22、恶意软件分析与检测全解析

恶意软件分析与检测全解析

1. 基于XML分析报告的转换

基于原始XML分析报告，我们能够创建自定义的HTML或纯文本转换。为此，需要创建一个XSL模板，其中包含解析XML文档的指令。有多种工具可用于执行此转换，一种简单的方法是在XML文件中包含如下行（需使用正确的XSL文件名作为href参数）：

<?xml-stylesheet type="text/xsl"?>

2. 分析报告的解读

对恶意软件应用程序进行分析得到的结果主要用于两个目的：保护和清理托管僵尸网络的客户端系统，以及破坏现有僵尸网络的功能。显然，如果所有僵尸程序都被禁用，僵尸网络将失效，但由于无法同时停用所有僵尸程序，且始终存在新感染的风险，因此关闭命令与控制（C&C）服务器也非常重要。以下是用于移除和避免僵尸程序感染以及关闭僵尸网络的重要分析结果：
- 僵尸程序在受感染系统上将其文件存储在何处？
- 僵尸程序在系统启动时使用何种机制自动启动？
- 僵尸程序如何保护受感染主机免受其他恶意软件感染？
- 僵尸程序如何保护自身不被检测和移除？
- 如何找到新的可感染主机？
- 使用何种漏洞利用/机制来感染新主机？
- 僵尸程序如何连接到C&C服务器，使用哪些服务器？
- 僵尸程序从何处获取更新？
- 本地和远程执行了哪些恶意操作？

这些信息的证据可以从CWSandbox生成的分析报告中获取。下面将详细检查这些项目，并