首页
社区
课程
招聘
[原创]恶意代码分析模板
发表于: 2012-5-19 06:32 52610

[原创]恶意代码分析模板

2012-5-19 06:32
52610
基本信息

  报告名称:                                                   
  作者:                                                            
  报告更新日期:                                            
  样本发现日期:                                            
  样本类型:                                                   
  样本文件大小/被感染文件变化长度:   
  样本文件MD5 校验值:                             
  样本文件SHA1 校验值:                           
  壳信息:                                                        
  可能受到威胁的系统:                                
  相关漏洞:                                                   
  已知检测名称:                                            



本节的主要目的是简单介绍样本的目的,类型,一两句画龙点睛即可。

例如:
[I][样本名称 ]是一个针对FTP软件用户,窃取系统及个人信息的木马。[/I]

被感染系及网症状

本节的主要目的是帮助潜在读者快速识别被感染后的症状。

文件系统变

[将要/可能]被[创建/修改/删除]的[文件/目录]

注册表

[将要/可能]被[创建/修改/删除]的[注册表键/键值]

症状

被监听的端口,向指定目标及端口的网络活动及类型,等等

详细分析/功能介

首先,此详细非彼详细。一份好的报告应该能让尽可能多的读者读懂,而不仅仅局限于分析师。本节的主要目的是向潜在读者提供样本的详细功能。

例如:
[I]当[样本名称]被运行后,会进行如下操作:[/I]

[I]1.     [/I][I]检测操作系统是否运行在Vmware虚拟机中,如果发现自动终止运行

[/I][I]2.     [/I][I]将恶意代码注入如下任意进程以隐藏自身:[/I]


[*][I]explorer.exe[/I]
[*][I]svchost.exe[/I]

[I]3.     [/I][I]将原始文件以[随机文件名]复制到[目标路径]
[/I]
[I]4.     [/I][I]设置如下注册表键值以在系统重新启动后自动加载[/I]


[*][I]HKLM/Software/Microsoft/Windows/CurrentVersion/Run/”demo_value_name” = [[/I][I]目标路径][/I]

[I]5.     [/I][I]设置如下注册表键值以降低系统安全[/I]


[*][I]HKLM\Software\Microsoft\Security Center\”FirewallOverride” = 1[/I]
[*][I]HKLM\Software\Microsoft\Security Center\”AntiFirewallDisableNotify” = 1[/I]

[I]6.     [/I][I]创建临时批处理文件,并以之删除原始安装文件
[/I]
[I]7.     [/I][I]尝试连接如下域名以测试互联网连接是否有效:[/I]


[*][I]http://www.google.com[/I]
[*][I]http://www.yahoo.com[/I]

[I]8.     [/I][I]收集系统信息(CPU,硬盘, 操作系统版本。。。等等)
[/I]
[I]9.     [/I][I]尝试窃取如下FTP客户端中保存的用户帐号:[/I]  


[*][I]FlashFXP[/I]
[*][I]Total Commander[/I]
[*][I]WS_FTP[/I]

[I]10.  [/I][I]监听并纪录用户键盘活动
[/I]
[I]11.  将以上所有收集到的信息加密后发送至[目标地址][/I]


如果有必要,并且可能的话,请注意区分各个模块的功能,这是因为如果不同模块发生了变化,读者可以更好的理解为什么某些症状出现了,某些没有,可能受到的影响又有些什么,等等。

例如:

[I][模块1]是下载器,被运行后会进行如下操作:[/I]
  [I]。。。[/I]
  
[I][模块2]是木马主体,被运行后会进行如下操作:[/I]
  [I]。。。[/I]

相关服器信息分析

本节可以提供一些详细的目标域名, IP  地址,邮件地址等等相关信息。这样可以方便企业/政府用户更好的了解/追踪该恶意代码的作者/运营者。

防及修复措施

当然,如果就职于某行业内公司,本节通常会提供相关产品的修复操作步骤。
不过这里我们还是为那些没有安装安软的普通用户来介绍一下,需要安装的安全补丁,如何手动恢复被感染的环境,例如如何一步步的删除/修改相关注册表键值,文件等等。

术热点及总结

辛苦坚持看到了这里,是不是抱怨这个文档不够吸引人了吧?别担心。。。

正如之前提到的,一份好的分析报告需要面向的不仅仅是分析师。。。
设想一下如果自己不是分析师,无论是普通个人,企业或是政府用户,读完了以上信息难道还不够吗?
所以如果有朝一日你决定进入安防行业,虽然不同的公司肯定会有不同的模板,但以上内容基本上包揽了贵公司宝贵客户所需要的信息。

客户需要在最短的时间内获得容易消化的信息及方案。记住并落实好这句话,就一定能吃好这碗饭。

好了,饭碗归饭碗,该有的娱乐也得有,不然怎么对得起看雪这块响亮得牌子啊,我们继续。

本节我们可以讨论一些不同寻常的技术细节,不仅仅局限于样本本身,保护壳,实现方式,算法,资源,分析手段,脚本,以及任何能让其他分析师感兴趣的东西。如果有必要,并且时间允许的话,还可以再研究一下如何写修复工具,解密工具,监视工具,等等。

