文章总结： 本文系统解析PE32工控后门，先file/objdump定位WinHTTP等关键DLL与Unicode编码，再用strings-el提取出C&C公网IP5.39.218.152与代理10.15.1.69:3128；梳理其POST心跳、IE7.0伪装、scstop命令执行、令牌复制提权及IMAPI阻断等行为，给出网络层阻断IP、主机哈希/行为检测、工控白名单与代理日志审计等防御方案，完整示范静态逆向到溯源落地的流程。 综合评分： 92 文章分类： 恶意软件,漏洞分析,威胁情报,逆向分析,工业安全

---

工业恶意软件后门深度分析：从样本到C&C服务器的完整溯源

原创

破镜安全 破镜安全

破镜安全

2026年1月16日 08:01 四川

工业恶意软件后门深度分析：从样本到C&C服务器的完整溯源

一、背景介绍

在工业控制系统（ICS）安全领域，针对性的恶意软件攻击已成为关键基础设施面临的重大威胁。本文将对一个疑似针对工业领域的恶意软件样本进行全面的静态分析，通过系统化的逆向工程方法，定位其远程命令与控制（C&C）服务器地址，并深入剖析其技术实现原理。

本次分析的目标是：

1. 识别样本的基本特征和文件类型
2. 分析样本的功能和行为特征
3. 定位远程C&C服务器地址
4. 理解恶意软件的通信机制
5. 提供检测和防御建议

二、样本初步分析

2.1 文件类型识别

恶意软件分析的第一步是确定样本的文件类型。在Linux环境下，我们使用file命令进行快速识别：

file f67b65b9346ee75a26f491b70bf6091b

执行结果：

PE32 executable (GUI) Intel 80386, for MS Windows, 5 sections

从输出结果可以获取以下关键信息：

• 文件格式：PE32（Portable Executable 32-bit）
• 目标平台：Windows操作系统
• 架构：Intel 80386（32位x86架构）
• 界面类型：GUI（图形用户界面）
• 节区数量：5个节区

这表明我们面对的是一个标准的Windows 32位可执行程序。

2.2 样本哈希值计算

为了便于样本的唯一标识和威胁情报共享，我们计算样本的哈希值：

md5sum f67b65b9346ee75a26f491b70bf6091b
sha256sum f67b65b9346ee75a26f491b70bf6091b

计算结果：

• MD5: f67b65b9346ee75a26f491b70bf6091b
• SHA256: 37d54e3d5e8b838f366b9c202f75fa264611a12444e62ae759c31a0d041aa6e4

这些哈希值可以用于：

• 在VirusTotal等威胁情报平台查询样本信息
• 在企业内部建立恶意软件指纹库
• 与其他安全研究人员共享样本特征
• 配置安全设备的检测规则

三、PE文件结构分析

3.1 导入表分析的重要性

PE文件的导入表（Import Table）记录了程序运行时需要调用的外部函数。通过分析导入表，我们可以在不运行程序的情况下，快速了解程序可能具备的功能特征。这是静态分析中最有价值的技术之一。

3.2 使用objdump分析导入表

我们使用objdump工具来查看样本的导入表：

objdump -p f67b65b9346ee75a26f491b70bf6091b | grep -A 5 "DLL Name"

通过分析输出结果，我们发现样本导入了多个关键的DLL库。让我们逐一分析这些库的功能和意义。

3.3 关键DLL库分析

WINHTTP.dll – 网络通信核心

这是本次分析中最关键的发现。WINHTTP.dll是Windows HTTP服务的API库，专门用于实现HTTP/HTTPS通信。样本导入了以下完整的HTTP通信函数集：

• WinHttpOpen – 初始化HTTP会话，设置User-Agent等参数
• WinHttpConnect – 建立与目标服务器的连接
• WinHttpOpenRequest – 创建HTTP请求对象
• WinHttpSendRequest – 发送HTTP请求到服务器
• WinHttpReceiveResponse – 接收服务器的响应
• WinHttpReadData – 读取响应数据内容
• WinHttpWriteData – 向请求中写入数据
• WinHttpQueryHeaders – 查询HTTP响应头信息
• WinHttpSetOption – 设置HTTP选项（如代理、超时等）
• WinHttpCloseHandle – 关闭HTTP句柄，释放资源

