吾爱破解 - LCG - LSG |安卓破解|病毒分析|www.52pojie.cn

 找回密码
 注册[Register]

QQ登录

只需一步,快速开始

查看: 73455|回复: 19
上一主题 下一主题
收起左侧

[转载] 【转载】恶意代码分析模板(mstwugui)

  [复制链接]
跳转到指定楼层
楼主
willJ 发表于 2012-5-30 20:13 回帖奖励
使用论坛附件上传样本压缩包时必须使用压缩密码保护,压缩密码:52pojie,否则会导致论坛被杀毒软件等误报,论坛有权随时删除相关附件和帖子!
病毒分析分区附件样本、网址谨慎下载点击,可能对计算机产生破坏,仅供安全人员在法律允许范围内研究,禁止非法用途!
禁止求非法渗透测试、非法网络攻击、获取隐私等违法内容,即使对方是非法内容,也应向警方求助!
基本信息

  报告名称:                                                   
  作者:                                                            
  报告更新日期:                                            
  样本发现日期:                                            
  样本类型:                                                   
  样本文件大小/被感染文件变化长度:   
  样本文件MD5 校验值:                             
  样本文件SHA1 校验值:                           
  壳信息:                                                        
  可能受到威胁的系统:                                
  相关漏洞:                                                   
  已知检测名称:                                            


简介

本节的主要目的是简单介绍样本的目的,类型,一两句画龙点睛即可。

例如:
[样本名称 ]是一个针对FTP软件用户,窃取系统及个人信息的木马。


被感染系统及网络症状

本节的主要目的是帮助潜在读者快速识别被感染后的症状。


文件系统变化

[将要/可能]被[创建/修改/删除]的[文件/目录]


注册表变化

[将要/可能]被[创建/修改/删除]的[注册表键/键值]


网络症状

被监听的端口,向指定目标及端口的网络活动及类型,等等


详细分析/功能介绍

首先,此详细非彼详细。一份好的报告应该能让尽可能多的读者读懂,而不仅仅局限于分析师。本节的主要目的是向潜在读者提供样本的详细功能。

例如:
当[样本名称]被运行后,会进行如下操作:

1.     检测操作系统是否运行在Vmware虚拟机中,如果发现自动终止运行

2.     将恶意代码注入如下任意进程以隐藏自身:
  • explorer.exe
  • svchost.exe
3.     将原始文件以[随机文件名]复制到[目标路径]

4.     设置如下注册表键值以在系统重新启动后自动加载
  • HKLM/Software/Microsoft/Windows/CurrentVersion/Run/”demo_value_name” = [
5.     设置如下注册表键值以降低系统安全
  • HKLM\Software\Microsoft\Security Center\”FirewallOverride” = 1
  • HKLM\Software\Microsoft\Security Center\”AntiFirewallDisableNotify” = 1
6.     创建临时批处理文件,并以之删除原始安装文件

7.     尝试连接如下域名以测试互联网连接是否有效:
  • http://www.google.com
  • http://www.yahoo.com
8.     收集系统信息(CPU,硬盘, 操作系统版本。。。等等)

9.     尝试窃取如下FTP客户端中保存的用户帐号:  
  • FlashFXP
  • Total Commander
  • WS_FTP
10.  监听并纪录用户键盘活动

11.  将以上所有收集到的信息加密后发送至[目标地址]


如果有必要,并且可能的话,请注意区分各个模块的功能,这是因为如果不同模块发生了变化,读者可以更好的理解为什么某些症状出现了,某些没有,可能受到的影响又有些什么,等等。

例如:

[模块1]是下载器,被运行后会进行如下操作:
  。。。
  
[模块2]是木马主体,被运行后会进行如下操作:
  。。。


相关服务器信息分析

本节可以提供一些详细的目标域名, IP  地址,邮件地址等等相关信息。这样可以方便企业/政府用户更好的了解/追踪该恶意代码的作者/运营者。


预防及修复措施

当然,如果就职于某行业内公司,本节通常会提供相关产品的修复操作步骤。
不过这里我们还是为那些没有安装安软的普通用户来介绍一下,需要安装的安全补丁,如何手动恢复被感染的环境,例如如何一步步的删除/修改相关注册表键值,文件等等。


