文档介绍:联通系统集成有限公司目录1基本信息 32概述 33被感染系统及网络症状 34文件系统变化 45注册表变化 46网络症状 47详细分析/功能介绍 48相关服务器信息分析 69预防及修复措施 610技术热点及总结 61基本信息报告名称:作者:报告更新日期:样本发现日期:样本类型:样本文件大小/被感染文件变化长度:样本文件MD5校验值:样本文件SHA1校验值:壳信息:可能受到威胁的系统:相关漏洞:已知检测名称:2概述本节的主要目的是简单介绍样本的目的,类型,一两句画龙点睛即可。例如:[样本名称]是一个针对FTP软件用户,窃取系统及个人信息的木马。3被感染系统及网络症状本节的主要目的是帮助潜在读者快速识别被感染后的症状。4文件系统变化[将要/可能]被[创建/修改/删除]的[文件/目录]5注册表变化[将要/可能]被[创建/修改/删除]的[注册表键/键值]6网络症状被监听的端口,向指定目标及端口的网络活动及类型,等等7详细分析/功能介绍首先,此详细非彼详细。一份好的报告应该能让尽可能多的读者读懂,而不仅仅局限于分析师。本节的主要目的是向潜在读者提供样本的详细功能。例如:当[样本名称]被运行后,会进行如下操作:检测操作系统是否运行在Vmware虚拟机中,如果发现自动终止运行将恶意代码注入如下任意进程以隐藏自身:[随机文件名]复制到[目标路径]设置如下注册表键值以在系统重新启动后自动加载HKLM/Software/Microsoft/Windows/CurrentVersion/Run/”demo_value_n3me=[目标路径]设置如下注册表键值以降低系统安全HKLM\Software\Microsoft\SecurityCenter\^^FirewallOverride^^=1HKLM\Software\Microsoft\SecurityCenter\nAntiFirewallDisableNotifyn=1创建临时批处理文件,并以之删除原始安装文件尝试连接如下域名以测试互联网连接是否有效:://信息(CPU,硬盘,操作系统版本。。。等等)尝试窃取如下FTP客户端中保存的用户帐号:manderWS_FTP监听并纪录用户键盘活动将以上所有收集到的信息加密后发送至[目标地址]如果有必要,并且可能的话,请注意区分各个模块的功能