新手学看 “SREng 日志分析报告”初级教程
新手学看 “SREng 日志分析报告”初级教程Tags: [url=http://bbs.kafan.cn/tag-%CC%EC%CC%C3%C4%F1.html][color=#0000ff]天堂鸟[/color][/url] [url=http://bbs.kafan.cn/tag-SREng.html][color=#0000ff]SREng[/color][/url] [url=http://bbs.kafan.cn/tag-%C8%D5%D6%BE.html][color=#0000ff]日志[/color][/url][size=5][color=blue]学看 SRE 报告 ———— 第一讲[/color][/size]
很早就想写,关于如何看SRE报告的文章。 只是这东西,我觉得不是用文字,就能完全表达清楚的。
做为教程的第一帖,我先讲一下SRE报告的“结构”。掌握了结构,大家就不会对满屏的英文,感到头疼了。
[color=red](一)[/color]。SRE报告整体结构说明
一份完整的 SRE 报告,分为如下 13 部分:
1. 注册表启动项目
2. 启动文件夹
3. 系统服务项目
4. 系统驱动文件
5. 浏览器加载项
6. 正在运行的进程(包括进程模块信息)
7. 文件关联
8. Winsock 提供者
9. Autorun.inf
10.HOSTS 文件
11.进程特权扫描
12.API HOOK
13.隐藏进程
其中,判断一台电脑,是否存在异常,主要是查看:
[color=red]1[/color]. 注册表启动项目
[color=red]3[/color]. 系统服务项目
[color=red]4[/color]. 系统驱动文件
[color=red]6[/color]. 正在运行的进程
[color=red]8[/color]. Winsock 提供者
[color=red]9[/color]. Autorun.inf
[color=red]10[/color].进程特权扫描
在这次的教程中,我先讲解第一项:注册表启动项目, 的结构看法。
[color=#0000ff] [/color]
[color=#0000ff] ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~[/color]
[color=red](二)[/color]。SRE报告——注册表启动项目,结构讲解
在任何一份SRE报告中,注册表启动项目,都有相同的结构,我下面随便举个例子:
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run]
<Synchronization Manager><mobsync.exe /logon> [(Verified)Microsoft Windows 2000 Publisher]
第一行:[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run] ,代表的是:这个启动项目,在注册表中的详细位置。
第二行:<Synchronization Manager><mobsync.exe /logon> [(Verified)Microsoft Windows 2000 Publisher],由三部分组成:
[color=red]1[/color]. <Synchronization Manager>,这个项目,是指该启动项,在注册表中的名称。不同的启动项目,自然名称也不会相同。
[color=red]2[/color]. <mobsync.exe /logon>,这个项目,分两种情况:
⑴ 对于(经过验证的)系统关键文件,SRE则直接列出该项目的文件名称,而不给出相应的详细路径。这种文件,一般在后面都会标有“(Verified)”,我后面解释。
⑵ 对于普通文件,则会在这个项目中,给出详细的文件路径和名称,比如:c:\windows\system32\abc.exe
在我们这次的例子中,是满足:⑴的。
[color=red]引用[/color]:
[color=seagreen]说明:这个说法有误。
其实在此处,显示的就是该注册表键完整的键值,无论其是否是正常的文件或经过验证的文件。对于键值为相对路径的情况(如Explorer.exe),系统自动遍历环境变量PATH中的文件夹列表,来查找文件。[/color]
[color=red][size=4]3[/size][/color].[(Verified)Microsoft Windows 2000 Publisher],这项代表:该文件,是否含有“公司签名认证”
SRE这个软件,自身具备了对“系统关键文件”和一些“众所周知的软件的文件”(如:explorer.exe,winlogon.exe,userinit.exe等)的“验证检测”,凡是通过了检测的系统关键文件,SRE在公司名这里,都会标有:Verified,这个英文。
换个角度来说:在SRE报告中,凡是出现“Verified”这个英文的启动项目,都100%是正常的启动项目。
[color=red]引用[/color]:
[color=seagreen]100%这个说法太绝对了。其实看被机器狗修改的文件就知道,有这个字样,但是没有公司名称,也是有问题的。
严格意义上来说,这叫“数字签名验证”,使用的是一定的对称散列算法。[/color]
总结一下,在SRE报告的:注册表启动项目中,虽然条目有很多,但是,全部都遵守这个结构:
【启动项目的详细注册表位置】
【启动项目的名称】【启动项目对应的文件的详细路径】【公司签名】
我们再来看个例子,大家对照着,看一下:
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon]
