在分析可執(zhí)行文件(PE 文件)時�����,時間戳字段一直是安全研究人員的重要參考(當(dāng)前日期 - 時間戳值 > 閾值 → 標(biāo)記為可疑)�,用來推測文件的構(gòu)建時間�����,甚至作為惡意軟件分析的重要依據(jù)�����。
然而,隨著 Windows 10 及之后版本的構(gòu)建方式變化����,依賴時間戳字段來判斷可疑文件,已經(jīng)越來越不可靠�����。
什么是 PE 文件的時間戳�����?
在標(biāo)準(zhǔn)編譯的 PE 文件中��,COFF Header 中有一個名為 TimeDateStamp 的字段����。過去,大多數(shù)編譯器和鏈接器在編譯時會把當(dāng)前時間寫入這個字段�,用來記錄可執(zhí)行文件的構(gòu)建時間。早期��,這個信息很有價值——不僅可以用來判斷軟件的版本和構(gòu)建周期����,還能幫助安全人員推測惡意軟件的開發(fā)時間線��,從而分析威脅行為者的活動歷史����。
Windows 10 之后發(fā)生了什么變化�?
到了 Windows 10 時代���,很多研究人員發(fā)現(xiàn):
系統(tǒng)二進制文件的時間戳看起來很奇怪����,不像是正常的編譯時間�。
這是因為 微軟引入了“可復(fù)現(xiàn)構(gòu)建”(Reproducible Build)。在 MSVC 鏈接器中����,有一個早在 VS 2013(傳說中)就存在的隱藏選項 /BREPRO。開啟它后��,鏈接器不會再把編譯時間寫進 TimeDateStamp���,而是寫入一個基于內(nèi)容計算的可復(fù)現(xiàn)哈希值���。這樣做的好處是——同一份源碼在不同機器��、不同時間編譯�����,生成的二進制完全一致�����,便于驗證構(gòu)建的完整性��。
微軟為什么要這么做�����?
https://devblogs.microsoft.com/oldnewthing/20180103-00/?p=97705
https://stackoverflow.com/questions/75891687/potential-downsides-of-brepro-msvc-linker-option
如何判斷一個時間戳是不是可復(fù)現(xiàn)構(gòu)建的哈希����?
方法很簡單:
- 1. 查看 PE 文件的 Debug Directory(調(diào)試目錄)����;
- 2. 如果里面有
IMAGE_DEBUG_TYPE_REPRO(值為 0x16),那么大概率是可復(fù)現(xiàn)構(gòu)建�; - 3. 進一步可以對 PE 文件計算 SHA256;
- ? PE-Bear:簡單檢測
IMAGE_DEBUG_TYPE_REPRO 是否存在,存在會顯示的是ReproChecksum�。
So��,說了這么多這跟誤報有什么關(guān)系�����?檢測上的坑:誤把哈希當(dāng)時間
問題在于����,很多安全檢測平臺并沒有意識到時間戳可能是哈希�����,而不是實際的編譯時間��。它們依舊把這個字段當(dāng)成“真相”�,一旦發(fā)現(xiàn)文件的時間戳和當(dāng)前時間差距很大,就直接標(biāo)記為可疑�����,導(dǎo)致大量誤報。
2025 年了����,很多沙箱平臺還用“時間戳是否合理”來判斷文件是否可疑,這對嗎����?
總結(jié)
隨著開發(fā)與構(gòu)建方式的演變,安全檢測也需要與時俱進����。PE 文件的時間戳字段不再可靠,尤其是在可復(fù)現(xiàn)構(gòu)建時代�����,繼續(xù)把它當(dāng)成“真相”只會帶來更多誤報��。安全分析人員和檢測平臺應(yīng)更新檢測邏輯�,結(jié)合可復(fù)現(xiàn)構(gòu)建標(biāo)志等更多信息,才能更準(zhǔn)確地判斷文件的風(fēng)險��。
閱讀原文:原文鏈接
該文章在 2025/8/19 9:14:12 編輯過
400 186 1886
