恶意代码分析模板

基本信息


  报告名称：                                                    
  作者：                                                            
  报告更新日期：                                            
  样本发现日期：                                            
  样本类型：                                                    
  样本文件大小／被感染文件变化长度：    
  样本文件MD5 校验值：                             
  样本文件SHA1 校验值：                            
  壳信息：                                                        
  可能受到威胁的系统：                                
  相关漏洞：                                                    
  已知检测名称：                                            




简介


本节的主要目的是简单介绍样本的目的，类型，一两句画龙点睛即可。 


例如：
［样本名称 ］是一个针对FTP软件用户，窃取系统及个人信息的木马。




被感染系统及网络症状


本节的主要目的是帮助潜在读者快速识别被感染后的症状。




文件系统变化


［将要／可能］被［创建／修改／删除］的［文件／目录］




注册表变化


［将要／可能］被［创建／修改／删除］的［注册表键／键值］




网络症状


被监听的端口，向指定目标及端口的网络活动及类型，等等




详细分析／功能介绍


首先，此详细非彼详细。一份好的报告应该能让尽可能多的读者读懂，而不仅仅局限于分析师。本节的主要目的是向潜在读者提供样本的详细功能。 


例如：
当［样本名称］被运行后，会进行如下操作：


1.     检测操作系统是否运行在Vmware虚拟机中，如果发现自动终止运行


2.     将恶意代码注入如下任意进程以隐藏自身：
explorer.exe
svchost.exe
3.     将原始文件以［随机文件名］复制到［目标路径］


4.     设置如下注册表键值以在系统重新启动后自动加载
HKLM/Software/Microsoft/Windows/CurrentVersion/Run/”demo_value_name” = [目标路径]
5.     设置如下注册表键值以降低系统安全
HKLM\Software\Microsoft\Security Center\”FirewallOverride” = 1
HKLM\Software\Microsoft\Security Center\”AntiFirewallDisableNotify” = 1
6.     创建临时批处理文件，并以之删除原始安装文件


7.     尝试连接如下域名以测试互联网连接是否有效：
http://www.google.com
http://www.yahoo.com
8.     收集系统信息（CPU，硬盘， 操作系统版本。。。等等）


9.     尝试窃取如下FTP客户端中保存的用户帐号：  
FlashFXP
Total Commander
WS_FTP
10.  监听并纪录用户键盘活动


11.  将以上所有收集到的信息加密后发送至［目标地址］




如果有必要，并且可能的话，请注意区分各个模块的功能，这是因为如果不同模块发生了变化，读者可以更好的理解为什么某些症状出现了，某些没有，可能受到的影响又有些什么，等等。


例如：


［模块1］是下载器，被运行后会进行如下操作：
  。。。
  
［模块2］是木马主体，被运行后会进行如下操作：
  。。。