樣本檢測分析報告模板

樣本檢測分析報告[鍵入文字]20122012樣本檢測分析報告彩信互通系統(tǒng)LiangZheng聯(lián)通系統(tǒng)集成有限公司

目錄1基本信息 32概述 33被感染系統(tǒng)及網(wǎng)絡(luò)癥狀 34文件系統(tǒng)變化 35注冊表變化 36網(wǎng)絡(luò)癥狀 37詳細(xì)分析／功能介紹 38相關(guān)服務(wù)器信息分析 49預(yù)防及修復(fù)措施 510技術(shù)熱點(diǎn)及總結(jié) 51基本信息

報告名稱：

作者：

報告更新日期：樣本發(fā)現(xiàn)日期：

樣本類型：

樣本文件大?。桓腥疚募兓L度：

樣本文件MD5

校驗(yàn)值：

樣本文件SHA1

校驗(yàn)值：

殼信息：

可能受到威脅的系統(tǒng)：

相關(guān)漏洞：已知檢測名稱：2概述本節(jié)的主要目的是簡單介紹樣本的目的，類型，一兩句畫龍點(diǎn)睛即可。例如：

［樣本名稱

］是一個針對FTP軟件用戶，竊取系統(tǒng)及個人信息的木馬。3被感染系統(tǒng)及網(wǎng)絡(luò)癥狀本節(jié)的主要目的是幫助潛在讀者快速識別被感染后的癥狀。4文件系統(tǒng)變化［將要／可能］被［創(chuàng)建／修改／刪除］的［文件／目錄］5注冊表變化［將要／可能］被［創(chuàng)建／修改／刪除］的［注冊表鍵／鍵值］6網(wǎng)絡(luò)癥狀被監(jiān)聽的端口，向指定目標(biāo)及端口的網(wǎng)絡(luò)活動及類型，等等7詳細(xì)分析／功能介紹首先，此詳細(xì)非彼詳細(xì)。一份好的報告應(yīng)該能讓盡可能多的讀者讀懂，而不僅僅局限于分析師。本節(jié)的主要目的是向潛在讀者提供樣本的詳細(xì)功能。例如：當(dāng)［樣本名稱］被運(yùn)行后，會進(jìn)行如下操作：1.檢測操作系統(tǒng)是否運(yùn)行在Vmware虛擬機(jī)中，如果發(fā)現(xiàn)自動終止運(yùn)行2.將惡意代碼注入如下任意進(jìn)程以隱藏自身：explorer.exesvchost.exe3.將原始文件以［隨機(jī)文件名］復(fù)制到［目標(biāo)路徑］4.設(shè)置如下注冊表鍵值以在系統(tǒng)重新啟動后自動加載HKLM/Software/Microsoft/Windows/CurrentVersion/Run/”demo_value_name”=[目標(biāo)路徑]5.設(shè)置如下注冊表鍵值以降低系統(tǒng)安全HKLM\Software\Microsoft\SecurityCenter\”FirewallOverride”=1HKLM\Software\Microsoft\SecurityCenter\”AntiFirewallDisableNotify”=16.創(chuàng)建臨時批處理文件，并以之刪除原始安裝文件7.嘗試連接如下域名以測試互聯(lián)網(wǎng)連接是否有效：8.收集系統(tǒng)信息（CPU，硬盤，操作系統(tǒng)版本。。。等等）9.嘗試竊取如下FTP客戶端中保存的用戶帳號：FlashFXPTotalCommanderWS_FTP10.監(jiān)聽并紀(jì)錄用戶鍵盤活動11.將以上所有收集到的信息加密后發(fā)送至［目標(biāo)地址］如果有必要，并且可能的話，請注意區(qū)分各個模塊的功能，這是因?yàn)槿绻煌K發(fā)生了變化，讀者可以更好的理解為什么某些癥狀出現(xiàn)了，某些沒有，可能受到的影響又有些什么，等等。例如：［模塊1］是下載器，被運(yùn)行后會進(jìn)行如下操作：。。。［模塊2］是木馬主體，被運(yùn)行后會進(jìn)行如下操作：。。。8相關(guān)服務(wù)器信息分析本節(jié)可以提供一些詳細(xì)的目標(biāo)域名，

IP

地址，郵件地址等等相關(guān)信息。這樣可以方便企業(yè)／政府用戶更好的了解／追蹤該惡意代碼的作者／運(yùn)營者。9預(yù)防及修復(fù)措施當(dāng)然，如果就職于某行業(yè)內(nèi)公司，本節(jié)通常會提供相關(guān)產(chǎn)品的修復(fù)操作步驟。

不過這里我們還是為那些沒有安裝安軟的普通用戶來介紹一下，需要安裝的安全補(bǔ)丁，如何手動恢復(fù)被感染的環(huán)境，例如如何一步步的刪除／修改相關(guān)注冊表鍵值，文件等等。10技術(shù)熱點(diǎn)及總結(jié)本節(jié)我們可以討論一些不同尋常的技術(shù)細(xì)節(jié)，不僅僅局限于