恶意代码分析实战-确认EXE什么时候编译的

场景

确认开源的后门在中毒机器上是什么版本，具有什么功能。

思路

1、查看样本PE里的编译时间
2、对照开源后门里组件的编译时间

技术点

查看NT头-TimeDateStamp

struct IMAGE_NT_HEADERS NtHeader		E8h	F8h	Fg: Bg:0xFFE0FF	
    time_t TimeDateStamp	12/19/2010 16:16:19	F0h	4h	Fg: Bg:0xFFE0FF	DWORD,from 01/01/1970 12:00 AM

参考

https://www.cnblogs.com/zheh/p/4008268.html

https://blog.csdn.net/baidu_41108490/article/list/1

posted @ 2019-01-11 13:04 17bdw 阅读(766) 评论(0) 编辑收藏举报

刷新页面返回顶部