这套完整的WinHTTP函数调用链表明，该恶意软件具备成熟的HTTP通信能力，可以与远程服务器进行双向数据交互。

KERNEL32.dll – 系统核心功能

KERNEL32.dll是Windows系统的核心库，样本导入了大量系统级函数：

进程管理相关：

• CreateProcessW – 创建新进程
• ExitProcess – 终止当前进程
• TerminateThread – 强制终止线程

文件操作相关：

• CreateFileW – 创建或打开文件
• ReadFile / WriteFile – 读写文件
• DeleteFileW – 删除文件
• GetFileSize – 获取文件大小

内存管理相关：

• HeapAlloc / HeapFree – 堆内存分配和释放
• HeapReAlloc – 重新分配内存

线程和同步：

• CreateThread – 创建线程
• WaitForSingleObject – 等待对象信号
• CreateMutexW – 创建互斥量

环境变量和路径：

• GetEnvironmentVariableW – 获取环境变量
• ExpandEnvironmentStringsW – 展开环境变量
• GetTempPathW – 获取临时目录路径

ADVAPI32.dll – 高级系统服务

ADVAPI32.dll库的导入非常值得关注，它包含了权限提升和服务控制相关的敏感函数：

权限操作相关：

• LogonUserW – 验证用户凭据并获取访问令牌
• ImpersonateLoggedOnUser – 模拟已登录用户的安全上下文
• DuplicateTokenEx – 复制访问令牌
• RevertToSelf – 恢复原始安全上下文

进程创建相关：

• CreateProcessAsUserW – 以指定用户身份创建进程
• CreateProcessWithLogonW – 使用登录凭据创建进程

服务控制相关：

• OpenSCManagerW – 打开服务控制管理器
• OpenServiceW – 打开指定服务
• ControlService – 控制服务状态
• StartServiceW – 启动服务
• ChangeServiceConfigW – 修改服务配置

这些函数的组合表明，恶意软件可能具备权限提升能力，并能够操控系统服务。

其他辅助库

• SHLWAPI.dll – 提供路径处理函数（PathAppendW、PathFileExistsW）
• urlmon.dll – 提供ObtainUserAgentString函数，用于获取浏览器User-Agent
• USER32.dll – 提供基本的窗口和消息处理功能
• SHELL32.dll – 提供Shell功能和文件夹路径获取

3.4 导入表分析小结

通过导入表分析，我们可以初步判断该样本具备以下能力：

1. HTTP网络通信能力（WINHTTP.dll）
2. 系统文件和进程操作能力（KERNEL32.dll）
3. 权限提升和服务控制能力（ADVAPI32.dll）
4. 用户代理伪装能力（urlmon.dll）

特别值得注意的是，所有导入的API函数都以”W”结尾（如CreateProcessW、LogonUserW），这表明程序内部使用Unicode字符编码。这个发现对后续的字符串提取分析至关重要。

四、字符串提取与分析

4.1 为什么字符串分析如此重要

字符串分析是恶意软件静态分析中最直接有效的方法之一。恶意软件在运行时需要使用各种字符串，如：

• 网络地址（IP、域名、URL）
• 文件路径和文件名
• 注册表键值
• 命令行参数
• 加密密钥
• 配置信息

这些字符串通常以明文形式存储在PE文件中，通过提取和分析这些字符串，我们可以快速了解恶意软件的行为特征。

4.2 ASCII字符串提取

首先，我们使用strings命令的默认模式提取ASCII编码的字符串：

strings f67b65b9346ee75a26f491b70bf6091b

执行后，我们得到了172行字符串输出。在这些字符串中，我们发现了一些有价值的信息：

PE文件结构相关：

• .text、.rdata、.data、.rsrc、.reloc – PE文件的标准节区名称

DLL库名称：

• SHLWAPI.dll
• WINHTTP.dll
• urlmon.dll
• KERNEL32.dll
• USER32.dll
• ADVAPI32.dll
• SHELL32.dll

