[原创]恶意代码分析模板-软件逆向-看雪-安全社区|安全招聘|kanxue.com

[原创]恶意代码分析模板

2012-5-19 06:32 51917

[原创]恶意代码分析模板

mstwugui

2012-5-19 06:32

51917

基本信息

  报告名称：
  作者：
  报告更新日期：
  样本发现日期：
  样本类型：
  样本文件大小／被感染文件变化长度：
  样本文件MD5 校验值：
  样本文件SHA1 校验值：
  壳信息：
  可能受到威胁的系统：
  相关漏洞：
  已知检测名称：

简介

本节的主要目的是简单介绍样本的目的，类型，一两句画龙点睛即可。

例如：
[I]［样本名称］是一个针对FTP软件用户，窃取系统及个人信息的木马。[/I]

被感染系统及网络症状

本节的主要目的是帮助潜在读者快速识别被感染后的症状。

文件系统变化

［将要／可能］被［创建／修改／删除］的［文件／目录］

注册表变化

［将要／可能］被［创建／修改／删除］的［注册表键／键值］

网络症状

被监听的端口，向指定目标及端口的网络活动及类型，等等

详细分析／功能介绍

首先，此详细非彼详细。一份好的报告应该能让尽可能多的读者读懂，而不仅仅局限于分析师。本节的主要目的是向潜在读者提供样本的详细功能。

例如：
[I]当［样本名称］被运行后，会进行如下操作：[/I]

[I]1.    [/I][I]检测操作系统是否运行在Vmware虚拟机中，如果发现自动终止运行

[/I][I]2.    [/I][I]将恶意代码注入如下任意进程以隐藏自身：[/I]

●
[*][I]explorer.exe[/I]
[*][I]svchost.exe[/I]

[I]3.    [/I][I]将原始文件以［随机文件名］复制到［目标路径］
[/I]
[I]4.    [/I][I]设置如下注册表键值以在系统重新启动后自动加载[/I]

●
[*][I]HKLM/Software/Microsoft/Windows/CurrentVersion/Run/”demo_value_name” = [[/I][I]目标路径][/I]

[I]5.    [/I][I]设置如下注册表键值以降低系统安全[/I]

●
[*][I]HKLM\Software\Microsoft\Security Center\”FirewallOverride” = 1[/I]
[*][I]HKLM\Software\Microsoft\Security Center\”AntiFirewallDisableNotify” = 1[/I]

[I]6.    [/I][I]创建临时批处理文件，并以之删除原始安装文件
[/I]
[I]7.    [/I][I]尝试连接如下域名以测试互联网连接是否有效：[/I]

●
[*][I]http://www.google.com[/I]
[*][I]http://www.yahoo.com[/I]

[I]8.    [/I][I]收集系统信息（CPU，硬盘，操作系统版本。。。等等）
[/I]
[I]9.    [/I][I]尝试窃取如下FTP客户端中保存的用户帐号：[/I]

●
[*][I]FlashFXP[/I]
[*][I]Total Commander[/I]
[*][I]WS_FTP[/I]

[I]10.  [/I][I]监听并纪录用户键盘活动
[/I]
[I]11.  将以上所有收集到的信息加密后发送至［目标地址］[/I]

如果有必要，并且可能的话，请注意区分各个模块的功能，这是因为如果不同模块发生了变化，读者可以更好的理解为什么某些症状出现了，某些没有，可能受到的影响又有些什么，等等。

例如：

[I]［模块1］是下载器，被运行后会进行如下操作：[/I]
  [I]。。。[/I]

[I]［模块2］是木马主体，被运行后会进行如下操作：[/I]
  [I]。。。[/I]

相关服务器信息分析

本节可以提供一些详细的目标域名， IP  地址，邮件地址等等相关信息。这样可以方便企业／政府用户更好的了解／追踪该恶意代码的作者／运营者。

预防及修复措施

当然，如果就职于某行业内公司，本节通常会提供相关产品的修复操作步骤。
不过这里我们还是为那些没有安装安软的普通用户来介绍一下，需要安装的安全补丁，如何手动恢复被感染的环境，例如如何一步步的删除／修改相关注册表键值，文件等等。

