总结和反思
报告规范
结构
每篇样本分析报告须覆盖以下 10 节:
- 概述 — 样本 SHA256、来源、家族归属(一句话定性)
- 静态分析 — 文件结构、编译信息、混淆方式、关键字符串
- 动态分析 — 进程行为、持久化机制、反分析手段
- 核心载荷 — 加密算法、C2 通信协议
- ATT&CK 映射 — 战术 → 技术编号 → 本样本中的具体体现
- IOC — SHA256 / C2 域名 / 互斥体 / 文件路径 / 注册表(表格形式)
- 网络流量 — JA3 指纹、心跳包特征、请求 URI
- YARA 规则 — 每条 ≥ 5 个 strings
- 归因线索 — 与已知组织 TTP 对比,标注置信度
- 待深入 — 列明未完成的分析点
截图
- 每张截图须有对应文字说明,连续两张截图之间须有过渡文字
- 删除后文章仍通顺的截图一律删除
- 反编译代码、字符串列表、简单分支逻辑使用代码块展示,不要截图
- 保留的截图必须用 Greenshot 添加红框/箭头标注关键位置
措辞
| 禁止 | 替代 |
|---|---|
| “可以看见……” | “分析发现””该函数实现了””如图所示” |
| 木马/病毒/蠕虫混用 | 按实际类型准确使用 Trojan / RAT / Worm / Ransomware |
| “有空再分析” | “待深入分析:1) … 2) …” |
| 用截图代替文字说明 | 文字说明结论,截图作为证据佐证 |
待学清单
ATT&CK 矩阵映射 — https://attack.mitre.org
YARA 规则编写 — 每个样本产出 1 条规则
网络流量分析 — Wireshark 抓包、JA3 指纹提取、心跳包识别
R3 Syscall — ntdll 调用链分析,自写 syscall stub 绕过用户态 Hook
R0 驱动分析 — WinDbg 双机调试,分析恶意 .sys(回调注册/进程隐藏/网络拦截)
VMProtect 壳 — 识别 VMP 区段特征,dump 内存定位非虚拟化代码
Shellcode 编写 — 位置无关代码(PIC)、反射式 DLL 加载
APT 归因 — 精读 20 份公开报告,建立 TTP 特征库,进行 5 次独立归因练习
项目规划
攻击链重建器(Python)
- 输入 Security.evtx → 解析 4688/5156/4657/4663 → 进程树关联
- 自动识别攻击阶段(初始执行 → 持久化 → C2)
- 输出 JSON + Markdown 时间线
- 3 个银狐样本 EVTX 验证
配置提取框架(C++)
- 插件架构,首批 3 插件:QuasarRAT / 银狐 / FernBot
- 手动解析 PE Section / ELF Segment
- 批量扫描 + 统一 JSON 输出
- 10 样本验证,准确率 ≥ 80%
- CLI:
mcconfig extract sample.bin --family quasar
核心认知
- 当前状态: 14 篇博客有逆向深度但缺格式、有分析过程但缺 ATT&CK、有 shellcode 追踪但缺 YARA。不是能力不够,是能力没对准靶子。
- 核心转向: 从”我会分析样本”转向”我能输出结构化证据”。每个样本产 ATT&CK + YARA + IOC + 流量指纹,分析即积累,积累即归因。