当前位置 博文首页 > OIqng的博客:恶意IP:你能找出我吗?
下载解压得到f67b65b9346ee75a26f491b70bf6091b未知文件
使用file命令查看文件类型,得知为PE文件
PE文件简要说明
PE全称是Portable Executable,是Windows操作系统下使用的一种可执行文件,由COFF(UNIX平台下的通用对象文件格式)格式文件发展而来。32位成为PE32,64位称为PE+或PE32+
将文件在IDA中选择Search—Text收锁关键字"HTTP",来寻找内容
当通过搜索关键字"HTTP",找到个"WinHttpWriteData"
点击进去发现两个IP地址10.15.1.69:3128和5.39.218.152,尝试提交,最终IP地址5.39.218.152提交成功,因此恶意IP为5.39.218.152