CN105653940B - 一种基于pe文件分析攻击者来源的方法及系统 - Google Patents

一种基于pe文件分析攻击者来源的方法及系统 Download PDF

Info

Publication number
CN105653940B
CN105653940B CN201510409741.XA CN201510409741A CN105653940B CN 105653940 B CN105653940 B CN 105653940B CN 201510409741 A CN201510409741 A CN 201510409741A CN 105653940 B CN105653940 B CN 105653940B
Authority
CN
China
Prior art keywords
attacker
file
time
stamp data
zone boundary
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
CN201510409741.XA
Other languages
English (en)
Other versions
CN105653940A (zh
Inventor
白淳升
李柏松
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Antiy Technology Group Co Ltd
Original Assignee
Harbin Antiy Technology Co Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Harbin Antiy Technology Co Ltd filed Critical Harbin Antiy Technology Co Ltd
Priority to CN201510409741.XA priority Critical patent/CN105653940B/zh
Publication of CN105653940A publication Critical patent/CN105653940A/zh
Application granted granted Critical
Publication of CN105653940B publication Critical patent/CN105653940B/zh
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Classifications

    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/50Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
    • G06F21/55Detecting local intrusion or implementing counter-measures
    • G06F21/554Detecting local intrusion or implementing counter-measures involving event detection and direct action

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Software Systems (AREA)
  • Theoretical Computer Science (AREA)
  • Computer Hardware Design (AREA)
  • Physics & Mathematics (AREA)
  • General Engineering & Computer Science (AREA)
  • General Physics & Mathematics (AREA)
  • Debugging And Monitoring (AREA)

Abstract

本发明公开了一种基于PE文件分析攻击者来源的方法,包括:提取待分析样本中的PE文件;获取所述PE文件的时间戳数据并确定攻击者所在的时区范围;获取所述PE文件的pdb调试路径信息并确定攻击者所使用的语言类型;基于攻击者所在的时区范围和所使用的语言类型确定攻击者所在的地区。本发明还公开了一种基于PE文件分析攻击者来源的系统。本发明所述技术方案能够根据已知攻击事件的PE文件,进而确定攻击者所在的国家或者地区,从而为进一步分析攻击事件提供线索。

