基本信息

報告名稱：
作者：
報告更新日期：
樣本發現日期：
樣本類型：
樣本文件大小／被感染文件變化長度：
樣本文件MD5 校驗值：
樣本文件SHA1 校驗值：
殼信息：
可能受到威脅的系統：
相關漏洞：
已知檢測名稱：

簡介

本節的主要目的是簡單介紹樣本的目的，類型，一兩句畫龍點睛即可。
例如：
［樣本名稱 ］是一個針對FTP軟件用戶，竊取系統及個人信息的木馬。

被感染系統及網絡癥狀

本節的主要目的是幫助潛在讀者快速識別被感染后的癥狀。

文件系統變化

［將要／可能］被［創建／修改／刪除］的［文件／目錄］

注冊表變化

［將要／可能］被［創建／修改／刪除］的［注冊表鍵／鍵值］

網絡癥狀

被監聽的端口，向指定目標及端口的網絡活動及類型，等等

詳細分析／功能介紹

首先，此詳細非彼詳細。一份好的報告應該能讓盡可能多的讀者讀懂，而不僅僅局限于分析師。本節的主要目的是向潛在讀者提供樣本的詳細功能。
例如：
當［樣本名稱］被運行后，會進行如下操作：

檢測操作系統是否運行在Vmware虛擬機中，如果發現自動終止運行

將惡意代碼注入如下任意進程以隱藏自身：

• explorer.exe
• svchost.exe

將原始文件以［隨機文件名］復制到［目標路徑］

設置如下注冊表鍵值以在系統重新啟動后自動加載

• HKLM/Software/Microsoft/Windows/CurrentVersion/Run/”demo_value_name” = [

設置如下注冊表鍵值以降低系統安全

• HKLM\Software\Microsoft\Security Center\”FirewallOverride” = 1
• HKLM\Software\Microsoft\Security Center\”AntiFirewallDisableNotify” = 1

創建臨時批處理文件，并以之刪除原始安裝文件

嘗試連接如下域名以測試互聯網連接是否有效：

• http://www.google.com
• http://www.yahoo.com

收集系統信息（CPU，硬盤， 操作系統版本。。。等等）

嘗試竊取如下FTP客戶端中保存的用戶帳號：

• FlashFXP
• Total Commander
• WS_FTP

監聽并紀錄用戶鍵盤活動

將以上所有收集到的信息加密后發送至［目標地址］
如果有必要，并且可能的話，請注意區分各個模塊的功能，這是因為如果不同模塊發生了變化，讀者可以更好的理解為什么某些癥狀出現了，某些沒有，可能受到的影響又有些什么，等等。
例如：
［模塊1］是下載器，被運行后會進行如下操作：
。。。
［模塊2］是木馬主體，被運行后會進行如下操作：
。。。

相關服務器信息分析

本節可以提供一些詳細的目標域名， IP 地址，郵件地址等等相關信息。這樣可以方便企業／政府用戶更好的了解／追蹤該惡意代碼的作者／運營者。

預防及修復措施

當然，如果就職于某行業內公司，本節通常會提供相關產品的修復操作步驟。
不過這里我們還是為那些沒有安裝安軟的普通用戶來介紹一下，需要安裝的安全補丁，如何手動恢復被感染的環境，例如如何一步步的刪除／修改相關注冊表鍵值，文件等等。

技術熱點及總結

辛苦堅持看到了這里，是不是抱怨這個文檔不夠吸引人了吧？別擔心。。。
正如之前提到的，一份好的分析報告需要面向的不僅僅是分析師。。。
設想一下如果自己不是分析師，無論是普通個人，企業或是政府用戶，讀完了以上信息難道還不夠嗎？
所以如果有朝一日你決定進入安防行業，雖然不同的公司肯定會有不同的模板，但以上內容基本上包攬了貴公司寶貴客戶所需要的信息。
客戶需要在最短的時間內獲得容易消化的信息及方案。記住并落實好這句話，就一定能吃好這碗飯。
好了，飯碗歸飯碗，該有的娛樂也得有，不然怎么對得起看雪這塊響亮得牌子啊，我們繼續。
本節我們可以討論一些不同尋常的技術細節，不僅僅局限于樣本本身，保護殼，實現方式，算法，資源，分析手段，腳本，以及任何能讓其他分析師感興趣的東西。如果有必要，并且時間允許的話，還可以再研究一下如何寫修復工具，解密工具，監視工具，等等。
補充一下，如果不是精華部分并且又有足夠的注釋的話，不建議提供過多的反匯編代碼或是截圖，一個出色的分析師需要的不是看懂每一行匯編，而是在有限的時間內盡可能詳細的理解并獲得客戶需要的信息。
最后，希望這個模板能幫助有興趣進入或是初入安防領域的朋友更好的理解并適應相關工作內容，玩得開心
轉載烏龜大師的一篇文章，的確很多說得很好，來這里和大家分享

總結

以上是生活随笔為你收集整理的病毒分析报告模板的全部內容，希望文章能夠幫你解決所遇到的問題。

如果覺得生活随笔網站內容還不錯，歡迎將生活随笔推薦給好友。