补充一下,如果不是精华部分并且又有足够的注释的话,不建议提供过多的反汇编代码或是截图,一个出色的分析师需要的不是看懂每一行汇编,而是在有限的时间内尽可能详细的理解并获得客户需要的信息。

最后,希望这个模板能帮助有兴趣进入或是初入安防领域的朋友更好的理解并适应相关工作内容,玩得开心

[培训]内核驱动高级班,冲击BAT一流互联网大厂工作,每周日13:00-18:00直播授课

收藏
免费 0
支持
分享
最新回复 (19)
雪    币: 503
活跃值: (80)
能力值: (RANK:280 )
在线值:
发帖
回帖
粉丝
2
如果方便的话,能提供原始样本,或用免费版的IDA创建一个IDB更好
2012-5-19 06:48
0
雪    币: 1505
能力值: (RANK:210 )
在线值:
发帖
回帖
粉丝
3
顶乌龟大师 非常有用的的东西
2012-5-19 09:14
0
雪    币: 27
活跃值: (127)
能力值: ( LV8,RANK:120 )
在线值:
发帖
回帖
粉丝
4
挺枯燥的
2012-5-19 09:48
0
雪    币: 183
活跃值: (55)
能力值: ( LV3,RANK:20 )
在线值:
发帖
回帖
粉丝
5
乌龟大大顶一个!!!!
2012-5-19 10:16
0
雪    币: 503
活跃值: (80)
能力值: (RANK:280 )
在线值:
发帖
回帖
粉丝
6
逆向这个兴趣,首先要培养的就是忍受甚至享受枯燥
另一方面,很清晰的记得13年前某位牛哥对我说过一句话很有意思,“当兴趣成为工作后,就不再是兴趣了”
没入行之前某些工作看起来光鲜亮丽,但实际工作之后。。。
比如我喜欢玩算法玩rootkit,但只玩这些我肯定会饿死
无论是在哪家公司,如果要靠自己立足下去,记住这句话“公司聘用员工的原因很简单,为公司创造利益”

所以要做好一份工作,和玩好一个兴趣不是一回事
而玩好这个兴趣,没有日积月累的枯燥更无从谈起
2012-5-19 16:28
0
雪    币: 239
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
7
来顶乌龟大师~~
2012-5-21 15:16
0
雪    币: 47147
活跃值: (20460)
能力值: (RANK:350 )
在线值:
发帖
回帖
粉丝
8
顶乌龟大师!
很规范模板,以后这个版块的恶意软件相关分析帖子,用这个模板做为标准设置“精华”。
2012-5-21 18:58
0
雪    币: 2882
活跃值: (1279)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
yjd
9
说得真好。支持
2012-5-21 20:17
0
雪    币: 534
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
10
这个确实是有用的东西, 谢谢乌龟大师.
2012-5-22 09:08
0
雪    币: 40
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
11
收益了,谢谢乌龟大师
2012-6-4 22:16
0
雪    币: 220
活跃值: (117)
能力值: ( LV4,RANK:50 )
在线值:
发帖
回帖
粉丝
12
亲..那想向分析师走的咋办?..
2012-11-22 09:07
0
雪    币: 217
活跃值: (91)
能力值: ( LV4,RANK:50 )
在线值:
发帖
回帖
粉丝
13
当兴趣成为工作后,就不再是兴趣了
比较赞成啊
2012-12-22 17:08
0
雪    币: 12
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
14
新手入门手册哈!学习了
2013-2-19 10:41
0
雪    币: 433
活跃值: (1870)
能力值: ( LV17,RANK:1820 )
在线值:
发帖
回帖
粉丝
15
当兴趣变成工作,我觉得应该庆幸,因为不是每个人都有这种机会的,毕竟多数情况下兴趣不能当饭吃;但工作后,并不能把兴趣当工作,正如mstwugui大神所说的:“公司聘用员工的原因很简单,为公司创造利益”,所以工作后有时需要将兴趣暂时放下,但业余时间搞点兴趣的东西,也许可能因此获得更多的机会,至少不要忘记自己的初衷:因何而来,又往何去!
2013-2-19 16:52
0
雪    币: 24
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
16
谢谢分享,如果有个例子,就更好了!
2013-6-9 08:56
0
雪    币: 276
活跃值: (26)
能力值: ( LV3,RANK:20 )
在线值:
发帖
回帖
粉丝
17
感谢,挺好的
2013-9-21 18:06
0
雪    币: 0
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
18
谢谢,看了这篇文章似乎学到了什么。
2014-3-17 10:51
0
雪    币: 716
活跃值: (158)
能力值: ( LV4,RANK:50 )
在线值:
发帖
回帖
粉丝
19
每次看神龟的文章都有着成长,我想这也是神龟发表这些文章的宗旨,谢谢神龟,引领我们成长!
2015-1-24 15:52
0
雪    币: 281
活跃值: (20)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
20
大牛说的言之有理啊啊
2016-3-9 23:43
0
游客
登录 | 注册 方可回帖
返回
//