技术热点及总结

辛苦坚持看到了这里，是不是抱怨这个文档不够吸引人了吧？别担心。。。

正如之前提到的，一份好的分析报告需要面向的不仅仅是分析师。。。
设想一下如果自己不是分析师，无论是普通个人，企业或是政府用户，读完了以上信息难道还不够吗？

所以如果有朝一日你决定进入安防行业，虽然不同的公司肯定会有不同的模板，但以上内容基本上包揽了贵公司宝贵客户所需要的信息。

客户需要在最短的时间内获得容易消化的信息及方案。记住并落实好这句话，就一定能吃好这碗饭。

好了，饭碗归饭碗，该有的娱乐也得有，不然怎么对得起看雪这块响亮得牌子啊，我们继续。

本节我们可以讨论一些不同寻常的技术细节，不仅仅局限于样本本身，保护壳，实现方式，算法，资源，分析手段，脚本，以及任何能让其他分析师感兴趣的东西。如果有必要，并且时间允许的话，还可以再研究一下如何写修复工具，解密工具，监视工具，等等。

补充一下，如果不是精华部分并且又有足够的注释的话，不建议提供过多的反汇编代码或是截图，一个出色的分析师需要的不是看懂每一行汇编，而是在有限的时间内尽可能详细的理解并获得客户需要的信息。

最后，希望这个模板能帮助有兴趣进入或是初入安防领域的朋友更好的理解并适应相关工作内容，玩得开心

[CTF入门培训]顶尖高校博士及硕士团队亲授《30小时教你玩转CTF》，视频+靶场+题目！助力进入CTF世界

收藏・29

点赞・0

打赏

最新回复 (19)
mstwugui 雪币： 503 活跃值： (80) 能力值： (RANK：280 ) 在线值：发帖 44 回帖 874 粉丝 4 关注私信	mstwugui 6 2012-5-19 06:48 2 楼 0 如果方便的话，能提供原始样本，或用免费版的IDA创建一个IDB更好
bithaha 雪币： 1505 能力值： (RANK：210 ) 在线值：发帖 62 回帖 921 粉丝 2 关注私信	bithaha 5 2012-5-19 09:14 3 楼 0 顶乌龟大师非常有用的的东西
tihty 雪币： 25 活跃值： (84) 能力值： ( LV8，RANK：120 ) 在线值：发帖 29 回帖 1110 粉丝 3 关注私信	tihty 2 2012-5-19 09:48 4 楼 0 挺枯燥的
windowsa 雪币： 183 活跃值： (55) 能力值： ( LV3，RANK：20 ) 在线值：发帖 12 回帖 311 粉丝 0 关注私信	windowsa 2012-5-19 10:16 5 楼 0 乌龟大大顶一个!!!!
mstwugui 雪币： 503 活跃值： (80) 能力值： (RANK：280 ) 在线值：发帖 44 回帖 874 粉丝 4 关注私信	mstwugui 6 2012-5-19 16:28 6 楼 0 逆向这个兴趣，首先要培养的就是忍受甚至享受枯燥另一方面，很清晰的记得13年前某位牛哥对我说过一句话很有意思，“当兴趣成为工作后，就不再是兴趣了” 没入行之前某些工作看起来光鲜亮丽，但实际工作之后。。。比如我喜欢玩算法玩rootkit，但只玩这些我肯定会饿死无论是在哪家公司，如果要靠自己立足下去，记住这句话“公司聘用员工的原因很简单，为公司创造利益” 所以要做好一份工作，和玩好一个兴趣不是一回事而玩好这个兴趣，没有日积月累的枯燥更无从谈起
封心锁爱雪币： 239 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 170 粉丝 1 关注私信	封心锁爱 2012-5-21 15:16 7 楼 0 来顶乌龟大师~~
kanxue 雪币： 32408 活跃值： (18750) 能力值： (RANK：350 ) 在线值：发帖 1827 回帖 15215 粉丝 487 关注私信	kanxue 8 2012-5-21 18:58 8 楼 0 顶乌龟大师! 很规范模板，以后这个版块的恶意软件相关分析帖子，用这个模板做为标准设置“精华”。
