在分析可執(zhí)行文件(PE 文件)時(shí)���,時(shí)間戳字段一直是安全研究人員的重要參考(當(dāng)前日期 - 時(shí)間戳值 > 閾值 → 標(biāo)記為可疑),用來推測(cè)文件的構(gòu)建時(shí)間��,甚至作為惡意軟件分析的重要依據(jù)�。
然而���,隨著 Windows 10 及之后版本的構(gòu)建方式變化��,依賴時(shí)間戳字段來判斷可疑文件,已經(jīng)越來越不可靠�����。
什么是 PE 文件的時(shí)間戳�?
在標(biāo)準(zhǔn)編譯的 PE 文件中,COFF Header 中有一個(gè)名為 TimeDateStamp 的字段��。過去,大多數(shù)編譯器和鏈接器在編譯時(shí)會(huì)把當(dāng)前時(shí)間寫入這個(gè)字段,用來記錄可執(zhí)行文件的構(gòu)建時(shí)間��。早期,這個(gè)信息很有價(jià)值——不僅可以用來判斷軟件的版本和構(gòu)建周期��,還能幫助安全人員推測(cè)惡意軟件的開發(fā)時(shí)間線,從而分析威脅行為者的活動(dòng)歷史���。
Windows 10 之后發(fā)生了什么變化���?
到了 Windows 10 時(shí)代�,很多研究人員發(fā)現(xiàn):
系統(tǒng)二進(jìn)制文件的時(shí)間戳看起來很奇怪,不像是正常的編譯時(shí)間����。
這是因?yàn)?nbsp;微軟引入了“可復(fù)現(xiàn)構(gòu)建”(Reproducible Build)���。在 MSVC 鏈接器中���,有一個(gè)早在 VS 2013(傳說中)就存在的隱藏選項(xiàng) /BREPRO�����。開啟它后�,鏈接器不會(huì)再把編譯時(shí)間寫進(jìn) TimeDateStamp,而是寫入一個(gè)基于內(nèi)容計(jì)算的可復(fù)現(xiàn)哈希值���。這樣做的好處是——同一份源碼在不同機(jī)器、不同時(shí)間編譯���,生成的二進(jìn)制完全一致���,便于驗(yàn)證構(gòu)建的完整性��。
微軟為什么要這么做?
https://devblogs.microsoft.com/oldnewthing/20180103-00/?p=97705
https://stackoverflow.com/questions/75891687/potential-downsides-of-brepro-msvc-linker-option
如何判斷一個(gè)時(shí)間戳是不是可復(fù)現(xiàn)構(gòu)建的哈希?
方法很簡(jiǎn)單:
- 1. 查看 PE 文件的 Debug Directory(調(diào)試目錄)�;
- 2. 如果里面有
IMAGE_DEBUG_TYPE_REPRO(值為 0x16)��,那么大概率是可復(fù)現(xiàn)構(gòu)建; - 3. 進(jìn)一步可以對(duì) PE 文件計(jì)算 SHA256;
- ? PE-Bear:簡(jiǎn)單檢測(cè)
IMAGE_DEBUG_TYPE_REPRO 是否存在�����,存在會(huì)顯示的是ReproChecksum。 - ? PEAnatomist:會(huì)驗(yàn)證哈希的有效性。
So��,說了這么多這跟誤報(bào)有什么關(guān)系?檢測(cè)上的坑:誤把哈希當(dāng)時(shí)間
問題在于����,很多安全檢測(cè)平臺(tái)并沒有意識(shí)到時(shí)間戳可能是哈希���,而不是實(shí)際的編譯時(shí)間����。它們依舊把這個(gè)字段當(dāng)成“真相”�����,一旦發(fā)現(xiàn)文件的時(shí)間戳和當(dāng)前時(shí)間差距很大��,就直接標(biāo)記為可疑��,導(dǎo)致大量誤報(bào)���。
2025 年了�,很多沙箱平臺(tái)還用“時(shí)間戳是否合理”來判斷文件是否可疑����,這對(duì)嗎����?
總結(jié)
隨著開發(fā)與構(gòu)建方式的演變,安全檢測(cè)也需要與時(shí)俱進(jìn)��。PE 文件的時(shí)間戳字段不再可靠���,尤其是在可復(fù)現(xiàn)構(gòu)建時(shí)代,繼續(xù)把它當(dāng)成“真相”只會(huì)帶來更多誤報(bào)���。安全分析人員和檢測(cè)平臺(tái)應(yīng)更新檢測(cè)邏輯,結(jié)合可復(fù)現(xiàn)構(gòu)建標(biāo)志等更多信息���,才能更準(zhǔn)確地判斷文件的風(fēng)險(xiǎn)�。
閱讀原文:原文鏈接
該文章在 2025/8/19 9:14:12 編輯過
400 186 1886