WinHTTP API函数名：

• WinHttpOpen、WinHttpConnect、WinHttpReadData、WinHttpWriteData等

这些发现与我们之前的导入表分析结果相互印证，确认了样本的网络通信能力。

但是，我们注意到一个关键问题：在ASCII字符串中，我们没有发现任何IP地址、域名或URL等网络地址信息。这是为什么呢？

4.3 Unicode字符串提取 – 关键突破

回顾导入表分析，我们发现所有API函数都以”W”结尾，这表明程序使用Unicode编码。Windows提供了两套API：

• ANSI版本（以A结尾）：使用单字节字符集
• Unicode版本（以W结尾）：使用UTF-16 LE编码

因此，我们需要使用strings命令的-e l参数来提取UTF-16 Little Endian编码的字符串：

strings -e l f67b65b9346ee75a26f491b70bf6091b

执行后，我们获得了重大突破：

Temp
%ComSpec%
/c %s
/c sc stop %s
TEMP
Mozilla/4.0 (compatible; MSIE 7.0; Windows NT 5.1; InfoPath.1)
10.15.1.69:3128
POST
5.39.218.152
imapi

这些字符串包含了大量关键信息，让我们逐一分析。

五、关键字符串深度解析

5.1 命令执行相关字符串

%ComSpec% 和 /c %s

%ComSpec%是Windows系统环境变量，通常指向C:\Windows\System32\cmd.exe。配合/c参数使用，表示执行命令后关闭命令提示符窗口。%s是格式化字符串占位符，表示这里会被替换为实际的命令。

这表明恶意软件具备执行任意系统命令的能力，可以通过cmd.exe执行攻击者下发的指令。

/c sc stop %s

sc stop是Windows服务控制命令，用于停止指定的系统服务。这说明恶意软件会尝试停止某些服务，可能是：

• 安全软件服务（防病毒、防火墙）
• 日志记录服务
• 备份服务
• 监控服务

imapi

IMAPI（Image Mastering API）是Windows的光盘刻录服务。恶意软件可能会停止此服务，在工业控制系统中可能用于阻止数据备份或日志刻录。

5.2 网络通信相关字符串

User-Agent字符串

Mozilla/4.0 (compatible; MSIE 7.0; Windows NT 5.1; InfoPath.1)

这是一个伪装的浏览器User-Agent字符串，模拟Internet Explorer 7.0在Windows XP（NT 5.1）系统上的访问。恶意软件使用此User-Agent的目的是：

1. 伪装成正常的浏览器流量，降低被检测的风险
2. 绕过基于User-Agent的简单过滤规则
3. 混淆在网络流量监控中的特征
4. 使恶意流量看起来像普通的网页浏览行为

HTTP方法：POST

字符串中出现的POST表明恶意软件使用HTTP POST方法与服务器通信。POST方法通常用于向服务器提交数据，这意味着恶意软件会主动向C&C服务器上传信息，可能包括：

• 受感染主机的系统信息
• 窃取的敏感数据
• 执行命令的结果
• 心跳包（保持连接活跃）

5.3 C&C服务器地址分析

在提取的Unicode字符串中，我们发现了两个关键的网络地址：

地址1：10.15.1.69:3128

这是一个内网IP地址，具有以下特征：

• 属于私有地址段（10.0.0.0/8）
• 端口3128是HTTP代理服务的标准端口（如Squid代理）
• 无法从互联网直接访问

这个地址的出现表明：

• 恶意软件支持通过HTTP代理进行通信
• 在某些部署环境中，可能需要通过内网代理访问外部网络
• 这是针对工业控制系统网络环境的特殊设计

地址2：5.39.218.152

这是一个公网IP地址，具有以下特征：

• 真实的互联网可路由地址
• 没有指定端口号，可能使用HTTP默认端口80或HTTPS默认端口443
• 紧跟在POST方法之后出现
• 可以从互联网任何位置访问