yjd 雪币： 2879 活跃值： (1076) 能力值： ( LV2，RANK：10 ) 在线值：发帖 9 回帖 782 粉丝 1 关注私信	yjd 2012-5-21 20:17 9 楼 0 说得真好。支持
shuirh 雪币： 534 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 17 回帖 55 粉丝 0 关注私信	shuirh 2012-5-22 09:08 10 楼 0 这个确实是有用的东西, 谢谢乌龟大师.
黄亚冬雪币： 40 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 6 回帖 11 粉丝 0 关注私信	黄亚冬 2012-6-4 22:16 11 楼 0 收益了,谢谢乌龟大师
遗失灵魂雪币： 220 活跃值： (117) 能力值： ( LV4，RANK：50 ) 在线值：发帖 22 回帖 376 粉丝 0 关注私信	遗失灵魂 2012-11-22 09:07 12 楼 0 亲..那想向分析师走的咋办?..
ww990 雪币： 217 活跃值： (81) 能力值： ( LV4，RANK：50 ) 在线值：发帖 19 回帖 282 粉丝 0 关注私信	ww990 1 2012-12-22 17:08 13 楼 0 当兴趣成为工作后，就不再是兴趣了比较赞成啊
safeboy 雪币： 12 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 137 粉丝 0 关注私信	safeboy 2013-2-19 10:41 14 楼 0 新手入门手册哈！学习了
riusksk 雪币： 429 活跃值： (1875) 能力值： ( LV17，RANK：1820 ) 在线值：发帖 166 回帖 2652 粉丝 229 关注私信	riusksk 41 2013-2-19 16:52 15 楼 0 当兴趣变成工作，我觉得应该庆幸，因为不是每个人都有这种机会的，毕竟多数情况下兴趣不能当饭吃；但工作后，并不能把兴趣当工作，正如mstwugui大神所说的：“公司聘用员工的原因很简单，为公司创造利益”，所以工作后有时需要将兴趣暂时放下，但业余时间搞点兴趣的东西，也许可能因此获得更多的机会，至少不要忘记自己的初衷：因何而来，又往何去！
smallfishl 雪币： 24 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 35 粉丝 0 关注私信	smallfishl 2013-6-9 08:56 16 楼 0 谢谢分享，如果有个例子，就更好了！
zhanT 雪币： 276 活跃值： (26) 能力值： ( LV3，RANK：20 ) 在线值：发帖 7 回帖 39 粉丝 0 关注私信	zhanT 2013-9-21 18:06 17 楼 0 感谢,挺好的
Badmanm 雪币： 0 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 5 粉丝 0 关注私信	Badmanm 2014-3-17 10:51 18 楼 0 谢谢，看了这篇文章似乎学到了什么。
淘气鬼雪币： 716 活跃值： (158) 能力值： ( LV4，RANK：50 ) 在线值：发帖 26 回帖 106 粉丝 2 关注私信	淘气鬼 2015-1-24 15:52 19 楼 0 每次看神龟的文章都有着成长，我想这也是神龟发表这些文章的宗旨，谢谢神龟，引领我们成长！
木马od 雪币： 281 活跃值： (20) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 17 粉丝 0 关注私信	木马od 2016-3-9 23:43 20 楼 0 大牛说的言之有理啊啊
	游客登录 \| 注册方可回帖　回帖　表情雪币赚取及消费高级回复

