文档介绍:2012
样本检测分析报告
彩信互通系统
LiangZheng
联通系统集成有限公司
目录
1 基本信息 3
2 概述 3
3 被感染系统及网络症状 3
4 文件系统变化 3
5 注册表变化 3
6 网络症状 3
7 详细分析/功能介绍 3
8 相关服务器信息分析 4
9 预防及修复措施 5
10 技术热点及总结 5
1 基本信息
报告名称:   
作者:
报告更新日期:
样本发现日期: 
样本类型:
样本文件大小/被感染文件变化长度:
样本文件MD5 校验值:
样本文件SHA1 校验值: 
壳信息:
可能受到威胁的系统: 
相关漏洞:
已知检测名称:
2 概述
本节的主要目的是简单介绍样本的目的,类型,一两句画龙点睛即可。
例如:
[样本名称 ]是一个针对FTP软件用户,窃取系统及个人信息的木马。
3 被感染系统及网络症状
本节的主要目的是帮助潜在读者快速识别被感染后的症状。
4 文件系统变化
[将要/可能]被[创建/修改/删除]的[文件/目录]
5 注册表变化
[将要/可能]被[创建/修改/删除]的[注册表键/键值]
6 网络症状
被监听的端口,向指定目标及端口的网络活动及类型,等等
7 详细分析/功能介绍
首先,此详细非彼详细。一份好的报告应该能让尽可能多的读者读懂,而不仅仅
局限于分析师。本节的主要目的是向潜在读者提供样本的详细功能。
例如:
当[样本名称]被运行后,会进行如下操作:
1. 检测操作系统是否运行在Vmware虚拟机中,如果发现自动终止运行
2. 将恶意代码注入如下任意进程以隐藏自身:
3. 将原始文件以[随机文件名]复制到[目标路径]
4. 设置如下注册表键值以在系统重新启动后自动加载
HKLM/Software/Microsoft/Windows/CurrentVersion/Run/”demo_value_name” = [目标路径]
5. 设置如下注册表键值以降低系统安全
HKLM\Software\Microsoft\Security Center\”FirewallOverride” = 1
HKLM\Software\Microsoft\Security Center\”AntiFirewallDisableNotify” = 1
6. 创建临时批处理文件,并以之删除原始安装文件
7. 尝试连接如下域名以测试互联网连接是否有效:
8. 收集系统信息(CPU,硬盘, 操作系统版本。。。等等)
9. 尝试窃取如下FTP客户端中保存的用户帐号:
FlashFXP
Total Commander
W