5.4 确定真正的C&C服务器

通过对两个地址的分析和字符串出现顺序的研究，我们可以推断出恶意软件的网络通信架构：

可能的通信路径1（通过代理）：

恶意软件 → 代理服务器(10.15.1.69:3128) → C&C服务器(5.39.218.152)

可能的通信路径2（直接连接）：

恶意软件 → C&C服务器(5.39.218.152)

基于以下证据，我们确定5.39.218.152是真正的远程C&C控制服务器：

1. 公网可达性：作为远程控制服务器，必须是公网IP地址才能被互联网上的受感染主机访问
2. 字符串位置：该IP地址紧跟在POST方法之后，符合HTTP请求目标地址的特征
3. 独立性：该地址没有端口号，说明使用标准HTTP/HTTPS端口，这是C&C服务器的典型配置
4. 逻辑推理：10.15.1.69是内网代理，用于在特定网络环境中转发流量，而5.39.218.152才是最终的控制端点

六、技术原理深度讲解

6.1 为什么必须提取Unicode字符串

这是本次分析中最关键的技术点，也是许多初学者容易忽略的地方。

Windows API的双重字符编码体系

Windows系统为了兼容性和国际化，提供了两套并行的API：

1. ANSI版本（A后缀）：

• 函数名以A结尾，如CreateFileA、CreateProcessA
• 使用单字节字符集（SBCS）或多字节字符集（MBCS）
• 字符串以单字节形式存储
• 主要用于向后兼容旧版本Windows

1. Unicode版本（W后缀）：

• 函数名以W结尾，如CreateFileW、CreateProcessW
• 使用UTF-16 Little Endian编码
• 每个字符占用2个字节
• 现代Windows程序的标准选择

从导入表分析可以看到，该样本大量使用W结尾的API函数，这明确表明程序内部使用Unicode字符串。

Unicode字符串的存储方式

在PE文件中，Unicode字符串以UTF-16 Little Endian格式存储。以字符串”POST”为例：

ASCII编码：   50 4F 53 54
Unicode编码： 50 00 4F 00 53 00 54 00

可以看到，Unicode编码中每个字符占用2个字节，ASCII字符的高字节为0x00。

strings命令的工作原理

默认的strings命令只能识别连续的可打印ASCII字符（字节值在0x20-0x7E之间）。当遇到Unicode字符串时：

• 看到”P”（0x50），识别为可打印字符
• 看到0x00，识别为字符串结束符
• 无法继续识别后续的”OST”

因此，默认strings命令无法提取Unicode字符串。

strings命令的-e参数

strings命令提供了-e参数来指定字符编码格式：

-e encoding
    s = single-7-bit-byte characters (ASCII, 默认)
    S = single-8-bit-byte characters
    b = 16-bit bigendian
    l = 16-bit littleendian (UTF-16 LE)
    B = 32-bit bigendian
    L = 32-bit littleendian

使用-e l参数可以提取UTF-16 LE编码的字符串，这正是Windows Unicode字符串的编码方式。这就是为什么strings -e l能够成功提取到C&C服务器地址，而默认的strings命令无法提取。

