还剩3页未读,继续阅读
文本内容:
联通系统集成有限公司目录基本信息13概述23被感染系统及网络症状33文件系统变化43注册表变化53网络症才大63详细分析/功能介绍73相关服务器信息分析84预防及修复措施95技术热点及总结105基本信息1报告名称作者报告更新日期样本发现日期样本类型样本文件大小/被感染文件变化长度:样本文件MD5校验值样本文件SHA1校验值壳信息可能受到威胁的系统相关漏洞已知检测名称概述2本节的主要目的是简单介绍样本的目的,类型,一两句画龙点睛即可例如[样本名称]是一个针对FTP软件用户,窃取系统及个人信息的木马被感染系统及网络症状3本节的主要目的是帮助潜在读者快速识别被感染后的症状文件系统变化4[将要/可能]被[创建/修改/删除]的[文件/目录]注册表变化5[将要/可能]被[创建/修改/删除]的[注册表键/键值]网络症状6被监听的端口,向指定目标及端口的网络活动及类型,等等详细分析/功能介名7首先,此详细非彼详细一份好的报告应该能让尽可能多的读者读懂,而不仅仅局限于分析师本节的主要目的是向潜在读者提供样本的详细功能例如当[样本名称]被运行后,会进行如下操作
1.检测操作系统是否运行在Vmware虚拟机中,如果发现自动终止运行
2.将恶意代码注入如下任意进程以隐藏自身exp Iorer.exe svchost.exe
3.将原始文件以[随机文件名]复制到[目标路径]
4.设置如下注册表键值以在系统重新启动后自动加载HKLM/Software/Microsoft/Windows/CurrentVers ion/Run/demo_vaIue_name”二[目标路»径]
5.设置如下注册表键值以降低系统安全HKLM\Software\Microsoft\Secur ity Center\n Fi rewaI IOverr idev=1HKLM\Software\Mi crosoft\Secur ity CenterAnti FirewaIID isab IeNoti fyn二
16.创建临时批处理文件,并以之删除原始安装文件
7.尝试连接如下域名以测试互联网连接是否有效http://www.googIe.comhttp://www.yahoo,com
8.收集系统信息(CPU,硬盘,操作系统版本等等)
9.尝试窃取如下FTP客户端中保存的用户帐号FlashFXPTotaI CommanderWS_FTP
10.监听并纪录用户键盘活动
11.羽1以上所有收集到的信息加密后发送至[目标地址]如果有必要,并且可能的话,请注意区分各个模块的功能,这是因为如果不同模块发生了变化,读者可以更好的理解为什么某些症状出现了,某些没有,可能受到的影响又有些什么,等等例如[模块1]是下载器,被运行后会进行如下操作O O O[模块2]是木马主体,被运行后会进行如下操作OOO相关服务器信息分析8本节可以提供一些详细的目标域名,IP地址,邮件地址等等相关信息这样可以方便企业/政府用户更好的了解/追踪该恶意代码的作者/运营者预防及修复措施9当然,如果就职于某行业内公司,本节通常会提供相关产品的修复操作步骤不过这里我们还是为那些没有安装安软的普通用户来介绍一下,需要安装的安全补丁,如何手动恢复被感染的环境,例如如何一步步的删除/修改相关注册表键值,文件等等技术热点及总结10本节我们可以讨论一些不同寻常的技术细节,不仅仅局限于样本本身,保护壳,实现方式,算法,资源,分析手段,脚本,以及任何能让其他分析师感兴趣的东西如果有必要,并且时间允许的话,还可以再研究一下如何写修复工具,解密工具,监视工具,等等。
个人认证
优秀文档
获得点赞 0
