是否有可能反向工程僵尸网络“节点”，找到硬编码的值，如CnC服务器的IP？

Question

我想知道是否有可能反向工程僵尸网络的“节点”(也就是客户机/恶意软件)，找到硬编码的值，比如命令服务器的IP (CnC服务器)来捕获僵尸网络的操作员？

比如，如果有一些变量let server = "some_ip_goes_here"，并且它被编译成一个.EXE，那么您“去编译”它吗？

Answer 1

可以反向工程僵尸网络的“节点”(也就是客户机/恶意软件)，找到硬编码的值，比如命令服务器的IP (CnC服务器)来捕获僵尸网络的操作员？

是

有可能是…吗如果存在一些变量let server = "some_ip_goes_here“，并将其编译为.EXE，那么您可以”去编译“吗？

是

但也可以设计一个没有C&C IP地址硬编码的机器人。机器人可以用“不要打电话给我们，我们叫你”的哲学来设计。

在这种情况下，再多的反编译都不会指向C&C服务器。你需要记录它的发生。

Answer 2

理论上说是的。

实际上，写这些东西的人(或者至少是那些编写工具包来生成这些东西的人)并不笨，而且知道人们会尝试去分解它们，所以他们会采取各种步骤，让提取这些信息变得非常困难。不要指望只把可执行文件放到Ghidra中，然后地址就会弹出。