<shell><Explorer.exe> [(Verified)Microsoft Windows 2000 Publisher]
看完这两行,大家应该得到如下结论:
●此启动项目名称:Shell
●此启动项目对应文件: Explorer.exe
●此启动项目在注册表中对应的位置:HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon
●公司签名:Microsoft Windows 2000 Publisher
●是否经过SRE“验证”:是 (因为有Verified)
[color=red]引用[/color]:
[color=seagreen]Microsoft Windows 2000 Publisher在这里不止是公司的名称。系统文件的版本信息中可见的公司名称,其实是Microsoft Corporation
然而对于系统文件,SREng可以显示更具体的细节,因此这里显示的是这样一个结果。可以发现,SREng2.5和2.6在这个地方显示的结果不同。[/color]
[color=#0000ff] ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~[/color]
[color=red](三)[/color]。启动项目的“特例”
[color=red]1[/color]. 咱们上面讲的,是标准的启动项目信息,有些文件的启动项目,稍微“拐了一个弯”,我们来看个例子,我再讲解:
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run]
<NvMediaCenter><RUNDLL32.EXE C:\WINNT\system32\NvMcTray.dll,NvTaskbarInit> [NVIDIA Corporation]
这个启动项目,算是比较复杂的了,但还算是够常见,第一行,不解释了。。。。。。。主要解释第二行的中间:
<RUNDLL32.EXE C:\WINNT\system32\NvMcTray.dll,NvTaskbarInit>
和我们上面讲解的结构不同。这个启动项目,具有一层隐含意思。在windows中,DLL类型的文件(动态数据库链接文件),是不能自己独立运行的。它必须找“载体”来运行。在windows系统中,运行 DLL 类型的文件的载体,就是:Rundll32.exe。
所以,我们分析一下上面那行文件信息:RUNDLL32.EXE C:\WINNT\system32\NvMcTray.dll,NvTaskbarInit
意思就是:C:\WINNT\system32\NvMcTray.dll,这个真正的启动文件,正在依靠 RUNDLL32.EXE,这个程序,进行启动。
对于这种启动项目,在文件详细信息这里,其结构就发生了变化,变为:载体 主运行文件的详细位置。这个大家能理解就行了。
在windows系统中,载体,不止包括:rundll32.exe,常见的,还包括:svchost.exe,大家照猫画虎,应该可以想到的。
[color=red]引用[/color]:
[color=seagreen]在这里更加正确和根本的解释是:
键值所显示的,是系统按此项启动时,执行的命令行。
因此这里说的实际上是命令行的构成。
这里其实是启动Rundll32.exe,把dll名和其他相应参数作为命令行(CommandLine)参数传递。[/color]
[color=red]2[/color]. 在windows系统中,有一项及其特殊的启动项目,其名称为:AppInit_dlls
对于这个键值,正常的情况是:该项目的值,为空。也就是说,正常的电脑,这个启动项目,应该是这样的:
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Windows]
<AppInit_DLLs><> [N/A]
如果在一份报告中,此项的“文件信息”,这个位置,出现东西,则分两种情况考虑:
★被美化软件,修改
目前许多朋友,都喜欢通过美化软件,来美化系统。据我所知,有些高级美化软件,为了达到彻底美化系统的效果,会修改此键值,典型的软件:Windows Blinds
这款软件安装后,此项目的值被修改为:wbsys.sys。大家知道就行了。
注意: 此项注册表启动信息,绝对不能删除,只能在SRE中,双击-进入编辑模式,然后把里面的文件名称去掉,留为空值,就可以了。
★被病毒修改。
遇到上面的美化情况,可以问一下电脑的使用者,是否美化了系统,使用了什么美化软件。如果没有用,而且,此键值出现了文件信息,则中毒的几率非常大。比如下面的例子:
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Windows]
<AppInit_DLLs><kamabas.dll> [N/A]
如果这个启动项目,出现在报告中,必须要引起100000000000%的高度重视,必须看清是空值(即正常值),还是有其他信息。
判断方法: 看这个文件(如我的例子中的:kamabas.dll),是不是在报告的“正在运行的系统进程”,中,插入了大部分进程。如果是:则100%为病毒。(后面我会再次讲到的)
[color=red]引用[/color]:
[color=seagreen]这里的说法比较笼统。
实际上,这一个键值显然不是为了病毒而存在的^-^
这个键值的作用,是每一个进程启动加载user32.dll的时候,会自动加载这个键值中保存的所有dll
美化软件就是使用这样的功能,对所有使用图形界面的程序的窗口进行改造。
只是为了能被所有加载user32.dll的进程加载,就可以使用这些项目,包括某些杀毒软件。
SREng对于此项非空的提示,并不表示一定是病毒造成的问题,应谨慎判断。[/color]
[color=#0000ff] ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~[/color]
