模版一

基本信息

报告名称：
作者：
报告更新日期：
样本发现日期：
样本类型：
样本文件大小／被感染文件变化长度：
样本文件MD5 校验值：
样本文件SHA1 校验值：
壳信息：
可能受到威胁的系统：
相关漏洞：
已知检测名称：

简介

本节的主要目的是简单介绍样本的目的，类型，一两句画龙点睛即可。

例如：
［样本名称 ］是一个针对FTP软件用户，窃取系统及个人信息的木马。

被感染系统及网络症状

本节的主要目的是帮助潜在读者快速识别被感染后的症状。

文件系统变化

［将要／可能］被［创建／修改／删除］的［文件／目录］

注册表变化

［将要／可能］被［创建／修改／删除］的［注册表键／键值］

网络症状

被监听的端口，向指定目标及端口的网络活动及类型，等等

详细分析／功能介绍

首先，此详细非彼详细。一份好的报告应该能让尽可能多的读者读懂，而不仅仅局限于分析师。本节的主要目的是向潜在读者提供样本的详细功能。

例如：

当［样本名称］被运行后，会进行如下操作：

1. 检测操作系统是否运行在Vmware虚拟机中，如果发现自动终止运行
2. 将恶意代码注入如下任意进程以隐藏自身：

• explorer.exe
• svchost.exe
  

3. 将原始文件以［随机文件名］复制到［目标路径］

4. 设置如下注册表键值以在系统重新启动后自动加载

• HKLM/Software/Microsoft/Windows/CurrentVersion/Run/”demo_value_name” = [
  

5. 设置如下注册表键值以降低系统安全

• HKLM\Software\Microsoft\Security Center\”FirewallOverride” = 1
• HKLM\Software\Microsoft\Security Center\”AntiFirewallDisableNotify” = 1
  

6. 创建临时批处理文件，并以之删除原始安装文件

7. 尝试连接如下域名以测试互联网连接是否有效：

• http://www.google.com
• http://www.yahoo.com
  

8. 收集系统信息（CPU，硬盘， 操作系统版本。。。等等）

9. 尝试窃取如下FTP客户端中保存的用户帐号：

• FlashFXP
• Total Commander
• WS_FTP
  

10. 监听并纪录用户键盘活动

11. 将以上所有收集到的信息加密后发送至［目标地址］

如果有必要，并且可能的话，请注意区分各个模块的功能，这是因为如果不同模块发生了变化，读者可以更好的理解为什么某些症状出现了，某些没有，可能受到的影响又有些什么，等等。

例如：

［模块1］是下载器，被运行后会进行如下操作：
。。。

［模块2］是木马主体，被运行后会进行如下操作：
。。。

相关服务器信息分析

本节可以提供一些详细的目标域名， IP 地址，邮件地址等等相关信息。这样可以方便企业／政府用户更好的了解／追踪该恶意代码的作者／运营者。

预防及修复措施

当然，如果就职于某行业内公司，本节通常会提供相关产品的修复操作步骤。
不过这里我们还是为那些没有安装安软的普通用户来介绍一下，需要安装的安全补丁，如何手动恢复被感染的环境，例如如何一步步的删除／修改相关注册表键值，文件等等。

技术热点及总结

模版二

撰写分析报告的目的

❍这是一款什么样的恶意代码
❍恶意代码的执⾏方式
❍恶意代码的主要功能
❍恶意代码的危害性
❍恶意代码的对抗手段