技术热点及总结

辛苦坚持看到了这里,是不是抱怨这个文档不够吸引人了吧?别担心。。。

正如之前提到的,一份好的分析报告需要面向的不仅仅是分析师。。。
设想一下如果自己不是分析师,无论是普通个人,企业或是政府用户,读完了以上信息难道还不够吗?
所以如果有朝一日你决定进入安防行业,虽然不同的公司肯定会有不同的模板,但以上内容基本上包揽了贵公司宝贵客户所需要的信息。

客户需要在最短的时间内获得容易消化的信息及方案。记住并落实好这句话,就一定能吃好这碗饭。

好了,饭碗归饭碗,该有的娱乐也得有,不然怎么对得起看雪这块响亮得牌子啊,我们继续。

本节我们可以讨论一些不同寻常的技术细节,不仅仅局限于样本本身,保护壳,实现方式,算法,资源,分析手段,脚本,以及任何能让其他分析师感兴趣的东西。如果有必要,并且时间允许的话,还可以再研究一下如何写修复工具,解密工具,监视工具,等等。

补充一下,如果不是精华部分并且又有足够的注释的话,不建议提供过多的反汇编代码或是截图,一个出色的分析师需要的不是看懂每一行汇编,而是在有限的时间内尽可能详细的理解并获得客户需要的信息。

最后,希望这个模板能帮助有兴趣进入或是初入安防领域的朋友更好的理解并适应相关工作内容,玩得开心


转载乌龟大师的一篇文章,的确很多说得很好,来这里和大家分享

免费评分

参与人数 3热心值 +3 收起 理由
471076 + 1 谢谢@Thanks!
1485573943 + 1 我很赞同!
雷霆 + 1 热心回复!

查看全部评分

发帖前要善用论坛搜索功能,那里可能会有你要找的答案或者已经有人发布过相同内容了,请勿重复发帖。

推荐
 楼主| willJ 发表于 2012-5-31 22:48 |楼主
Thend 发表于 2012-5-31 22:37
嗯,谢谢willj老师。收藏了。

感动啊,还有你回帖
推荐
the_crave 发表于 2013-9-4 10:14
推荐
1e3e 发表于 2013-4-8 10:46
3#
Thend 发表于 2012-5-31 22:37
嗯,谢谢willj老师。收藏了。
4#
Thend 发表于 2012-5-31 23:57
willJ 发表于 2012-5-31 22:48
感动啊,还有你回帖

哈哈。没事没事。貌似搞病毒的人很少很少也
5#
Kavia 发表于 2012-6-2 12:28
结局,你“搞”病毒吗?

点评

。。。 狒狒 我知道你要搞  发表于 2012-6-3 14:31
6#
kanglehao 发表于 2012-6-3 14:21
纯支持纯顶帖
7#
Kavia 发表于 2012-6-3 16:13
Thend 发表于 2012-5-31 23:57
哈哈。没事没事。貌似搞病毒的人很少很少也

小心得梅毒
8#
Thend 发表于 2012-6-3 17:33
Kavia 发表于 2012-6-3 16:13
小心得梅毒

你已经有了,早点去治~
9#
neinei 发表于 2012-6-4 14:46
很好,支持一个
10#
jun85719392 发表于 2013-3-21 21:47 来自手机
学习了,多学点总是好的!!!
您需要登录后才可以回帖 登录 | 注册[Register]

本版积分规则 警告:本版块禁止灌水或回复与主题无关内容,违者重罚!

快速回复 收藏帖子 返回列表 搜索

RSS订阅|小黑屋|处罚记录|联系我们|吾爱破解 - LCG - LSG ( 京ICP备16042023号 | 京公网安备 11010502030087号 )

GMT+8, 2024-3-29 11:02

Powered by Discuz!

Copyright © 2001-2020, Tencent Cloud.

快速回复 返回顶部 返回列表