YD_T 2383-2011互联网主机恶意程序描述格式.pdf

YD_T 2383-2011互联网主机恶意程序描述格式.pdf

  1. 1、本文档共16页,可阅读全部内容。
  2. 2、有哪些信誉好的足球投注网站(book118)网站文档一经付费(服务费),不意味着购买了该文档的版权,仅供个人/单位学习、研究之用,不得用于商业用途,未经授权,严禁复制、发行、汇编、翻译或者网络传播等,侵权必究。
  3. 3、本站所有内容均由合作方或网友上传,本站不对文档的完整性、权威性及其观点立场正确性做任何保证或承诺!文档内容仅供研究参考,付费前请自行鉴别。如您付费,意味着您自己接受本站规则且自行承担风险,本站不退款、不进行额外附加服务;查看《如何避免下载的几个坑》。如果您已付费下载过本站文档,您可以点击 这里二次下载
  4. 4、如文档侵犯商业秘密、侵犯著作权、侵犯人身权等,请点击“版权申诉”(推荐),也可以打举报电话:400-050-0827(电话支持时间:9:00-18:30)。
查看更多
ICS 33.040M 21YD中华人民共和国通信行业标准YD/T 2383-2011互联网主机恶意程序描述格式Specification for host malicious program2011-12-20 发布2011-12-20 实施中华人民共和国工业和信息化部发布 YD/T 2383-2011目次前言:引1 范围·2术语、定义和缩略语2.1术语和定义…2.2缩略语3概述·3.1恶意程序范围3.2恶意程序样本·4 恶意程序描述规范4.1 恶意程序描述语言·4.2恶意程序描述语言定义5恶意程序描述语言标签定义·5.1样本来源·5.2静态信息5.3主机行为5.4网络行为5.5厂商自定义扩展信息附录A(资料性附录)恶意程序描述格式示例 YD/T 2383-2011表17 (续)说明下级子标签子标签名IPAddress远程IP地址无网络行为的目的端口无Port无FileOperation创建、删除、重名文件及其读写特定目录其他操作,如:创建的互斥体和修改的系统时间等无OtherOperation5.5厂商自定义扩展信息标签名称:VendorAnalysis该标签描述各厂商自定义的扩展信息,一般包括恶意程序名称、恶意属性判定、流行度、是否感染其他文件等描述信息。子标签名称由各厂商自行定义。 YD/T 2383-2011附录A(资料性附录)恶意程序描述格式示例A.1样本来源标签示例SourceFileNameExample.exe/FileNameSourceNameVDS/SourceNameTime2010-05-31 12:32:54/TimeLocation北京/LocationAttackCount128/AttackCountSourceIP222.112.* */SourceIPDestIP222.1.*. */DestIPDestIP222.1.* */DestIPDestIP222.1.* */DestIPDestIP222.1.* */DestIP/SourceA.2样本静态信息标签示例SampleBasicHashCRC3295724F /CRC32SHA1/SHA1/HashFileSize0x318006L/FileSizeFileFormatFormatDescDOS/FormatDesc/FileFormatFileTimeCreateTime2010-5-10 00:00:00/CreateTimeModifytime2010-5-10 00:00:00/Modifytime/FileTimePacketShellInfoUPX/ShellInfo/PacketArchiveFlySFX/Archive YD/T 2383-2011PESturctFileHeaderMachine0x14c/MachineNumberOfSections0x5/NumberOfSectionsNumberOfSymbols0x0/NumberOfSymbolsPointerToSymbolTableOx0/PointerToSymbolTableSizeOfOptionalHeader0xe0/SizeOfOptionalHeaderTimeDateStamp0x3925136b/TimeDateStamp/FileHeaderOptionalHeader/DirectoryEntryImportDLLDlINameKERNEL32.dll/DIINameAPINameGetOEMCP/APINameAPINameMultiByteToWideChar/APINameAPINameGetStringTypeW/APIName/DLL/DirectoryEntryImportSectionName.text/NameVirtualAddress0x1000/VirtualAddressMiscVirtualSize0x4d9c/MiscVirtualSizeSizeOfRawData0x5000/SizeOfRawData/Section/PEStruct/SampleBasicA.3样本主机行为标签示例SampleAnalysisProcessThreadOperationTime ID-1 LogTime=2010-5-31 19:35:10ProcessID/ImagePathc:lvirus/495724FF230E7EBD6FA14B9AEF0215E5.6A4AE6E0/ImagePathActionRUN_PROCESS/Action/TimeTime ID-37 LogTime-2010-7-4 10:32:17ProcessID608/ProcessIDImagePathC:IWINDOW

文档评论(0)

consult + 关注
官方认证
内容提供者

consult

认证主体山东持舟信息技术有限公司
IP属地山东
统一社会信用代码/组织机构代码
91370100MA3QHFRK5E

1亿VIP精品文档

相关文档