总结和反思

报告规范

结构

每篇样本分析报告须覆盖以下 10 节:

  1. 概述 — 样本 SHA256、来源、家族归属(一句话定性)
  2. 静态分析 — 文件结构、编译信息、混淆方式、关键字符串
  3. 动态分析 — 进程行为、持久化机制、反分析手段
  4. 核心载荷 — 加密算法、C2 通信协议
  5. ATT&CK 映射 — 战术 → 技术编号 → 本样本中的具体体现
  6. IOC — SHA256 / C2 域名 / 互斥体 / 文件路径 / 注册表(表格形式)
  7. 网络流量 — JA3 指纹、心跳包特征、请求 URI
  8. YARA 规则 — 每条 ≥ 5 个 strings
  9. 归因线索 — 与已知组织 TTP 对比,标注置信度
  10. 待深入 — 列明未完成的分析点

截图

  • 每张截图须有对应文字说明,连续两张截图之间须有过渡文字
  • 删除后文章仍通顺的截图一律删除
  • 反编译代码、字符串列表、简单分支逻辑使用代码块展示,不要截图
  • 保留的截图必须用 Greenshot 添加红框/箭头标注关键位置

措辞

禁止 替代
“可以看见……” “分析发现””该函数实现了””如图所示”
木马/病毒/蠕虫混用 按实际类型准确使用 Trojan / RAT / Worm / Ransomware
“有空再分析” “待深入分析:1) … 2) …”
用截图代替文字说明 文字说明结论,截图作为证据佐证

待学清单

  • ATT&CK 矩阵映射 — https://attack.mitre.org

  • YARA 规则编写 — 每个样本产出 1 条规则

  • 网络流量分析 — Wireshark 抓包、JA3 指纹提取、心跳包识别

  • R3 Syscall — ntdll 调用链分析,自写 syscall stub 绕过用户态 Hook

  • R0 驱动分析 — WinDbg 双机调试,分析恶意 .sys(回调注册/进程隐藏/网络拦截)

  • VMProtect 壳 — 识别 VMP 区段特征,dump 内存定位非虚拟化代码

  • Shellcode 编写 — 位置无关代码(PIC)、反射式 DLL 加载

  • APT 归因 — 精读 20 份公开报告,建立 TTP 特征库,进行 5 次独立归因练习


项目规划

攻击链重建器(Python)

  • 输入 Security.evtx → 解析 4688/5156/4657/4663 → 进程树关联
  • 自动识别攻击阶段(初始执行 → 持久化 → C2)
  • 输出 JSON + Markdown 时间线
  • 3 个银狐样本 EVTX 验证

配置提取框架(C++)

  • 插件架构,首批 3 插件:QuasarRAT / 银狐 / FernBot
  • 手动解析 PE Section / ELF Segment
  • 批量扫描 + 统一 JSON 输出
  • 10 样本验证,准确率 ≥ 80%
  • CLI:mcconfig extract sample.bin --family quasar

核心认知

  • 当前状态: 14 篇博客有逆向深度但缺格式、有分析过程但缺 ATT&CK、有 shellcode 追踪但缺 YARA。不是能力不够,是能力没对准靶子。
  • 核心转向: 从”我会分析样本”转向”我能输出结构化证据”。每个样本产 ATT&CK + YARA + IOC + 流量指纹,分析即积累,积累即归因。