6.2 WinHTTP通信机制详解

恶意软件使用WinHTTP API进行网络通信。WinHTTP是Windows提供的高级HTTP客户端接口，专门用于服务和后台应用程序。

典型的WinHTTP通信流程

1. WinHttpOpen()
   - 初始化HTTP会话
   - 设置User-Agent字符串
   - 返回会话句柄

2. WinHttpConnect()
   - 连接到目标服务器（5.39.218.152）
   - 指定端口号（默认80或443）
   - 返回连接句柄

3. WinHttpOpenRequest()
   - 创建HTTP请求对象
   - 指定HTTP方法（POST）
   - 指定请求路径
   - 返回请求句柄

4. WinHttpSendRequest()
   - 发送HTTP请求头
   - 发送请求体数据
   - 等待服务器响应

5. WinHttpReceiveResponse()
   - 接收服务器的HTTP响应
   - 解析响应头

6. WinHttpReadData()
   - 读取响应体内容
   - 可能包含攻击者的指令

7. WinHttpCloseHandle()
   - 关闭所有句柄
   - 释放资源

为什么选择WinHTTP而不是WinINet

WinHTTP相比WinINet有以下优势：

• 更适合服务和后台应用程序
• 不受Internet Explorer设置影响
• 更好的代理支持和配置灵活性
• 更稳定的服务器端通信
• 支持异步操作

这些特性使得WinHTTP成为恶意软件开发者的首选，特别是针对工业控制系统这类需要稳定后台通信的场景。

6.3 HTTP代理机制

字符串中出现的10.15.1.69:3128代理地址揭示了恶意软件的一个重要特性：支持HTTP代理。

工业控制系统的网络环境特点

在工业控制系统环境中，出于安全考虑：

• 内网主机通常不能直接访问互联网
• 必须通过代理服务器进行外部通信
• 代理服务器可以进行流量审计和过滤
• 3128端口是Squid等代理服务器的标准端口

恶意软件如何使用代理

恶意软件通过WinHttpSetOption函数配置代理：

// 伪代码示例
WINHTTP_PROXY_INFO proxyInfo;
proxyInfo.dwAccessType = WINHTTP_ACCESS_TYPE_NAMED_PROXY;
proxyInfo.lpszProxy = L"10.15.1.69:3128";
proxyInfo.lpszProxyBypass = NULL;

WinHttpSetOption(hRequest, WINHTTP_OPTION_PROXY, &proxyInfo, sizeof(proxyInfo));

这种设计使得恶意软件能够适应不同的网络环境，无论目标系统是否需要代理都能正常通信。

七、恶意软件行为能力总结

通过静态分析，我们可以总结出该恶意软件具备以下完整能力：

7.1 网络通信能力

• 使用WinHTTP API与远程C&C服务器（5.39.218.152）建立HTTP通信
• 支持HTTP代理（10.15.1.69:3128），适应工业网络环境
• 使用POST方法向服务器上传数据
• 伪装User-Agent为IE 7.0，混淆网络流量特征
• 可接收服务器下发的指令并执行

7.2 系统控制能力

• 执行任意系统命令（通过cmd.exe）
• 控制Windows服务（启动、停止、修改配置）
• 创建和管理进程
• 文件操作（创建、读取、写入、删除）
• 线程管理和同步控制

7.3 权限提升能力

• 用户身份验证和模拟
• 访问令牌复制和操作
• 以指定用户身份创建进程
• 服务管理权限
• 可能实现权限提升攻击

7.4 针对工业系统的特性

• 停止IMAPI服务，阻止数据备份
• 适应工业控制系统的网络环境（代理支持）
• 后台静默运行，不干扰正常业务
• 持久化通信机制，保持与C&C服务器的连接

八、检测与防御建议

8.1 网络层面检测

监控异常外联行为

在防火墙或IDS/IPS设备上配置规则，监控并阻断以下行为：

• 向IP地址5.39.218.152的连接请求
• 使用过时User-Agent（IE 7.0）的HTTP请求
• 异常的HTTP POST请求频率
• 向非标准端口的HTTP通信

代理服务器日志分析

定期检查代理服务器日志，查找：

• 异常的目标IP地址
• 高频率的POST请求
• 可疑的User-Agent字符串
• 大量数据上传行为

8.2 主机层面检测

文件哈希检测

在终端安全产品中添加该样本的哈希值：

MD5: f67b65b9346ee75a26f491b70bf6091b
SHA256: 37d54e3d5e8b838f366b9c202f75fa264611a12444e62ae759c31a0d041aa6e4

行为监控

监控以下可疑行为：

• 进程调用WinHTTP API进行网络通信
• 使用cmd.exe执行sc stop命令
• 尝试停止IMAPI或其他系统服务
• 异常的权限提升行为
• 未签名的PE32可执行文件运行