[color=red](四)[/color]。启动项目“通用正常启动信息”
对于windows XP 系统,在任何一台电脑上,都有如下启动信息,这些信息都是正常信息,看到后无须判断,直接精简掉:
[color=red]1[/color].[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Active Setup\Installed Components\>{26923b43-4d38-484f-9b9e-de460746276c}]
<Internet Explorer><%systemroot%\system32\shmgrate.exe OCInstallUserConfigIE> [N/A]
[color=red]2[/color].[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Active Setup\Installed Components\>{881dd1c5-3dcf-431b-b061-f3f88e8be88a}]
<Outlook Express><%systemroot%\system32\shmgrate.exe OCInstallUserConfigOE> [N/A]
[color=red]3[/color].[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Active Setup\Installed Components\{2C7339CF-2B09-4501-B3F3-F3508C9228ED}]
<Themes Setup><%SystemRoot%\system32\regsvr32.exe /s /n /i:/UserInstall %SystemRoot%\system32\themeui.dll> [N/A]
[color=red]4[/color].[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Active Setup\Installed Components\{44BBA840-CC51-11CF-AAFA-00AA00B6015C}]
<Microsoft Outlook Express 6><"%ProgramFiles%\Outlook Express\setup50.exe" /APP:OE /CALLER:WINNT /user /install> [N/A]
[color=red]5[/color].[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Active Setup\Installed Components\{44BBA842-CC51-11CF-AAFA-00AA00B6015B}]
<NetMeeting 3.01><rundll32.exe advpack.dll,LaunchINFSection C:\WINDOWS\INF\msnetmtg.inf,NetMtg.Install.PerUser.NT> [(Verified)Microsoft Windows Publisher]
[color=red]6[/color].[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Active Setup\Installed Components\{5945c046-1e7d-11d1-bc44-00c04fd912be}]
<Windows Messenger 4.7><rundll32.exe advpack.dll,LaunchINFSection C:\WINDOWS\INF\msmsgs.inf,BLC.QuietInstall.PerUser> [(Verified)Microsoft Windows Publisher]
[color=red]7[/color].[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Active Setup\Installed Components\{6BF52A52-394A-11d3-B153-00C04F79FAA6}]
<Microsoft Windows Media Player><rundll32.exe advpack.dll,LaunchINFSection C:\WINDOWS\INF\wmp11.inf,PerUserStub> [(Verified)Microsoft Windows Component Publisher]
[color=red]8[/color].[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Active Setup\Installed Components\{7790769C-0471-11d2-AF11-00C04FA35D02}]
<通讯簿 6><"%ProgramFiles%\Outlook Express\setup50.exe" /APP:WAB /CALLER:WINNT /user /install> [N/A]
[color=red]9[/color].<PHIME2002A><; C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.EXE /IMEName> [N/A]
[color=red]10[/color].<PHIME2002ASync><; C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.EXE /SYNC> [N/A]
