1. 程式人生 > >惡意程式碼分析實戰-確認EXE什麼時候編譯的

惡意程式碼分析實戰-確認EXE什麼時候編譯的

場景

確認開源的後門在中毒機器上是什麼版本,具有什麼功能。

思路

1、檢視樣本PE裡的編譯時間
2、對照開源後門裡元件的編譯時間

技術點

檢視NT頭-TimeDateStamp

struct IMAGE_NT_HEADERS NtHeader        E8h F8h Fg: Bg:0xFFE0FF 
    time_t TimeDateStamp    12/19/2010 16:16:19 F0h 4h  Fg: Bg:0xFFE0FF DWORD,from 01/01/1970 12:00 AM

參考

https://www.cnblogs.com/zheh/p/4008268.html

https://blog.csdn.net/baidu_41108490/article/list/1