工作中样本处理流程

0x1 目的

邮件的弄清楚目的,是出报告 || 清除 || ?

0x2 信息收集

尽可能多的收集信息
1.只有一台机器还是几台或批量处理.
2.目前的症状.---能查，但是清不干净.
3.有样本-在虚拟机复现,和客户对比,复现成功就在这边操作，对比不一样就需要远程.

0x3 入库

先用引擎扫一遍,看能查否,不能查先入库.

0x4 虚拟机复现

1.File:
C:\Documents and Settings\PC\Recent\uzgbtymhqo.vbs.lnk
C:\Documents and Settings\PC\「开始」菜单\程序\启动\uzgbtymhqo.vbs
C:\DOCUME~1\PC\LOCALS~1\Temp\uzgbtymhqo.vbs
2.进程：
wscript.exe
3.CMD
"C:\WINDOWS\system32\wscript.exe" //B "C:\DOCUME~1\PC\LOCALS~1\Temp\uzgbtymhqo.vbs"
4.reg(还要关注注册表写入数据的情况)
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
uzgbtymhqo =    wscript.exe //B "C:\DOCUME~1\PC\LOCALS~1\Temp\uzgbtymhqo.vbs"
HKEY_CURRENT_USER\Software\IMAGE_FILE_HEADER (value)
HKEY_CURRENT_USER\Software\DOS_STUB (value)
5.Net
8.8.4.4:53
6.跨进程写入msiexec.exe --> C:\WINDOWS\system32\wuauclt.exe --->写入MZ

0x5 清理关键位置

1.引擎能删除:C:\DOCUME~1\PC\LOCALS~1\Temp\uzgbtymhqo.vbs & C:\Documents and Settings\PC\「开始」菜单\程序\启动\uzgbtymhqo.vbs
2.lpk: C:\windows\lpk.dll

0x6 引擎查杀

1.升库
2.vmwareTest;
3.Reply to Email.

0x7 建议

建议以后处理样本,列一个信息收集文件清单.
1.样本.
2.引擎报毒情况(右下角弹窗)或查杀情况(全盘查杀)截图.
3.引擎log.
4.全部进程截图.
5.感染机器数量.

0x8 Note

1.根据HRJ在虚拟机中的监控信息,结合od迅速找到完成功能的地址(释放PE,注册表等.xf的bat.)
2.抓样本-去关键位置寻找蛛丝马迹.