Description

一种基于PE文件分析攻击者来源的方法及系统
技术领域
本发明涉及信息安全技术领域,尤其涉及一种基于PE文件分析攻击者来源的方法及系统。
背景技术
随着互联网技术的飞速发展,应用其技术的领域也越来越广泛,网络攻击事件也就频频出现。攻击者在攻击过程中往往会留下某些线索,通过对线索的分析可以获得攻击者来源等信息,进而更好的分析和定位攻击事件。目前对网络攻击来源的判断,主要根据攻击者使用服务器的IP的进行分析,然后确定对应的地理位置,这样的方法存在一些弊端,如:攻击者使用代理服务器、攻击者攻陷一些服务器将攻击程序部署在上面,这样会导致在分析中无法找到真正的攻击来源。
发明内容
本发明所述的技术方案对待分析样本的PE文件进行解析,获取时间戳数据和pdb调试路径信息,并分析确定攻击者所在的时区范围和所使用的语言类型,进而确定攻击者可能所在的国家或者地区。本发明提供的方法和系统有助于追踪网络攻击事件,并定位恶意攻击者所在的位置。
本发明采用如下方法来实现:一种基于PE文件分析攻击者来源的方法,包括:
提取待分析样本中的PE文件;
获取所述PE文件的时间戳数据并确定攻击者所在的时区范围;
获取所述PE文件的pdb调试路径信息并确定攻击者所使用的语言类型;
基于攻击者所在的时区范围和所使用的语言类型确定攻击者所在的地区。
进一步地,所述获取所述PE文件的时间戳数据并确定攻击者所在的时区范围,具体为:
获取所述PE文件在0时区下的时间戳数据,并依次转换为24个时区下的时间点;
将各时间点与预设范围进行匹配,将在预设范围内的时间点所在时区确定为攻击者所在的时区范围。
更进一步地,所述预设范围为常规工作时间范围。
进一步地,在获取所述PE文件的时间戳数据之后,在确定攻击者所在的时区范围之前,还包括:过滤明显不符合实际情况的时间戳数据,包括:不符合该类程序的真实编译时间范围或者其他根据经验判定为无效的时间戳数据。
进一步地,所述获取所述PE文件的pdb调试路径信息并确定攻击者所使用的语言类型,具体为:
解析PE文件并获取pdb调试路径信息,将所述pdb调试路径信息转换为十六进制形式后,与ASCII码或者Unicode码进行匹配,确定攻击者所使用的语言类型。
本发明可以采用如下系统来实现:一种基于PE文件分析攻击者来源的系统,包括:
PE文件提取模块,用于提取待分析样本中的PE文件;
时区范围获取模块,用于获取所述PE文件的时间戳数据并确定攻击者所在的时区范围;
语言类型获取模块,用于获取所述PE文件的pdb调试路径信息并确定攻击者所使用的语言类型;
分析判断模块,用于基于攻击者所在的时区范围和所使用的语言类型确定攻击者所在的地区。
进一步地,所述时区范围获取模块,具体用于:
获取所述PE文件在0时区下的时间戳数据,并依次转换为24个时区下的时间点;
将各时间点与预设范围进行匹配,将在预设范围内的时间点所在时区确定为攻击者所在的时区范围。
更进一步地,所述预设范围为常规工作时间范围。
进一步地,所述时区范围获取模块在获取所述PE文件的时间戳数据之后,在确定攻击者所在的时区范围之前,还包括:过滤明显不符合实际情况的时间戳数据,包括:不符合该类程序的真实编译时间范围或者其他根据经验判定为无效的时间戳数据。
进一步地,所述语言类型获取模块,具体用于:
解析PE文件并获取pdb调试路径信息,将所述pdb调试路径信息转换为十六进制形式后,与ASCII码或者Unicode码进行匹配,确定攻击者所使用的语言类型。
综上,本发明给出一种基于PE文件分析攻击者来源的方法及系统,首先提取待分析的已知攻击事件的PE文件,并对所述PE文件进行解析后,获取时间戳数据和pdb调试路径信息,通过将时间戳数据转换为24个时区下的时间点后,判断时间点中位于预设范围内的时区有哪些,并将这些时区确定为攻击者所在的时区范围;通过分析已知事件的pdb调试路径信息后,获取攻击者所使用的语言类型,进而预测攻击者所属国家;综合攻击者所在的时区范围和所使用的语言类型进而预测攻击者所在的地区或者国家。
有益效果为:本发明所述技术方案通过对已知攻击事件的PE文件分析入手,获取攻击者所在的时区范围和所使用的语言类型,进而确定攻击者所在的地区或者国家,有助于进一步分析攻击事件,并快速定位和追踪网络犯罪分子。
附图说明
为了更清楚地说明本发明的技术方案,下面将对实施例中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本发明中记载的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他的附图。
图1为本发明提供的一种基于PE文件分析攻击者来源的方法实施例流程图;
图2为本发明提供的一种基于PE文件分析攻击者来源的系统实施例结构图。
具体实施方式
本发明给出了一种基于PE文件分析攻击者来源的方法及系统实施例,为了使本技术领域的人员更好地理解本发明实施例中的技术方案,并使本发明的上述目的、特征和优点能够更加明显易懂,下面结合附图对本发明中技术方案作进一步详细的说明:
本发明首先提供了一种基于PE文件分析攻击者来源的方法实施例,如图1所示,包括:
S101提取待分析样本中的PE文件;
其中,可以通过解析PE文件的DOS头或者文件头筛选出PE文件,使用Python调用pefile库筛选出PE文件;
S102获取所述PE文件的时间戳数据并确定攻击者所在的时区范围;
其中,获取所述PE文件的时间戳数据的方法可以但不限于:从所述PE文件的COFFHeader中提取时间戳数据,即TimeStamp,如0x51B6E6B5 (Tue Jun 11 8:58:29 2013 +0000)。时间戳记录了PE文件生成的时间;
S103获取所述PE文件的pdb调试路径信息并确定攻击者所使用的语言类型;
其中,获取所述PE文件的pdb调试路径信息的方法可以但不限于:分析PE文件结构,查找PE文件的可选头入口(IMAGE_OPTIONAL_HEADER. DataDirectory[IMAGE_DIRECTORY_ENTRY_DEBUG]);获取调试目录的虚拟地址和大小;基于调试目录的虚拟地址,获取调试目录的物理地址,进而获取pdb调试路径信息;
S104基于攻击者所在的时区范围和所使用的语言类型确定攻击者所在的地区。
其中,上述方法中,S102和S103彼此之间并无明确的先后顺序,也可同时执行。
优选地,所述获取所述PE文件的时间戳数据并确定攻击者所在的时区范围,具体为:
获取所述PE文件在0时区下的时间戳数据,并依次转换为24个时区下的时间点;
将各时间点与预设范围进行匹配,将在预设范围内的时间点所在时区确定为攻击者所在的时区范围。
更优选地,所述预设范围为常规工作时间范围。
例如:获取的时间戳数据是0时区下的,依次计算24个时区下的各个时区的时间点;并查看哪些时区的时间点是在国际标准工作时间范围内的(早八晚五),则认为这些时区为攻击者所在的时区范围。这里所述预设范围可以根据分析者的经验进行调整设置,并不唯一。假如,提取的时间戳数据在0时区的时间点大部分是位于0-9点之间的,那么转换成24个时区的时间点之后,则发现最符合国际标准工作时间范围的是+08时区,时间点是8-17点之间。因此,可以认为+08时区是本次攻击事件的攻击者所在的时区范围。
优选地,在获取所述PE文件的时间戳数据之后,在确定攻击者所在的时区范围之前,还包括:过滤明显不符合实际情况的时间戳数据。
例如:时间戳数据早于1900年或者明显大于当前年份,则属于明显不符合实际情况的时间戳数据;
优选地,所述获取所述PE文件的pdb调试路径信息并确定攻击者所使用的语言类型,具体为:
解析PE文件并获取pdb调试路径信息,将所述pdb调试路径信息转换为十六进制形式后,与ASCII码或者Unicode码进行匹配,确定攻击者所使用的语言类型。
本发明还提供了一种基于PE文件分析攻击者来源的系统实施例,如图2所示,包括:
PE文件提取模块201,用于提取待分析样本中的PE文件;
时区范围获取模块202,用于获取所述PE文件的时间戳数据并确定攻击者所在的时区范围;
语言类型获取模块203,用于获取所述PE文件的pdb调试路径信息并确定攻击者所使用的语言类型;
分析判断模块204,用于基于攻击者所在的时区范围和所使用的语言类型确定攻击者所在的地区。
优选地,所述时区范围获取模块,具体用于:
获取所述PE文件在0时区下的时间戳数据,并依次转换为24个时区下的时间点;
将各时间点与预设范围进行匹配,将在预设范围内的时间点所在时区确定为攻击者所在的时区范围。
更优选地,所述预设范围为常规工作时间范围。
优选地,所述时区范围获取模块在获取所述PE文件的时间戳数据之后,在确定攻击者所在的时区范围之前,还包括:过滤明显不符合实际情况的时间戳数据。
优选地,所述语言类型获取模块,具体用于:
解析PE文件并获取pdb调试路径信息,将所述pdb调试路径信息转换为十六进制形式后,与ASCII码或者Unicode码进行匹配,确定攻击者所使用的语言类型。
如上所述,所给实施例通过对已知攻击事件的待分析样本进行分析,提取PE文件,解析所述PE文件,进而获取时间戳数据和pdb调试路径信息,通过对时间戳数据进行转换进而获取所属的时区范围;通过对pdb调试路径信息进行分析和匹配进而获取攻击者所用的语言类型;基于攻击者所在的时区范围和语言类型进而确定攻击者所在的地区。
综上,传统分析攻击者所在地理位置的方法由于存在一些弊端,从而无法找到真正的攻击来源。本发明所公开的实施例克服了传统方法的缺陷,通过对已知攻击事件的PE文件进行解析,获取PE文件相关的时间戳数据和pdb调试路径信息,并进一步确定攻击者可能所在的时区范围和使用的语言类型,进而给出攻击者所在的地区。本发明所给出的实施例使得分析人员能够找到真正的攻击来源,避免代理服务器或者其他傀儡服务器的误导,能够准确定位攻击来源,进而深度分析攻击事件。
以上实施例用以说明而非限制本发明的技术方案。不脱离本发明精神和范围的任何修改或局部替换,均应涵盖在本发明的权利要求范围当中。

