假设,在东京(UTC+9)有一个小黑客,在小黑客本机12点的时候,编译了一个木马,那么木马的修改时间为12点,小黑客将木马通过RAR4压缩,然后在小黑客时区的12点15分通过邮件的方式发送到中国(UTC+8)小李的电脑上,不幸的小李被邮件内容吸引,于是打开了压缩包中了马。
在以上场景中,从小李时区(UTC+8)的角度看,小李是在11点15分(UTC+8)收到的邮件,其中的木马却是在12点被生成,由此可以推测出攻击者时区大于小李的时区。
以上仅是一个利用的方法,实际上可玩性很高,作者也通过此方法辅助溯源到某攻击组织。
以下篇幅主要讲解作者的一些分析流程,作者会尽量写的详细一点,方便大家学习。
首先,我们建立一个叫”FileName.txt”的文件,内容为:”Content”,(注意此处的文件时间:2021/5/19 12:23)
将其通过RAR4和RAR5压缩算法压缩为4.rar和5.rar
通过16进制编辑器两个文件进行分析,此处推荐使用010 Editor,本文中所用到的解析模板放至文末。
RAR4的文件头为:52 61 72 21 1A 07 00
RAR5的文件头为:52 61 72 21 1A 07 01 00
查看4.rar的字段”struct RarBlock block[0]”->”struct FileHeadBlock file”->”DOSDATE FileDate”/”DOSTIME FileTime”
可以看到文件时间为”12:23″与文件创建时间相同,说明使用RAR4压缩时未对时间进行转换,仅通过压缩者电脑的时区保存。
查看5.rar的字段”struct RarBlockV5 Block[1]”->”struct Records records”->”struct Record record”->”FILETIME mtime”
可以看到文件时间为”04:23″与”12:23″的文件创建时间不相同,且刚好相差8个小时,说明使用RAR5压缩时会将时间转换为UTC+0的时区时间。
PS:溯源需要尽可能的掌握更多的攻击者信息,上述的方法只是一个引子,希望可以帮大家扩展思路。
另外,在使用010 Editor时,如果发现没有RAR的解析模板,可以使用附件的代码,使用方式如下(附件获取方式见文末):
新建模板后把附件的代码复制进去保存。
打开刚刚保存的.bt文档,运行起来即可。
Copyright © 2005-2021 网信安全世界版权所有