[color=red]11[/color].<IMJPMIG8.1><; "C:\WINDOWS\IME\imjp8_1\IMJPMIG.EXE" /Spoil /RemAdvDef /Migration32> [(Verified)Microsoft Windows Publisher]
[color=red]引用[/color]:
[color=seagreen]在这里原作者没有很好的解释(或许他自己也不太清楚)这一项目的作用,可能导致有些读者因此认为Installed Components项目的检测是“鸡肋”。
在此可以告诉大家,全然不是这样,这个项目是我们当时极力向smallfrogs建议加入的项目。
虽然在大部分情况下这个项目下不会存在异常,然而这个项目仍然作为一个可以启动的位置,而且是相比之下极为隐蔽的位置,彩虹桥等木马就曾藏身于此,特别因为此木马是远程注入无进程的,因此一段时间内甚难以发现其踪迹。因此此项绝非虚设。[/color]
[color=#0000ff] ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~[/color]
[color=red](五)[/color]。关于 IFEO,在此项目中的反映。
请提前参考有关IFEO技术介绍文章
在SRE报告的——注册表启动项目中,如果出现:
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options]
则证明有IFEO,劫持情况出现,这种情况,我在以前的日志写过了,根据下面的文件信息,挑出病毒文件。留着后面删除。最后,用System Detector,这个软件,一键修复即可。举例,大家看一下,是这样的:
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\AppSvc32.exe]
<IFEO[AppSvc32.exe]><C:\Program Files\Common Files\Microsoft Shared\addslta.exe> []
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\ArSwp.exe]
<IFEO[ArSwp.exe]><C:\Program Files\Common Files\Microsoft Shared\addslta.exe> []
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\AST.exe]
<IFEO[AST.exe]><C:\Program Files\Common Files\Microsoft Shared\addslta.exe> []
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\autoruns.exe]
<IFEO[autoruns.exe]><C:\Program Files\Common Files\Microsoft Shared\addslta.exe> []
典型的IFEO类病毒
(大部分安全类软件,都被“IFEO”了)
我简单解释一下“第二行”:
<IFEO[autoruns.exe]>:意思是,利用IFEO技术,劫持正常的文件名为:autoruns.exe 的文件。
<C:\Program Files\Common Files\Microsoft Shared\addslta.exe>:这个就是劫持的主体了,文件名可以看出来吧?
说白了,上面的最后2行,意思就是:当碰到autoruns.exe这个文件的时候,则改为执行:addslta.exe,这个文件。。。。
[color=red]引用[/color]:
[color=seagreen]准确地来说,是当被IFEO劫持的程序执行时,系统转而调用目标程序,并把被IFEO劫持程序执行时的完整命令行作为命令行参数加在后面进行传递。
因此当被IFEO劫持程序与目标程序是同一个时,将导致此过程不停地循环,最终使命令行长度超过系统限制而使操作失败。[/color]
[color=seagreen] [/color][color=blue] ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~[/color]
[color=red](六)[/color]。如何挑选,区分正常,和不正常的启动项目。
[color=red]1[/color].正常的系统文件,在不正常的文件位置。(正常的位置,相似的名称)
这个,就需要看报告的人自己去掌握,必须要时刻牢记,windows常见进程,对应的文件名称,位置!我举个例子,大家看一下:
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run]
<svchost><C:\windows\system32\drivers\svchost.exe> [Microsoft Corporation]
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run]
<svhcost><C:\windows\system32\svhcost.exe> [Microsoft Corporation]
这两个启动项目,是正常的?还是不正常的?这里我就不说了,留给大家,思考一下吧~
[color=red]2[/color].看公司签名
95%的病毒,其病毒文件,都是没有公司签名的,对于没有公司签名的文件,在SRE报告中,其公司名处。显示为:[],或者[N/A]。
在看报告的时候,特别留心,公司签名是这种的。例如:
<WinSysM><C:\WINDOWS\192896M.exe> [N/A]
<LotusHlp><C:\WINDOWS\LotusHlp.exe> []
<WinSysW><C:\WINDOWS\192896L.exe> [N/A]
