基本信息
报告名称:
作者:
报告更新日期:
样本发现日期:
样本类型:
样本文件大小/被感染文件变化长度:
样本文件MD5 校验值:
样本文件SHA1 校验值:
壳信息:
可能受到威胁的系统:
相关漏洞:
已知检测名称:
简介
本节的主要目的是简单介绍样本的目的,类型,一两句画龙点睛即可。
例如:
[样本名称 ]是一个针对FTP软件用户,窃取系统及个人信息的木马。
被感染系统及网络症状
本节的主要目的是帮助潜在读者快速识别被感染后的症状。
文件系统变化
[将要/可能]被[创建/修改/删除]的[文件/目录]
注册表变化
[将要/可能]被[创建/修改/删除]的[注册表键/键值]
网络症状
被监听的端口,向指定目标及端口的网络活动及类型,等等
详细分析/功能介绍
首先,此详细非彼详细。一份好的报告应该能让尽可能多的读者读懂,而不仅仅局限于分析师。本节的主要目的是向潜在读者提供样本的详细功能。
例如:
当[样本名称]被运行后,会进行如下操作:
- 检测操作系统是否运行在Vmware虚拟机中,如果发现自动终止运行
- 将恶意代码注入如下任意进程以隐藏自身:
- explorer.exe
- svchost.exe
- 将原始文件以[随机文件名]复制到[目标路径]
- 设置如下注册表键值以在系统重新启动后自动加载
- HKLM/Software/Microsoft/Windows/CurrentVersion/Run/”demo_value_name” = [
- 设置如下注册表键值以降低系统安全
- HKLM\Software\Microsoft\Security Center\”FirewallOverride” = 1
- HKLM\Software\Microsoft\Security Center\”AntiFirewallDisableNotify” = 1
- 创建临时批处理文件,并以之删除原始安装文件
- 尝试连接如下域名以测试互联网连接是否有效:
- 收集系统信息(CPU,硬盘, 操作系统版本。。。等等)
- 尝试窃取如下FTP客户端中保存的用户帐号:
- FlashFXP
- Total Commander
- WS_FTP
- 监听并纪录用户键盘活动
- 将以上所有收集到的信息加密后发送至[目标地址]
如果有必要,并且可能的话,请注意区分各个模块的功能,这是因为如果不同模块发生了变化,读者可以更好的理解为什么某些症状出现了,某些没有,可能受到的影响又有些什么,等等。
例如:
[模块1]是下载器,被运行后会进行如下操作:
。。。
[模块2]是木马主体,被运行后会进行如下操作:
。。。
相关服务器信息分析
本节可以提供一些详细的目标域名, IP 地址,邮件地址等等相关信息。这样可以方便企业/政府用户更好的了解/追踪该恶意代码的作者/运营者。
预防及修复措施
当然,如果就职于某行业内公司,本节通常会提供相关产品的修复操作步骤。
不过这里我们还是为那些没有安装安软的普通用户来介绍一下,需要安装的安全补丁,如何手动恢复被感染的环境,例如如何一步步的删除/修改相关注册表键值,文件等等。
技术热点及总结
辛苦坚持看到了这里,是不是抱怨这个文档不够吸引人了吧?别担心。。。
正如之前提到的,一份好的分析报告需要面向的不仅仅是分析师。。。
设想一下如果自己不是分析师,无论是普通个人,企业或是政府用户,读完了以上信息难道还不够吗?
所以如果有朝一日你决定进入安防行业,虽然不同的公司肯定会有不同的模板,但以上内容基本上包揽了贵公司宝贵客户所需要的信息。
客户需要在最短的时间内获得容易消化的信息及方案。记住并落实好这句话,就一定能吃好这碗饭。
好了,饭碗归饭碗,该有的娱乐也得有,不然怎么对得起看雪这块响亮得牌子啊,我们继续。
本节我们可以讨论一些不同寻常的技术细节,不仅仅局限于样本本身,保护壳,实现方式,算法,资源,分析手段,脚本,以及任何能让其他分析师感兴趣的东西。如果有必要,并且时间允许的话,还可以再研究一下如何写修复工具,解密工具,监视工具,等等。
补充一下,如果不是精华部分并且又有足够的注释的话,不建议提供过多的反汇编代码或是截图,一个出色的分析师需要的不是看懂每一行汇编,而是在有限的时间内尽可能详细的理解并获得客户需要的信息。
最后,希望这个模板能帮助有兴趣进入或是初入安防领域的朋友更好的理解并适应相关工作内容,玩得开心
转载乌龟大师的一篇文章,的确很多说得很好,来这里和大家分享
8882
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
