YD_T 2383-2011互联网主机恶意程序描述格式.pdf

ICS 33.040M 21YD中华人民共和国通信行业标准YD/T 2383-2011互联网主机恶意程序描述格式Specification for host malicious program2011-12-20 发布2011-12-20 实施中华人民共和国工业和信息化部发布 YD/T 2383-2011目次前言：引1　范围·2术语、定义和缩略语2.1术语和定义…2.2缩略语3概述·3.1恶意程序范围3.2恶意程序样本·4　恶意程序描述规范4.1　恶意程序描述语言·4.2恶意程序描述语言定义5恶意程序描述语言标签定义·5.1样本来源·5.2静态信息5.3主机行为5.4网络行为5.5厂商自定义扩展信息附录A（资料性附录）恶意程序描述格式示例 YD/T 2383-2011表17 (续)说明下级子标签子标签名IPAddress远程IP地址无网络行为的目的端口无Port无FileOperation创建、删除、重名文件及其读写特定目录其他操作，如：创建的互斥体和修改的系统时间等无OtherOperation5.5厂商自定义扩展信息标签名称：VendorAnalysis该标签描述各厂商自定义的扩展信息，一般包括恶意程序名称、恶意属性判定、流行度、是否感染其他文件等描述信息。子标签名称由各厂商自行定义。 YD/T 2383-2011附录A（资料性附录）恶意程序描述格式示例A.1样本来源标签示例SourceFileNameExample.exe/FileNameSourceNameVDS/SourceNameTime2010-05-31 12:32:54/TimeLocation北京/LocationAttackCount128/AttackCountSourceIP222.112.* */SourceIPDestIP222.1.*. */DestIPDestIP222.1.* */DestIPDestIP222.1.* */DestIPDestIP222.1.* */DestIP/SourceA.2样本静态信息标签示例SampleBasicHashCRC3295724F /CRC32SHA1/SHA1/HashFileSize0x318006L/FileSizeFileFormatFormatDescDOS/FormatDesc/FileFormatFileTimeCreateTime2010-5-10 00:00:00/CreateTimeModifytime2010-5-10 00:00:00/Modifytime/FileTimePacketShellInfoUPX/ShellInfo/PacketArchiveFlySFX/Archive YD/T 2383-2011PESturctFileHeaderMachine0x14c/MachineNumberOfSections0x5/NumberOfSectionsNumberOfSymbols0x0/NumberOfSymbolsPointerToSymbolTableOx0/PointerToSymbolTableSizeOfOptionalHeader0xe0/SizeOfOptionalHeaderTimeDateStamp0x3925136b/TimeDateStamp/FileHeaderOptionalHeader/DirectoryEntryImportDLLDlINameKERNEL32.dll/DIINameAPINameGetOEMCP/APINameAPINameMultiByteToWideChar/APINameAPINameGetStringTypeW/APIName/DLL/DirectoryEntryImportSectionName.text/NameVirtualAddress0x1000/VirtualAddressMiscVirtualSize0x4d9c/MiscVirtualSizeSizeOfRawData0x5000/SizeOfRawData/Section/PEStruct/SampleBasicA.3样本主机行为标签示例SampleAnalysisProcessThreadOperationTime ID-1 LogTime=2010-5-31 19:35:10ProcessID/ImagePathc:lvirus/495724FF230E7EBD6FA14B9AEF0215E5.6A4AE6E0/ImagePathActionRUN_PROCESS/Action/TimeTime ID-37 LogTime-2010-7-4 10:32:17ProcessID608/ProcessIDImagePathC:IWINDOW