本发明专利技术公开了一种基于PE文件分析攻击者来源的方法,包括:提取待分析样本中的PE文件;获取所述PE文件的时间戳数据并确定攻击者所在的时区范围;获取所述PE文件的pdb调试路径信息并确定攻击者所使用的语言类型;基于攻击者所在的时区范围和所使用的语言类型确定攻击者所在的地区。本发明专利技术还公开了一种基于PE文件分析攻击者来源的系统。本发明专利技术所述技术方案能够根据已知攻击事件的PE文件,进而确定攻击者所在的国家或者地区,从而为进一步分析攻击事件提供线索。
【技术实现步骤摘要】
本专利技术涉及信息安全
,尤其涉及一种基于PE文件分析攻击者来源的方法及系统。
技术介绍
随着互联网技术的飞速发展,应用其技术的领域也越来越广泛,网络攻击事件也就频频出现。攻击者在攻击过程中往往会留下某些线索,通过对线索的分析可以获得攻击者来源等信息,进而更好的分析和定位攻击事件。目前对网络攻击来源的判断,主要根据攻击者使用服务器的IP的进行分析,然后确定对应的地理位置,这样的方法存在一些弊端,如:攻击者使用代理服务器、攻击者攻陷一些服务器将攻击程序部署在上面,这样会导致在分析中无法找到真正的攻击来源。
技术实现思路
本专利技术所述的技术方案对待分析样本的PE文件进行解析,获取时间戳数据和pdb调试路径信息,并分析确定攻击者所在的时区范围和所使用的语言类型,进而确定攻击者可能所在的国家或者地区。本专利技术提供的方法和系统有助于追踪网络攻击事件,并定位恶意攻击者所在的位置。本专利技术采用如下方法来实现:一种基于PE文件分析攻击者来源的方法,包括:提取待分析样本中的PE文件;获取所述PE文件的时间戳数据并确定攻击者所在的时区范围;获取所述PE文件的pdb调试路径信息并确定攻击者所使用的语言类型;基于攻击者所在的时区范围和所使用的语言类型确定攻击者所在的地区。进一步地,所述获取所述PE文件的时间戳数据并确定攻击者所在的时区范围,具体为:获取所述PE文件在0时区下的时间戳数据,并依次转换为24个时区下的时间点;将各时间点与预设范围进行匹配,将在预设范围内的时间点所在时区确定为攻击者所在的时区范围。更进一步地,所述预设范围为常规工作时间范围。进一步地,在获取所述PE文件的时间戳数据之后,在确定攻击者所在的时区范围之前,还包括:过滤明显不符合实际情况的时间戳数据。进一步地,所述获取所述PE文件的pdb调试路径信息并确定攻击者所使用的语言类型,具体为:解析PE文件并获取pdb调试路径信息,将所述pdb调试路径信息转换为十六进制形式后,与ASCII码或者Unicode码进行匹配,确定攻击者所使用的语言类型。本专利技术可以采用如下系统来实现:一种基于PE文件分析攻击者来源的系统,包括:PE文件提取模块,用于提取待分析样本中的PE文件;时区范围获取模块,用于获取所述PE文件的时间戳数据并确定攻击者所在的时区范围;语言类型获取模块,用于获取所述PE文件的pdb调试路径信息并确定攻击者所使用的语言类型;分析判断模块,用于基于攻击者所在的时区范围和所使用的语言类型确定攻击者所在的地区。进一步地,所述时区范围获取模块,具体用于:获取所述PE文件在0时区下的时间戳数据,并依次转换为24个时区下的时间点;将各时间点与预设范围进行匹配,将在预设范围内的时间点所在时区确定为攻击者所在的时区范围。更进一步地,所述预设范围为常规工作时间范围。进一步地,所述时区范围获取模块在获取所述PE文件的时间戳数据之后,在确定攻击者所在的时区范围之前,还包括:过滤明显不符合实际情况的时间戳数据。进一步地,所述语言类型获取模块,具体用于:解析PE文件并获取pdb调试路径信息,将所述pdb调试路径信息转换为十六进制形式后,与ASCII码或者Unicode码进行匹配,确定攻击者所使用的语言类型。综上,本专利技术给出一种基于PE文件分析攻击者来源的方法及系统,首先提取待分析的已知攻击事件的PE文件,并对所述PE文件进行解析后,获取时间戳数据和pdb调试路径信息,通过将时间戳数据转换为24个时区下的时间点后,判断时间点中位于预设范围内的时区有哪些,并将这些时区确定为攻击者所在的时区范围;通过分析已知事件的pdb调试路径信息后,获取攻击者所使用的语言类型,进而预测攻击者所属国家;综合攻击者所在的时区范围和所使用的语言类型进而预测攻击者所在的地区或者国家。有益效果为:本专利技术所述技术方案通过对已知攻击事件的PE文件分析入手,获取攻击者所在的时区范围和所使用的语言类型,进而确定攻击者所在的地区或者国家,有助于进一步分析攻击事件,并快速定位和追踪网络犯罪分子。附图说明为了更清楚地说明本专利技术的技术方案,下面将对实施例中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本专利技术中记载的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他的附图。图1为本专利技术提供的一种基于PE文件分析攻击者来源的方法实施例流程图;图2为本专利技术提供的一种基于PE文件分析攻击者来源的系统实施例结构图。具体实施方式本专利技术给出了一种基于PE文件分析攻击者来源的方法及系统实施例,为了使本