mstwugui

发帖

874

回帖

280

RANK

关注

私信

他的文章

[原创]恶意代码分析模板

[转帖]技术宅看过来

[转帖]这个太厚道了

[讨论]今天到杭州转转，有帅哥美女出来认识一下嘿？

[注意]新版QQ钓鱼邮件

关于我们

联系我们

企业服务

看雪公众号

最新回复 (19)
mstwugui 雪币： 503 活跃值： (80) 能力值： (RANK：280 ) 在线值：发帖 44 回帖 874 粉丝 4 关注私信	mstwugui 6 2012-5-19 06:48 2 楼 0 如果方便的话，能提供原始样本，或用免费版的IDA创建一个IDB更好
bithaha 雪币： 1505 能力值： (RANK：210 ) 在线值：发帖 62 回帖 921 粉丝 2 关注私信	bithaha 5 2012-5-19 09:14 3 楼 0 顶乌龟大师非常有用的的东西
tihty 雪币： 25 活跃值： (84) 能力值： ( LV8，RANK：120 ) 在线值：发帖 29 回帖 1110 粉丝 3 关注私信	tihty 2 2012-5-19 09:48 4 楼 0 挺枯燥的
windowsa 雪币： 183 活跃值： (55) 能力值： ( LV3，RANK：20 ) 在线值：发帖 12 回帖 311 粉丝 0 关注私信	windowsa 2012-5-19 10:16 5 楼 0 乌龟大大顶一个!!!!
mstwugui 雪币： 503 活跃值： (80) 能力值： (RANK：280 ) 在线值：发帖 44 回帖 874 粉丝 4 关注私信	mstwugui 6 2012-5-19 16:28 6 楼 0 逆向这个兴趣，首先要培养的就是忍受甚至享受枯燥另一方面，很清晰的记得13年前某位牛哥对我说过一句话很有意思，“当兴趣成为工作后，就不再是兴趣了” 没入行之前某些工作看起来光鲜亮丽，但实际工作之后。。。比如我喜欢玩算法玩rootkit，但只玩这些我肯定会饿死无论是在哪家公司，如果要靠自己立足下去，记住这句话“公司聘用员工的原因很简单，为公司创造利益” 所以要做好一份工作，和玩好一个兴趣不是一回事而玩好这个兴趣，没有日积月累的枯燥更无从谈起
封心锁爱雪币： 239 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 170 粉丝 1 关注私信	封心锁爱 2012-5-21 15:16 7 楼 0 来顶乌龟大师~~
kanxue 雪币： 32408 活跃值： (18750) 能力值： (RANK：350 ) 在线值：发帖 1827 回帖 15215 粉丝 487 关注私信	kanxue 8 2012-5-21 18:58 8 楼 0 顶乌龟大师! 很规范模板，以后这个版块的恶意软件相关分析帖子，用这个模板做为标准设置“精华”。
yjd 雪币： 2879 活跃值： (1076) 能力值： ( LV2，RANK：10 ) 在线值：发帖 9 回帖 782 粉丝 1 关注私信	yjd 2012-5-21 20:17 9 楼 0 说得真好。支持
shuirh 雪币： 534 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 17 回帖 55 粉丝 0 关注私信	shuirh 2012-5-22 09:08 10 楼 0 这个确实是有用的东西, 谢谢乌龟大师.
黄亚冬雪币： 40 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 6 回帖 11 粉丝 0 关注私信	黄亚冬 2012-6-4 22:16 11 楼 0 收益了,谢谢乌龟大师
遗失灵魂雪币： 220 活跃值： (117) 能力值： ( LV4，RANK：50 ) 在线值：发帖 22 回帖 376 粉丝 0 关注私信	遗失灵魂 2012-11-22 09:07 12 楼 0 亲..那想向分析师走的咋办?..
ww990 雪币： 217 活跃值： (81) 能力值： ( LV4，RANK：50 ) 在线值：发帖 19 回帖 282 粉丝 0 关注私信	ww990 1 2012-12-22 17:08 13 楼 0 当兴趣成为工作后，就不再是兴趣了比较赞成啊
safeboy 雪币： 12 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 137 粉丝 0 关注私信	safeboy 2013-2-19 10:41 14 楼 0 新手入门手册哈！学习了
riusksk 雪币： 429 活跃值： (1875) 能力值： ( LV17，RANK：1820 ) 在线值：发帖 166 回帖 2652 粉丝 229 关注私信	riusksk 41 2013-2-19 16:52 15 楼 0 当兴趣变成工作，我觉得应该庆幸，因为不是每个人都有这种机会的，毕竟多数情况下兴趣不能当饭吃；但工作后，并不能把兴趣当工作，正如mstwugui大神所说的：“公司聘用员工的原因很简单，为公司创造利益”，所以工作后有时需要将兴趣暂时放下，但业余时间搞点兴趣的东西，也许可能因此获得更多的机会，至少不要忘记自己的初衷：因何而来，又往何去！
smallfishl 雪币： 24 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 35 粉丝 0 关注私信	smallfishl 2013-6-9 08:56 16 楼 0 谢谢分享，如果有个例子，就更好了！
zhanT 雪币： 276 活跃值： (26) 能力值： ( LV3，RANK：20 ) 在线值：发帖 7 回帖 39 粉丝 0 关注私信	zhanT 2013-9-21 18:06 17 楼 0 感谢,挺好的
Badmanm 雪币： 0 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 5 粉丝 0 关注私信	Badmanm 2014-3-17 10:51 18 楼 0 谢谢，看了这篇文章似乎学到了什么。
淘气鬼雪币： 716 活跃值： (158) 能力值： ( LV4，RANK：50 ) 在线值：发帖 26 回帖 106 粉丝 2 关注私信	淘气鬼 2015-1-24 15:52 19 楼 0 每次看神龟的文章都有着成长，我想这也是神龟发表这些文章的宗旨，谢谢神龟，引领我们成长！
木马od 雪币： 281 活跃值： (20) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 17 粉丝 0 关注私信	木马od 2016-3-9 23:43 20 楼 0 大牛说的言之有理啊啊
	游客登录 \| 注册方可回帖　回帖　表情雪币赚取及消费高级回复