22、僵尸网络分析与检测：基于CWSandbox的深入洞察

僵尸网络分析与检测：基于CWSandbox的深入洞察

1. 分析报告解读与转换

在进行恶意软件分析时，我们可以基于原始XML分析报告创建自定义的HTML或纯文本转换。这需要创建一个XSL模板，其中包含解析XML文档的指令。有多种工具可用于执行此转换，一种简单的方法是在XML文件中包含如下行（需使用正确的XSL文件名作为href参数）：

<?xml-stylesheet type="text/xsl"?>

恶意软件分析结果主要用于两个目的：保护和清理托管僵尸程序的客户端系统，以及破坏现有僵尸网络的功能。要实现这些目的，我们需要关注以下重要分析结果：
- 僵尸程序在受感染系统上存储文件的位置。
- 僵尸程序在系统启动时自动启动的机制。
- 僵尸程序如何保护受感染主机免受其他恶意软件感染。
- 僵尸程序如何保护自身不被检测和移除。
- 如何发现新的可感染主机。
- 用于感染新主机的漏洞利用/机制。
- 僵尸程序如何连接到命令与控制（C&C）服务器，以及使用哪些服务器。
- 僵尸程序从何处获取更新。
- 本地和远程执行的恶意操作。

这些信息的证据可以从CWSandbox生成的分析报告中获取。

2. 僵尸程序的安装方式

检查主机是否感染特定恶意软件或清理受感染主机时，我们需要了解恶意软件安装文件的位置和系统启动时自动执行的机制。通常，解决后者问题也能解决前者，因为任何自动启动机制都需要知道要启动的进程位置。