow_10_text_aHR0cHM6Ly9ibG9nLmNzZG4ubmV0L0Vhc3Rtb3VudA_size_16_color_FFFFFF_t_70_pic_center 20]: /images/20220829/8e24e684576e4c3086ab7aebb0e5596f.png
[watermark_type_ZmFuZ3poZW5naGVpdGk_shadow_10_text_aHR0cHM6Ly9ibG9nLmNzZG4ubmV0L0Vhc3Rtb3VudA_size_16_color_FFFFFF_t_70_pic_center 21]: /images/20220829/e7b8fb32aab548c2b5ae1e983b128655.png
[watermark_type_ZmFuZ3poZW5naGVpdGk_shadow_10_text_aHR0cHM6Ly9ibG9nLmNzZG4ubmV0L0Vhc3Rtb3VudA_size_16_color_FFFFFF_t_70_pic_center 22]: /images/20220829/8caadf8ad02a4e1a9c5264b2348c53e8.png
[watermark_type_ZmFuZ3poZW5naGVpdGk_shadow_10_text_aHR0cHM6Ly9ibG9nLmNzZG4ubmV0L0Vhc3Rtb3VudA_size_16_color_FFFFFF_t_70_pic_center 23]: /images/20220829/bfb2e32db40441eba62ce767a658a5dd.png
[watermark_type_ZmFuZ3poZW5naGVpdGk_shadow_10_text_aHR0cHM6Ly9ibG9nLmNzZG4ubmV0L0Vhc3Rtb3VudA_size_16_color_FFFFFF_t_70_pic_center 24]: /images/20220829/a4d756a14e944ac2bfed160297194437.png
[watermark_type_ZmFuZ3poZW5naGVpdGk_shadow_10_text_aHR0cHM6Ly9ibG9nLmNzZG4ubmV0L0Vhc3Rtb3VudA_size_16_color_FFFFFF_t_70_pic_center 25]: /images/20220829/b70332d75ffc4944a70a7b639d65087c.png
[https_github.com_erocarrera_pefile]: https://github.com/erocarrera/pefile
[https_pypi.org_project_pefile]: https://pypi.org/project/pefile/
[https_github.com_erocarrera_pefile_releases]: https://github.com/erocarrera/pefile/releases
[watermark_type_ZmFuZ3poZW5naGVpdGk_shadow_10_text_aHR0cHM6Ly9ibG9nLmNzZG4ubmV0L0Vhc3Rtb3VudA_size_16_color_FFFFFF_t_70_pic_center 26]: /images/20220829/0adb827259b941f592472ac3fba07a37.png
[.Windows_Session 0_APC]: https://blog.csdn.net/Eastmount/article/details/106929277
[watermark_type_ZmFuZ3poZW5naGVpdGk_shadow_10_text_aHR0cHM6Ly9ibG9nLmNzZG4ubmV0L0Vhc3Rtb3VudA_size_16_color_FFFFFF_t_70_pic_center 27]: /images/20220829/5c416766365e4b33a1dee7cc2e9e13aa.png
[watermark_type_ZmFuZ3poZW5naGVpdGk_shadow_10_text_aHR0cHM6Ly9ibG9nLmNzZG4ubmV0L0Vhc3Rtb3VudA_size_16_color_FFFFFF_t_70_pic_center 28]: /images/20220829/8c2a5940dd374b179949f32b98d788d9.png
[20200716161401164.png_pic_center]: /images/20220829/cebadb1d777b4a8d82f7219c7cbeac9d.png
[watermark_type_ZmFuZ3poZW5naGVpdGk_shadow_10_text_aHR0cHM6Ly9ibG9nLmNzZG4ubmV0L0Vhc3Rtb3VudA_size_16_color_FFFFFF_t_70_pic_center 29]: /images/20220829/4bab1f2ad4154600994787426e42e872.png
[watermark_type_ZmFuZ3poZW5naGVpdGk_shadow_10_text_aHR0cHM6Ly9ibG9nLmNzZG4ubmV0L0Vhc3Rtb3VudA_size_16_color_FFFFFF_t_70_pic_center 30]: /images/20220829/1f57862444364357866d5eb86534f5b6.png
[watermark_type_ZmFuZ3poZW5naGVpdGk_shadow_10_text_aHR0cHM6Ly9ibG9nLmNzZG4ubmV0L0Vhc3Rtb3VudA_size_16_color_FFFFFF_t_70_pic_center 31]: /images/20220829/379d46174fb84995a9aa115eadb351f7.png
[watermark_type_ZmFuZ3poZW5naGVpdGk_shadow_10_text_aHR0cHM6Ly9ibG9nLmNzZG4ubmV0L0Vhc3Rtb3VudA_size_16_color_FFFFFF_t_70_pic_center 32]: /images/20220829/f63c0aa618d14459870e9ad0ae8e5939.png
[watermark_type_ZmFuZ3poZW5naGVpdGk_shadow_10_text_aHR0cHM6Ly9ibG9nLmNzZG4ubmV0L0Vhc3Rtb3VudA_size_16_color_FFFFFF_t_70_pic_center 33]: /images/20220829/41f7eaeb9e544b49b4cc6d75d5b94cc1.png
[watermark_type_ZmFuZ3poZW5naGVpdGk_shadow_10_text_aHR0cHM6Ly9ibG9nLmNzZG4ubmV0L0Vhc3Rtb3VudA_size_16_color_FFFFFF_t_70_pic_center 34]: /images/20220829/0546a1183bd448cfae25d82000718f6b.png
[.APT_APT]: https://blog.csdn.net/Eastmount/article/details/106009460
[Link 1]: https://www.antiy.com/response/WhiteElephant/WhiteElephant.html
[20200511171245813.png_pic_center]: /images/20220829/421ccfea81d14086afedcf6bb528489f.png
[2020051117141964.png_pic_center]: /images/20220829/92f0cf9401cc407196431a9b3f9abb43.png
[20200511171437853.png_pic_center]: /images/20220829/9e947e43a3d24000a279215be396edd8.png
[20200511171500888.png_pic_center]: /images/20220829/083f59cf3ba64f01a4cbedc3b3bb29d9.png
[20200511171604241.png_pic_center]: /images/20220829/5c2f33c7ea8842f58ccbe7b8588a5f4f.png
[20200511171722766.png_pic_center]: /images/20220829/a44a0800ee924599a02f52151b933b0a.png
[20200716210436102.png_pic_center]: /images/20220829/03e98628833d4e1f9dc6176960d55650.png
[watermark_type_ZmFuZ3poZW5naGVpdGk_shadow_10_text_aHR0cHM6Ly9ibG9nLmNzZG4ubmV0L0Vhc3Rtb3VudA_size_16_color_FFFFFF_t_70_pic_center 35]: /images/20220829/157baca0668d48c5b36b4725f6c74cb7.png
[watermark_type_ZmFuZ3poZW5naGVpdGk_shadow_10_text_aHR0cHM6Ly9ibG9nLmNzZG4ubmV0L0Vhc3Rtb3VudA_size_16_color_FFFFFF_t_70_pic_center 36]: /images/20220829/64c27f0ba5a64135896ff637a2c64b72.png
[http_blog.csdn.net_eastmount]: http://blog.csdn.net/eastmount/
[_.PE_PE_PE_PE 1]: https://blog.csdn.net/Eastmount/article/details/105080804
[https_xz.aliyun.com_t_2688]: https://xz.aliyun.com/t/2688
[python_pefile_PE_ - jmpjerryy]: https://bbs.pediy.com/thread-89838.htm
[python _ - shhnwangjian]: https://www.cnblogs.com/shhnwangjian/p/6117602.html