Claims (10)

1.一种基于PE文件分析攻击者来源的方法,其特征在于,包括:
提取待分析样本中的PE文件;
获取所述PE文件的时间戳数据并确定攻击者所在的时区范围;
获取所述PE文件的pdb调试路径信息并确定攻击者所使用的语言类型;
基于攻击者所在的时区范围和所使用的语言类型确定攻击者所在的地区。
2.如权利要求1所述的方法,其特征在于,所述获取所述PE文件的时间戳数据并确定攻击者所在的时区范围,具体为:
获取所述PE文件在0时区下的时间戳数据,并依次转换为24个时区下的时间点;
将各时间点与预设范围进行匹配,将在预设范围内的时间点所在时区确定为攻击者所在的时区范围。
3.如权利要求2所述的方法,其特征在于,所述预设范围为常规工作时间范围。
4.如权利要求1所述的方法,其特征在于,在获取所述PE文件的时间戳数据之后,在确定攻击者所在的时区范围之前,还包括:过滤明显不符合实际情况的时间戳数据,包括:不符合该类程序的真实编译时间范围或者其他根据经验判定为无效的时间戳数据。
5.如权利要求1所述的方法,其特征在于,所述获取所述PE文件的pdb调试路径信息并确定攻击者所使用的语言类型,具体为:
解析PE文件并获取pdb调试路径信息,将所述pdb调试路径信息转换为十六进制形式后,与ASCII码或者Unicode码进行匹配,确定攻击者所使用的语言类型。
6.一种基于PE文件分析攻击者来源的系统,其特征在于,包括:
PE文件提取模块,用于提取待分析样本中的PE文件;
时区范围获取模块,用于获取所述PE文件的时间戳数据并确定攻击者所在的时区范围;
语言类型获取模块,用于获取所述PE文件的pdb调试路径信息并确定攻击者所使用的语言类型;
分析判断模块,用于基于攻击者所在的时区范围和所使用的语言类型确定攻击者所在的地区。
7.如权利要求6所述的系统,其特征在于,所述时区范围获取模块,具体用于:
获取所述PE文件在0时区下的时间戳数据,并依次转换为24个时区下的时间点;
将各时间点与预设范围进行匹配,将在预设范围内的时间点所在时区确定为攻击者所在的时区范围。
8.如权利要求7所述的系统,其特征在于,所述预设范围为常规工作时间范围。
9.如权利要求6所述的系统,其特征在于,所述时区范围获取模块在获取所述PE文件的时间戳数据之后,在确定攻击者所在的时区范围之前,还包括:过滤明显不符合实际情况的时间戳数据,包括:不符合该类程序的真实编译时间范围或者其他根据经验判定为无效的时间戳数据。
10.如权利要求6所述的系统,其特征在于,所述语言类型获取模块,具体用于:
解析PE文件并获取pdb调试路径信息,将所述pdb调试路径信息转换为十六进制形式后,与ASCII码或者Unicode码进行匹配,确定攻击者所使用的语言类型。
CN201510409741.XA 2015-07-14 2015-07-14 一种基于pe文件分析攻击者来源的方法及系统 Active CN105653940B (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN201510409741.XA CN105653940B (zh) 2015-07-14 2015-07-14 一种基于pe文件分析攻击者来源的方法及系统

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN201510409741.XA CN105653940B (zh) 2015-07-14 2015-07-14 一种基于pe文件分析攻击者来源的方法及系统

Publications (2)

Publication Number Publication Date
CN105653940A CN105653940A (zh) 2016-06-08
CN105653940B true CN105653940B (zh) 2019-02-26

Family

ID=56482093

Family Applications (1)

Application Number Title Priority Date Filing Date
CN201510409741.XA Active CN105653940B (zh) 2015-07-14 2015-07-14 一种基于pe文件分析攻击者来源的方法及系统

Country Status (1)

Country Link
CN (1) CN105653940B (zh)

Families Citing this family (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN108073808B (zh) * 2017-12-21 2021-10-15 安天科技集团股份有限公司 基于pdb调试信息生成攻击者画像的方法及系统

Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN103886229A (zh) * 2014-03-10 2014-06-25 珠海市君天电子科技有限公司 一种提取pe文件特征的方法及装置
CN104239448A (zh) * 2014-09-01 2014-12-24 北京优特捷信息技术有限公司 一种时间序列数据的时间戳的获取方法及装置
CN104462968A (zh) * 2014-12-16 2015-03-25 北京奇虎科技有限公司 恶意应用程序的扫描方法、装置和系统
CN104579662A (zh) * 2013-10-21 2015-04-29 航天信息股份有限公司 基于wpki和时间戳的移动终端身份认证方法和系统

Family Cites Families (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20060156397A1 (en) * 2005-01-13 2006-07-13 Steven Dai A New Anti-spy method without using scan

Patent Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN104579662A (zh) * 2013-10-21 2015-04-29 航天信息股份有限公司 基于wpki和时间戳的移动终端身份认证方法和系统
CN103886229A (zh) * 2014-03-10 2014-06-25 珠海市君天电子科技有限公司 一种提取pe文件特征的方法及装置
CN104239448A (zh) * 2014-09-01 2014-12-24 北京优特捷信息技术有限公司 一种时间序列数据的时间戳的获取方法及装置
CN104462968A (zh) * 2014-12-16 2015-03-25 北京奇虎科技有限公司 恶意应用程序的扫描方法、装置和系统