当然,剩下的5%,意思就是:也有伪装签名的病毒文件存在噢!这个,就得靠大家的细心了。
[color=red]3[/color].善用搜索引擎
有些比较“偏”的软件,虽然是正常的文件,但也没有公司签名。这种情况,还不在少数。因此,一定要善用搜索引擎,直接搜索,启动的文件,比如 abc.exe, abc.dll等等。
例子:<kav><; "C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus 6.0\avp.exe"> [N/A]
稍微有点电脑知识的人,应该能看出这个启动项目是什么吧?郁闷不?公司名,居然是[N/A]。。。。。。搞不懂卡巴公司在搞什么。。。
[color=red]4[/color]. 学会积累,总结
每看一份报告,都要知道,这个电脑,安装了哪些软件,他们有哪些的(正常)进程。这个过程,不是教出来的,只能是自己积累出来的。上面这些,应该涵盖了90%以上的知识了。需要大家慢慢理解和消化。想学看报告,必须就要“多看报告。刚开始的时候,看报告不要心急,逐行查验,别闲麻烦。我刚开始学看的时候,都是逐个字母的看。看的多了,积累的多了。就会很快的。 学看 SRE 报告 ———— 第二讲
继续第一讲的内容,这次讲解: 服务
(一)。“服务”在SRE报告中显示的结构
我们还是随便拿个例子说明:
[NOD32 Kernel Service / NOD32krn][Running/Auto Start]
<"C:\Program Files\Eset\nod32krn.exe"><Eset>
第一行,分两部分:
1. [NOD32 Kernel Service / NOD32krn],代表:该项服务的名称
◆NOD32 Kernel Service,为服务的全称
◆NOD32krn,为服务的简称
2. [Running/Auto Start],代表:该服务的运行状态,对应几个英文,我分别说明:
◆Running,正在运行
◆Auto Start,自动启动
◆Manual Start,手动启动
◆Disable,禁用
◆Stopped:(目前是)停止
对于服务的运行状态,我们不需要特别关注,对于杀毒操作,我们要删除一项服务的时候,无须区分他们的运行状态。
第二行,也分两部分:
1.<"C:\Program Files\Eset\nod32krn.exe">,服务对应的文件的详细位置和名称
2.<Eset>,服务的公司签名
和讲注册表的时候一样,给个例子帮大家分析:
[NVIDIA Display Driver Service / NVSvc][Stopped/Manual Start]
<C:\WINDOWS\system32\nvsvc32.exe><NVIDIA Corporation>
●该项服务的名称:(全称)NVIDIA Display Driver Service 或 (简称)NVSvc
●运行状态:目前停止/手动启动
●对应的文件及路径:C:\WINDOWS\system32\nvsvc32.exe
●公司:NVIDIA Corporation
引用:
这里对几个概念的解释有点欠标准。
原文提到的“简称”,实际上才是真正的“服务名”(也是注册表中该服务项的真正名称),而这里提到的“全称”,实际上是“显示名”(该服务项的DisplayName键值)。“显示名”只是为了方便用户理解该服务的意义和作用,在系统对服务的实际操作中,如相应的API调用中,“显示名”并没有实质性意义。
所谓“对应的文件及路径”,这里依然应该被称为“映像路径”(ImagePath键值),与启动项类似,这里仍然是服务启动时执行的命令行(CommandLine)。
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
(二)。特例(服务)
和第一讲的注册表启动项目特例类似的,举例大家看:
[Workstation / lanmanworkstation][Running/Auto Start]
<C:\WINDOWS\system32\svchost.exe -k netsvcs-->%SystemRoot%\System32\wkssvc.dll><Microsoft Corporation>
如果大家在第一讲中理解了,那么这个应该很容易明白。同样,具有“隐含意思”
意思为:wkssvc.dll,这个真正的启动文件,正在由 C:\WINDOWS\system32\svchost.exe 程序加载执行。这种情况下,前者(这里的svchost.exe),都是正常的文件,我们在杀毒时候,不需要考虑它。而真正要查看,判断,甚至删除的,是后者(这里的:wkssvc.dll)!
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
(三)。已知正常的特例服务
下面2个,很常见的,但是没有微软签名,提前告诉大家,他们是正常的:
1. [Human Intexxxce Device Access / HidServ][Stopped/Disabled]
<C:\WINDOWS\System32\svchost.exe -k netsvcs-->%SystemRoot%\System32\hidserv.dll><N/A>
2. [Help and Support / helpsvc][Stopped/Disabled]
<C:\windows\System32\svchost.exe -k netsvcs-->%WINDIR%\PCHealth\HelpCtr\Binaries\pchsvc.dll><N/A>
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
(四)。服务的判断方法
1.看公司签名
这个和注册表启动项的看法一样了,特别注意没有公司签名,即显示为:<>或者<N/A>的服务项目!
