首页
社区
课程
招聘
[求助]如何分析样本的来源地
发表于: 2012-1-9 17:17 4952

[求助]如何分析样本的来源地

2012-1-9 17:17
4952
在http://www.threatexpert.com有很多提交上来被检测到病毒,
通常都能看到每个病毒的来源国,很好奇通过资源都是如何判断出
病毒的来源地。想了想,通过语言,字符集这些貌似误报率肯定
太高,求高人指教

[培训]内核驱动高级班,冲击BAT一流互联网大厂工作,每周日13:00-18:00直播授课

收藏
免费 0
支持
分享
最新回复 (4)
雪    币: 22
活跃值: (443)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
2
你提交的时候 网站自然记录你的IP了
2012-1-9 18:08
0
雪    币: 88
活跃值: (25)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
3
不知道楼上看过相关页面没有,在每个检测的样本的网页最底下,都有如下说明:

Other details
Analysis of the file resources indicate the following possible country of origin:

从这里可以看出,并非记录提交者IP来判断病毒来源的吧?
如果按照提交者IP来源做为病毒最初的来源地,是不是
太草率了呢?
2012-1-9 19:03
0
雪    币: 22
活跃值: (443)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
4
同一个样本上传的IP 如果99%是来自china的  1%是其他 那这个possible country会是哪里?

file resources 不一定就是EXE的RES 也可以是文件的来源信息 大小 时间
2012-1-9 19:27
0
雪    币: 1163
活跃值: (137)
能力值: ( LV12,RANK:230 )
在线值:
发帖
回帖
粉丝
5
ls正解
2012-1-9 19:35
0
游客
登录 | 注册 方可回帖
返回
//