Non-Patent Citations (1)

* Cited by examiner, † Cited by third party
Title
一种基于PE文件的信息隐藏方法的研究与实现;杨小龙等;《学术技术》;20141118;第9卷(第2014期);全文

Also Published As

Publication number Publication date
CN105653940A (zh) 2016-06-08

Similar Documents

Publication Publication Date Title
CN107145779B (zh) 一种离线恶意软件日志的识别方法和装置
CN104753946A (zh) 一种基于网络流量元数据的安全分析框架
CN106096040B (zh) 基于搜索引擎的机构网站归属地判别方法及其装置
CN109462575B (zh) 一种webshell检测方法及装置
CN104506484A (zh) 一种私有协议分析与识别方法
CN104699835A (zh) 用于确定网页页面中包括兴趣点poi数据的方法及装置
CN110691080B (zh) 自动溯源方法、装置、设备及介质
CN110868409A (zh) 一种基于tcp/ip协议栈指纹的操作系统被动识别方法及系统
CN102799814A (zh) 一种钓鱼网站查找系统及方法
CN110245273B (zh) 一种获取app业务特征库的方法及相应的装置
CN106776901B (zh) 数据提取方法、装置及系统
CN105577528B (zh) 一种基于虚拟机的微信公众号数据采集方法及装置
CN102222035A (zh) 基于符号执行技术的软件行为检测系统及检测方法
CN109655529A (zh) 一种鉴别卷烟真伪的方法
CN109063482B (zh) 宏病毒识别方法、装置、存储介质及处理器
CN110213124A (zh) 基于tcp多会话的被动操作系统识别方法及装置
EP3242240B1 (en) Malicious communication pattern extraction device, malicious communication pattern extraction system, malicious communication pattern extraction method and malicious communication pattern extraction program
CN104601573A (zh) 一种Android平台URL访问结果验证方法及装置
CN106169050B (zh) 一种基于网页知识发现的PoC程序提取方法
CN107733886A (zh) 一种基于逻辑回归的应用层DDoS攻击检测方法
CN108521392A (zh) 一种双向流量的sql注入攻击检测方法
CN105989149A (zh) 一种用户设备指纹的提取和识别方法及系统
CN105653940B (zh) 一种基于pe文件分析攻击者来源的方法及系统
CN110572325A (zh) 一种nat路由器流量识别方法
CN102984242B (zh) 一种应用协议的自动识别方法和装置

Legal Events

Date Code Title Description
C06 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination
GR01 Patent grant
GR01 Patent grant
CP03 Change of name, title or address
CP03 Change of name, title or address

Address after: 150028 Building 7, Innovation Plaza, Science and Technology Innovation City, Harbin High-tech Industrial Development Zone, Heilongjiang Province (838 Shikun Road)

Patentee after: Harbin antiy Technology Group Limited by Share Ltd

Address before: 150090 room 506, Hongqi Street, Nangang District, Harbin Development Zone, Heilongjiang, China, 162

Patentee before: Harbin Antiy Technology Co., Ltd.

PE01 Entry into force of the registration of the contract for pledge of patent right

Denomination of invention: Method and system for analyzing attacker source based on PE files

Effective date of registration: 20190828

Granted publication date: 20190226

Pledgee: Bank of Longjiang, Limited by Share Ltd, Harbin Limin branch

Pledgor: Harbin antiy Technology Group Limited by Share Ltd

Registration number: Y2019230000002

PE01 Entry into force of the registration of the contract for pledge of patent right
CP01 Change in the name or title of a patent holder

Address after: 150028 Building 7, Innovation Plaza, Science and Technology Innovation City, Harbin High-tech Industrial Development Zone, Heilongjiang Province (838 Shikun Road)

Patentee after: Antan Technology Group Co.,Ltd.

Address before: 150028 Building 7, Innovation Plaza, Science and Technology Innovation City, Harbin High-tech Industrial Development Zone, Heilongjiang Province (838 Shikun Road)

Patentee before: Harbin Antian Science and Technology Group Co.,Ltd.

CP01 Change in the name or title of a patent holder
PC01 Cancellation of the registration of the contract for pledge of patent right

Date of cancellation: 20211119

Granted publication date: 20190226

Pledgee: Bank of Longjiang Limited by Share Ltd. Harbin Limin branch

Pledgor: Harbin Antian Science and Technology Group Co.,Ltd.

Registration number: Y2019230000002

PC01 Cancellation of the registration of the contract for pledge of patent right