2.不该添加服务的,正常项目,在SRE报告中出现
大家都知道,SRE中有个功能,可以“屏蔽,隐藏”,已经验证过的微软服务。(操作不说了,以前在SRE删除服务的帖子,写过了)
SRE在做报告的时候,只对:非windows正常服务,做报告,显示出来。也就是说:自动隐藏正常的,经过验证的windows服务。
有些病毒,就是利用正常的windows用户名,添加服务。但是,它们始终逃不过SRE的“眼睛”,别作为:非windows正常服务,在报告中列出来。
举2个例子,大家看一下:
[286EE121 / 286EE121][Stopped/Auto Start]
<C:\WINDOWS\system32\792405C6.EXE -k><>
无公司签名,名称“乱七八糟”,应该没人见过这种“在Syste32文件夹下的“正常系统文件吧”!
[svchost / svchost][Stopped/Auto Start]
<C:\WINDOWS\system32\dllcache\svchost.exe -g><Microsoft Corporation>
文件名上看,是正常的svchost,但是,看位置,这个文件,跑哪里去了?????正常的该在哪里???我不说了,大家应该明白了。而且,此病毒,伪造了微软签名喔!
[Yahoo Service / YahooSvr][Running/Auto Start]
<C:\WINDOWS\system32\E312F\svchost.exe><>
先看名字:Yahoo???都认识吧~别着急,往后看,
服务文件名:svchost.exe,正常的??
看路径:C:\WINDOWS\system32\E312F\ 。。。。。。。。。。。。还用解释么?跑哪里去了?
3.善于搜索引擎
这个不说了,你可以直接用服务的“全称或者简称”,来搜索。也可以用服务对应的文件名称来搜索。
4.谨防冒充“微软签名的”
上面例子说过了,目前有些病毒,开始伪造微软签名了,即:公司名是:<Microsoft Corporation>,所以,提醒大家,不要看到是MS的签名,就过去了。要从名称,位置,来综合判断!
总结:相比注册表启动项目,服务,算是比较好“看”的了。关键还是在于积累。每台电脑,都或多或少的,有些重复的启动项目。随便去网上找2份报告,如果一个服务,在2份报告中都出现,那么,它基本上就是正常的服务了。要学会善于对比。 [size=5][color=#0000ff]学看 SRE 报告 ———— 第三讲
[/color][/size][color=red](一)[/color]。驱动 的重要性
驱动文件,对于任何一台电脑,都具有“最高等级”的重要性,在查毒,杀毒的过程中,必须给予最高程度的重视!
windows正常的驱动文件,为:*.sys,类型的文件,位于:c:\windows\system32\drivers ,这个文件夹下面。当然,病毒文件,如果创建驱动的话,也会向这里写入信息。这就给我们判断病毒,带来了难度
无论你的电脑水平有多“高”,我个人都不建议你主观臆断!对于怀疑是病毒的驱动文件,即我们这次后面会提到的:*.sys文件,一律采用:先备份 - 后删除的方法。
即:如果一台电脑,根据SRE报告,怀疑有多处病毒驱动文件,则采用:雨林木风PE工具箱,在PE系统,先行把病毒文件,移动到随意一个位置。这样,原来的驱动,就不能运行了。其他病毒文件删除后,最后解决驱动文件。这样最保险!不要主观判断某个驱动文件,一定是病毒!
