在分析可執行文件（PE 文件）時，時間戳字段一直是安全研究人員的重要參考(當前日期 - 時間戳值 > 閾值 → 標記為可疑)，用來推測文件的構建時間，甚至作為惡意軟件分析的重要依據。
然而，隨著 Windows 10 及之后版本的構建方式變化，依賴時間戳字段來判斷可疑文件，已經越來越不可靠。

什么是 PE 文件的時間戳？

在標準編譯的 PE 文件中，COFF Header 中有一個名為 TimeDateStamp 的字段。過去，大多數編譯器和鏈接器在編譯時會把當前時間寫入這個字段，用來記錄可執行文件的構建時間。早期，這個信息很有價值——不僅可以用來判斷軟件的版本和構建周期，還能幫助安全人員推測惡意軟件的開發時間線，從而分析威脅行為者的活動歷史。

Windows 10 之后發生了什么變化？

到了 Windows 10 時代，很多研究人員發現：

系統二進制文件的時間戳看起來很奇怪，不像是正常的編譯時間。

這是因為 微軟引入了“可復現構建”（Reproducible Build）。在 MSVC 鏈接器中，有一個早在 VS 2013（傳說中）就存在的隱藏選項 /BREPRO。開啟它后，鏈接器不會再把編譯時間寫進 TimeDateStamp，而是寫入一個基于內容計算的可復現哈希值。這樣做的好處是——同一份源碼在不同機器、不同時間編譯，生成的二進制完全一致，便于驗證構建的完整性。

微軟為什么要這么做？

https://devblogs.microsoft.com/oldnewthing/20180103-00/?p=97705

https://stackoverflow.com/questions/75891687/potential-downsides-of-brepro-msvc-linker-option

如何判斷一個時間戳是不是可復現構建的哈希？

方法很簡單：

1. 1. 查看 PE 文件的 Debug Directory（調試目錄）；
2. 2. 如果里面有 IMAGE_DEBUG_TYPE_REPRO（值為 0x16），那么大概率是可復現構建；
3. 3. 進一步可以對 PE 文件計算 SHA256;
4. 4. 工具方面，目前已知：
5. 5.
• ? PE-Bear：簡單檢測 IMAGE_DEBUG_TYPE_REPRO 是否存在，存在會顯示的是ReproChecksum。
• ? PEAnatomist：會驗證哈希的有效性。

So，說了這么多這跟誤報有什么關系？檢測上的坑：誤把哈希當時間

問題在于，很多安全檢測平臺并沒有意識到時間戳可能是哈希，而不是實際的編譯時間。它們依舊把這個字段當成“真相”，一旦發現文件的時間戳和當前時間差距很大，就直接標記為可疑，導致大量誤報。

2025 年了，很多沙箱平臺還用“時間戳是否合理”來判斷文件是否可疑，這對嗎？

總結

隨著開發與構建方式的演變，安全檢測也需要與時俱進。PE 文件的時間戳字段不再可靠，尤其是在可復現構建時代，繼續把它當成“真相”只會帶來更多誤報。安全分析人員和檢測平臺應更新檢測邏輯，結合可復現構建標志等更多信息，才能更準確地判斷文件的風險。

閱讀原文：原文鏈接