8.3 工业控制系统专项防护

网络隔离

• 实施严格的网络分区，将工控网络与办公网络物理隔离
• 在工控网络边界部署工业防火墙
• 禁止工控主机直接访问互联网
• 限制工控网络与外部网络的通信

白名单机制

• 在工控主机上部署应用白名单，只允许授权程序运行
• 限制可执行文件的来源和执行权限
• 禁用不必要的系统服务
• 定期审查白名单配置

定期安全审计

• 定期检查系统中的可疑文件
• 审计网络连接日志
• 监控服务状态变化
• 检查异常的进程和网络连接

九、分析方法总结

9.1 静态分析的系统化流程

本次分析采用了系统化的静态分析方法，遵循以下流程：

第一步：文件类型识别

• 使用file命令快速识别文件类型
• 确定目标平台和架构
• 为后续分析选择合适的工具

第二步：导入表分析

• 使用objdump分析PE文件的导入表
• 识别程序调用的外部函数
• 推断程序的功能特征
• 特别关注网络通信、权限操作相关的API

第三步：字符串提取

• 提取ASCII字符串（默认模式）
• 提取Unicode字符串（-e l参数）
• 分析字符串的上下文关系
• 定位关键信息（IP地址、域名、命令等）

第四步：综合分析

• 将导入表和字符串分析结果相互印证
• 推断恶意软件的通信机制
• 确定C&C服务器地址
• 评估威胁等级和影响范围

9.2 关键技术要点

Unicode字符串提取是成功的关键

这是本次分析中最重要的技术点：

• 观察导入表中的API函数后缀（W表示Unicode）
• 使用strings -e l提取UTF-16 LE编码的字符串
• 不要只依赖默认的ASCII字符串提取
• 这是分析现代Windows恶意软件的必备技能

导入表分析提供方向指引

• 导入表是快速了解程序功能的窗口
• WINHTTP.dll表明网络通信能力
• ADVAPI32.dll表明权限操作能力
• 导入表分析可以指导后续的深入分析

字符串上下文分析

• 不要孤立地看待单个字符串
• 分析字符串的出现顺序和位置关系
• 结合导入表推断字符串的用途
• 区分内网地址和公网地址

十、结论

10.1 分析结果

通过系统化的静态分析，我们成功定位了该工业恶意软件的远程C&C控制服务器地址：

C&C服务器地址：5.39.218.152

10.2 关键发现总结

1. 样本类型：Windows PE32可执行文件，针对工业控制系统
2. 通信协议：HTTP POST方法
3. C&C服务器：5.39.218.152（公网IP）
4. 代理支持：10.15.1.69:3128（内网代理）
5. 伪装特征：IE 7.0 User-Agent
6. 核心能力：远程命令执行、服务控制、权限提升

10.3 技术意义

本次分析揭示了针对工业控制系统的恶意软件的典型特征：

隐蔽性设计

• 使用标准HTTP协议，容易混入正常流量
• 伪装浏览器User-Agent，降低检测概率
• 支持代理服务器，适应工业网络环境

功能完整性

• 具备完整的远程控制能力
• 可执行任意系统命令
• 能够操控系统服务和权限

针对性强

• 专门针对工业控制系统网络环境设计
• 考虑了工业网络的代理需求
• 具备停止特定服务的能力

十一、学习要点与实战建议

11.1 初学者必须掌握的技能

工具使用

1. file命令：快速识别文件类型
2. objdump命令：分析PE文件结构和导入表
3. strings命令：提取字符串，特别注意-e参数的使用

分析思路

1. 从已知到未知的推理过程
2. 多种分析方法相互印证
3. 关注细节，不放过任何线索
4. 建立系统化的分析流程

11.2 常见错误与避免方法

错误1：只提取ASCII字符串

问题：遗漏Unicode编码的关键信息 解决：始终同时提取ASCII和Unicode字符串

错误2：看到第一个IP就下结论

问题：10.15.1.69是内网代理地址，不是真正的C&C 解决：分析所有发现的地址，结合上下文判断

错误3：忽略导入表分析

问题：不了解程序功能，盲目搜索 解决：先分析导入表，确定分析方向

错误4：孤立地看待字符串

问题：无法理解字符串的真实含义 解决：分析字符串的上下文和相互关系

11.3 不同角色的实战建议

对于CTF选手

• 遇到Windows PE文件，务必同时提取ASCII和Unicode字符串
• 关注导入表中的关键DLL（WINHTTP、WinINet、ws2_32等）
• 分析字符串的上下文关系，不要孤立地看待单个字符串
• 建立自己的分析工具集和命令模板