[color=blue] ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~[/color]
[color=red](二)[/color]。SRE报告中驱动 的结构
驱动文件的显示结构,和 服务,完全相同。也是符合如下结构:
【全称/简称】【运行状态】
【驱动项目对应的文件的详细位置】【公司签名】
例子:
[Microsoft Kernel Acoustic Echo Canceller / aec][Stopped/Manual Start]
<system32\drivers\aec.sys><Microsoft Corporation>
这里我就不再详细说明了。
[color=blue] ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~[/color]
[color=red](三)[/color]。判断方法
[color=red][size=4]1[/size][/color].字母数字组合(项目名称,或者文件名称)
现在很多病毒,自身创建的病毒文件(也包括第二讲里面提到的服务的文件),都是 没有“组合规律”的,即:乱七八糟的数字组合,乱七八糟的字母组合,以及:乱七八糟的 字母+数字组合。
这种例子,已经很多了,如果,再加上此项目没有公司签名,则可以 90%断定:是病毒创建的驱动项目。
对于这种项目,我个人还是建议 先备份-再删除。因为我以前遇到过“例外”。
例子:
[maojrdkc / maojrdkc][Running/Boot Start]
<\SystemRoot\\SystemRoot\System32\drivers\maojrdkc.sys><N/A>
[o1394bul / o1394bul][Stopped/Manual Start]
<\??\C:\DOCUME~1\WHATHA~1\LOCALS~1\Temp\o1394bul.sys><N/A>
[R2A / R2A][Stopped/Disabled]
<\??\C:\WINDOWS\system32a2.sys><N/A>
这3个,都是符合我说的这条规律,积累的多了,自然就懂了。
[color=red][size=4]2[/size][/color]. 例外,在驱动中,和服务一样,也有个例外的,没有经过微软签名的正常驱动项目:
[Secdrv / Secdrv][Stopped/Manual Start]
<system32\DRIVERS\secdrv.sys><N/A>
驱动文件,在SRE报告的全部13项中,是最难判断的,刚接触SRE报告的朋友,我建议这部分不要着急,要多看报告,总结,积累,常见的,正常的驱动文件,比如杀毒软件的,防火墙的,常见软件的。希望大家不要随意拿“驱动文件”开刀! [size=5][color=#0000ff]学看 SRE 报告 ———— 第四讲
[/color][/size][color=red](一)[/color]。浏览器加载项结构
还是以例子来说明:
[ThunderAtOnce Class]
{01443AEC-0FD1-40fd-9C87-E93D1494C233} <d:\Program Files\Thunder\ComDlls\TDAtOnce_Now.dll, Thunder Networking Technologies,LTD>
●[ThunderAtOnce Class]: 该加载项名称
●{01443AEC-0FD1-40fd-9C87-E93D1494C233}:在注册表中的名称
●<d:\Program Files\Thunder\ComDlls\TDAtOnce_Now.dll, Thunder Networking Technologies,LTD>:对应文件的完整位置 + 公司签名
[color=blue]~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~[/color]
[color=red](二)[/color]。判断方法
很少有病毒会涉及到这个项目,倒是流氓软件,100%绝对会在这里创建键值。
1.加载项名称 ,这里。特别需要注意的是:如果有 [],这样的加载项,则代表该项键值有问题,当然,不能就此断定是病毒创建的。至少,有一点可以保证,对于IE浏览网页,它是绝对没用的。
2.公司签名
这个说过很多次了,没公司签名的,或者为 N/A 的,需要仔细查验其对应文件的详细路径。一般通过路径,就能判断出是否是病毒文件。
[雅虎助手]
{5D73EE86-05F1-49ed-B850-E423120EC338} <[url=http://cn.zs.yahoo.com/start.htm?source=yzs_icon&btn=yassistnew][color=#0000ff]http://cn.zs.yahoo.com/start.htm?source=yzs_icon&btn=yassistnew[/color][/url], N/A>
万人皆知的流氓了,自己都懒着给自己的文件,做公司签名,要来有何用?
[使用迅雷下载]
<d:\Program Files\Thunder\Program\geturl.htm, N/A>
连迅雷,都犯懒,不做签名。。。。。。通过路径,应该能看出是迅雷吧?Thunder~
[color=red]引用[/color]:
[color=seagreen]这个说法有误。浏览器加载项是一个很综合的项目,包括BHO,ActiveX插件,浏览器工具栏等多个项目,在SREng的界面中可以看到明显的说明。
这些项目中,不仅仅有dll类型的加载PE文件(BHO或ActiveX项目),也有工具栏附加按钮,浏览器的右键菜单项目等等,特别是后两者,经常是一些网页链接 显然这里就是两个网页链接,目标是雅虎的一个网页,以及迅雷保存在本机的一个网页(作为迅雷的组件,当你右键点“使用迅雷下载”时,浏览器后台运行了这个网页)。网页链接不是可执行文件,当然就没有数字签名,这不是人家公司不做签名,而是压根就不需要做,也没法做得上去!