的人员更好地理解本专利技术实施例中的技术方案,并使本专利技术的上述目的、特征和优点能够更加明显易懂,下面结合附图对本专利技术中技术方案作进一步详细的说明:本专利技术首先提供了一种基于PE文件分析攻击者来源的方法实施例,如图1所示,包括:S101提取待分析样本中的PE文件;其中,可以通过解析PE文件的DOS头或者文件头筛选出PE文件,使用Python调用pefile库筛选出PE文件;S102获取所述PE文件的时间戳数据并确定攻击者所在的时区范围;其中,获取所述PE文件的时间戳数据的方法可以但不限于:从所述PE文件的COFFHeader中提取时间戳数据,即TimeStamp,如0x51B6E6B5(TueJun118:58:292013+0000)。时间戳记录了PE文件生成的时间;S103获取所述PE文件的pdb调试路径信息并确定攻击者所使用的语言类型;其中,获取所述PE文件的pdb调试路径信息的方法可以但不限于:分析PE文件结构,查找PE文件的可选头入口(IMAGE_OPTIONAL_HEADER.DataDirectory[IMAGE_DIRECTORY_ENTRY_DEBUG]);获取调试目录的虚拟地址和大小;基于调试目录的虚拟地址,获取调试目录的物理地址,进而获取pdb调试路径信息;S104基于攻击者所在的时区范围和所使用的语言类型确定攻击者所在的地区。其中,上述方法中,S102和S103彼此之间并无明确的先后顺序,也可同时执行。优选地,所述获取所述PE文件的时间戳数据并确定攻击者所在的时区范围,具体为:获取所述PE文件在0时区下的时间戳数据,并依次转换为24个时区下的时间点;将各时间点与预设范围进行匹配,将在预设范围内的时间点所在时区确定为攻击者所在的时区范围。更优选地,所述预设范围为常规工作时间范围。例如:获取的时间戳数据是0时区下的,依次计算24个时区下的各个时区的时间点;并查看哪些时区的时间点是在国际标准工作时间范围内的(早八晚五),则认为这些时区为攻击者所在的时区范围。这里所述预设范围可以根据分析者的经验进行调整设置,并不唯一。假如,提取的时间戳数据在0时区的时间点大部分本文档来自技高网...
【技术保护点】
一种基于PE文件分析攻击者来源的方法,其特征在于,包括:提取待分析样本中的PE文件;获取所述PE文件的时间戳数据并确定攻击者所在的时区范围;获取所述PE文件的pdb调试路径信息并确定攻击者所使用的语言类型;基于攻击者所在的时区范围和所使用的语言类型确定攻击者所在的地区。
【技术特征摘要】
1.一种基于PE文件分析攻击者来源的方法,其特征在于,包括:
提取待分析样本中的PE文件;
获取所述PE文件的时间戳数据并确定攻击者所在的时区范围;
获取所述PE文件的pdb调试路径信息并确定攻击者所使用的语言类型;
基于攻击者所在的时区范围和所使用的语言类型确定攻击者所在的地区。
2.如权利要求1所述的方法,其特征在于,所述获取所述PE文件的时间戳数据并确定攻击者所在的时区范围,具体为:
获取所述PE文件在0时区下的时间戳数据,并依次转换为24个时区下的时间点;
将各时间点与预设范围进行匹配,将在预设范围内的时间点所在时区确定为攻击者所在的时区范围。
3.如权利要求2所述的方法,其特征在于,所述预设范围为常规工作时间范围。
4.如权利要求1所述的方法,其特征在于,在获取所述PE文件的时间戳数据之后,在确定攻击者所在的时区范围之前,还包括:过滤明显不符合实际情况的时间戳数据。
5.如权利要求1所述的方法,其特征在于,所述获取所述PE文件的pdb调试路径信息并确定攻击者所使用的语言类型,具体为:
解析PE文件并获取pdb调试路径信息,将所述pdb调试路径信息转换为十六进制形式后,与ASCII码或者Unicode码进行匹配,确定攻击者所使用的语言类型。
6.一种基于PE...
【专利技术属性】
技术研发人员:白淳升,李柏松,
申请(专利权)人:哈尔滨安天科技股份有限公司,
类型:发明
国别省市:黑龙江;23
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。