对于安全分析人员

• 建立系统化的分析流程：文件识别→导入表→字符串→行为分析
• 使用多种工具交叉验证（strings、objdump、IDA等）
• 记录分析过程，便于复盘和知识积累
• 建立样本库和威胁情报数据库

对于工控安全从业者

• 重点关注针对工业系统的恶意软件特征
• 建立工控环境的威胁情报库
• 加强网络边界监控和异常流量检测
• 定期进行安全评估和渗透测试
• 建立应急响应预案

十二、结束语

本文通过对一个工业恶意软件样本的完整静态分析，展示了从文件识别到C&C服务器定位的全过程。核心技术点在于正确使用strings命令提取Unicode字符串，这是分析Windows恶意软件时不可或缺的技能。

通过本案例的学习，读者应该掌握：

• PE文件的基本分析方法
• 导入表分析技术
• ASCII和Unicode字符串提取技巧
• 网络通信特征识别
• C&C服务器定位方法
• 系统化的分析流程

工业控制系统的安全防护需要多层次、多维度的防御体系。静态分析是威胁情报获取的重要手段，通过分析恶意软件样本，我们可以提取IOC（入侵指标），用于网络监控和威胁检测，从而提升整体安全防护能力。

希望本文能够帮助安全从业者和CTF爱好者更好地理解恶意软件分析技术，在实战中灵活运用这些方法和技巧。

---

附录：样本信息汇总

基本信息

• 文件名：f67b65b9346ee75a26f491b70bf6091b
• 文件类型：PE32 executable (GUI) Intel 80386, for MS Windows
• MD5：f67b65b9346ee75a26f491b70bf6091b
• SHA256：37d54e3d5e8b838f366b9c202f75fa264611a12444e62ae759c31a0d041aa6e4

网络通信信息

• C&C服务器：5.39.218.152
• 代理地址：10.15.1.69:3128
• 通信协议：HTTP POST
• User-Agent：Mozilla/4.0 (compatible; MSIE 7.0; Windows NT 5.1; InfoPath.1)

关键DLL库

• WINHTTP.dll – HTTP通信
• KERNEL32.dll – 系统核心功能
• ADVAPI32.dll – 高级系统服务
• SHLWAPI.dll – 路径处理
• urlmon.dll – User-Agent获取

恶意行为特征

• 执行任意系统命令
• 停止系统服务（如IMAPI）
• 权限提升和令牌操作
• 远程命令与控制

分析命令汇总

# 文件类型识别
file f67b65b9346ee75a26f491b70bf6091b

# 哈希值计算
md5sum f67b65b9346ee75a26f491b70bf6091b
sha256sum f67b65b9346ee75a26f491b70bf6091b

# 导入表分析
objdump -p f67b65b9346ee75a26f491b70bf6091b | grep -A 5 "DLL Name"

# ASCII字符串提取
strings f67b65b9346ee75a26f491b70bf6091b

# Unicode字符串提取（关键）
strings -e l f67b65b9346ee75a26f491b70bf6091b

---

最终答案

通过系统化的静态分析，我们成功定位了该工业恶意软件的远程C&C控制服务器地址：

Flag: 5.39.218.152

---

免责声明：

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景，旨在提升网络安全防护能力，具有明确的技术研究属性。

任何单位或个人未经授权，将本文内容用于攻击、破坏等非法用途的，由此引发的全部法律责任、民事赔偿及连带责任，均由行为人独立承担，本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布，若存在版权侵权或其他异议，请通过邮件联系处理，具体联系方式可点击页面上方的联系我。

本文转载自：破镜安全 破镜安全 破镜安全《工业恶意软件后门深度分析：从样本到C&C服务器的完整溯源》