病毒分析报告模板
基本信息
報告名稱:
作者:
報告更新日期:
樣本發(fā)現(xiàn)日期:
樣本類型:
樣本文件大小/被感染文件變化長度:
樣本文件MD5 校驗值:
樣本文件SHA1 校驗值:
殼信息:
可能受到威脅的系統(tǒng):
相關漏洞:
已知檢測名稱:
簡介
本節(jié)的主要目的是簡單介紹樣本的目的,類型,一兩句畫龍點睛即可。
例如:
[樣本名稱 ]是一個針對FTP軟件用戶,竊取系統(tǒng)及個人信息的木馬。
被感染系統(tǒng)及網(wǎng)絡癥狀
本節(jié)的主要目的是幫助潛在讀者快速識別被感染后的癥狀。
文件系統(tǒng)變化
[將要/可能]被[創(chuàng)建/修改/刪除]的[文件/目錄]
注冊表變化
[將要/可能]被[創(chuàng)建/修改/刪除]的[注冊表鍵/鍵值]
網(wǎng)絡癥狀
被監(jiān)聽的端口,向指定目標及端口的網(wǎng)絡活動及類型,等等
詳細分析/功能介紹
首先,此詳細非彼詳細。一份好的報告應該能讓盡可能多的讀者讀懂,而不僅僅局限于分析師。本節(jié)的主要目的是向潛在讀者提供樣本的詳細功能。
例如:
當[樣本名稱]被運行后,會進行如下操作:
- explorer.exe
- svchost.exe
- HKLM/Software/Microsoft/Windows/CurrentVersion/Run/”demo_value_name” = [
- HKLM\Software\Microsoft\Security Center\”FirewallOverride” = 1
- HKLM\Software\Microsoft\Security Center\”AntiFirewallDisableNotify” = 1
- http://www.google.com
- http://www.yahoo.com
- FlashFXP
- Total Commander
- WS_FTP
如果有必要,并且可能的話,請注意區(qū)分各個模塊的功能,這是因為如果不同模塊發(fā)生了變化,讀者可以更好的理解為什么某些癥狀出現(xiàn)了,某些沒有,可能受到的影響又有些什么,等等。
例如:
[模塊1]是下載器,被運行后會進行如下操作:
。。。
[模塊2]是木馬主體,被運行后會進行如下操作:
。。。
相關服務器信息分析
本節(jié)可以提供一些詳細的目標域名, IP 地址,郵件地址等等相關信息。這樣可以方便企業(yè)/政府用戶更好的了解/追蹤該惡意代碼的作者/運營者。
預防及修復措施
當然,如果就職于某行業(yè)內(nèi)公司,本節(jié)通常會提供相關產(chǎn)品的修復操作步驟。
不過這里我們還是為那些沒有安裝安軟的普通用戶來介紹一下,需要安裝的安全補丁,如何手動恢復被感染的環(huán)境,例如如何一步步的刪除/修改相關注冊表鍵值,文件等等。
技術熱點及總結
辛苦堅持看到了這里,是不是抱怨這個文檔不夠吸引人了吧?別擔心。。。
正如之前提到的,一份好的分析報告需要面向的不僅僅是分析師。。。
設想一下如果自己不是分析師,無論是普通個人,企業(yè)或是政府用戶,讀完了以上信息難道還不夠嗎?
所以如果有朝一日你決定進入安防行業(yè),雖然不同的公司肯定會有不同的模板,但以上內(nèi)容基本上包攬了貴公司寶貴客戶所需要的信息。
客戶需要在最短的時間內(nèi)獲得容易消化的信息及方案。記住并落實好這句話,就一定能吃好這碗飯。
好了,飯碗歸飯碗,該有的娛樂也得有,不然怎么對得起看雪這塊響亮得牌子啊,我們繼續(xù)。
本節(jié)我們可以討論一些不同尋常的技術細節(jié),不僅僅局限于樣本本身,保護殼,實現(xiàn)方式,算法,資源,分析手段,腳本,以及任何能讓其他分析師感興趣的東西。如果有必要,并且時間允許的話,還可以再研究一下如何寫修復工具,解密工具,監(jiān)視工具,等等。
補充一下,如果不是精華部分并且又有足夠的注釋的話,不建議提供過多的反匯編代碼或是截圖,一個出色的分析師需要的不是看懂每一行匯編,而是在有限的時間內(nèi)盡可能詳細的理解并獲得客戶需要的信息。
最后,希望這個模板能幫助有興趣進入或是初入安防領域的朋友更好的理解并適應相關工作內(nèi)容,玩得開心
轉載烏龜大師的一篇文章,的確很多說得很好,來這里和大家分享
總結
- 上一篇: linux efi分区安装grub2,编
- 下一篇: pagecontrol