浏览器加载项这里,几乎不会有什么问题,多看报告,积累总结出windows常见的,正常的浏览器加载项,就行了。除了windows自带的,基本上95%都是流氓软件的加载项了。[/color]
流氓软件,在手工杀毒的过程中,可以忽略不管。毕竟,它不算真正意义上的病毒。但是,如果作报告的电脑,出现:某个网页,无法访问,或者修复了winsock后,仍不能访问网页,则需要从浏览器加载项入手考虑了。 [size=5][color=#0000ff]学看 SRE 报告 ———— 第五讲
[/color][/size][color=red](一)[/color].
"正在运行的进程"结构说明这部分,在SRE报告中,比重是最大的,其实,说白了,就是列出电脑当前运行的所有程序的进程信息,包括各自的模块(包括哪些同时运行,或者程序调用的DLL文件等)信息.
为了减少看报告的工作量,提高效率.我们建议,在做报告之前,应该尽量关闭windows系统第三方的程序,比如QQ,IE,千千等等.尽量做到:只保留windows自身的进程.这样有助于我们更快速的判断,大家不用担心,关闭第三方程序,不会对查毒产生负面影响.
还是拿例子说明:
[PID: 664 / Administrator][C:\KAV2007\KAVStart.exe] [Kingsoft Corporation, 2007, 9, 28, 295]
[C:\windows\system32\MFC71.DLL] [Microsoft Corporation, 7.10.3077.0]
[C:\windows\system32\MSVCR71.dll] [Microsoft Corporation, 7.10.3052.4]
[C:\windows\system32\MSVCP71.dll] [Microsoft Corporation, 7.10.3077.0]
[C:\windows\system32\MFC71CHS.DLL] [Microsoft Corporation, 7.10.3077.0]
[C:\KAV2007\KMailOEBand.DLL] [Kingsoft Corporation, 2006, 12, 1, 139]
[C:\KAV2007\SvcTimer.DLL] [Kingsoft Corporation, 2006.12.22.84]
[C:\KAV2007\KAVPassp.dll] [Kingsoft Corporation, 2006, 12, 30, 271]
[C:\KAV2007\PopSprt3.dll] [Kingsoft Corporation, 2007, 3, 20, 48]
[C:\KAV2007\KASocket.dll] [Kingsoft Corporation, 2007, 3, 18, 241]
第一行分三部分:
1. [PID: 664 / Administrator]: PID值是指此进程在系统中的"数字标识",它是唯一的.这个项目对于我们查毒杀毒没什么意义,大家知道就行了.后面,是创建此进程的用户名.
2. [C:\KAV2007\KAVStart.exe]: 这个是该进程所运行的文件的详细位置.
3. [Kingsoft Corporation, 2007, 9, 28, 295]: 该进程对应文件的公司签名,文件的版本信息.
下面的"相对第一行有缩进"行,是逐行列出了该进程,同时调用了哪些文件,也就是专业术语上称的:模块信息.我随便挑取一行说明:
[C:\KAV2007\SvcTimer.DLL]
1. [C:\KAV2007\SvcTimer.DLL]: 该模块对应文件的详细路径及名称
2. [Kingsoft Corporation, 2006.12.22.84]: 模块的公司名称,文件的版本信息
当然,也存在只有一个运行文件,而没有"模块"信息的进程存在,例如:
[PID: 1468 / SYSTEM][C:\windows\system32\spoolsv.exe] [Microsoft Corporation, 5.1.2600.2696 (xpsp_sp2_gdr.050610-1519)]
和上面的例子相比,最后多了一部分: (xpsp_sp2_gdr.050610-1519)
SRE对于windows自身的部分程序,在检测的时候,都会附带出"XP系统的版本信息",比如我们上面的:spoolsv.exe(打印机服务),Explorer.EXE,services.exe等.
和以前的各块内容不同,在"正在运行的进程"这部分,SRE加入了"文件版本信息"的内容,这个信息,对于我们判断病毒,起到了很大的作用.一定不能忽略它!
[color=blue]~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~[/color]
[color=red][size=4](二)[/size][/color].判断方法
1. 优先注意,公司前面为: N/A 的文件
这部分不解释了,只给出一个例外: [C:\Program Files\WinRAR\rarext.dll] [N/A, ]
大家最常用的WinRAR的文件,无公司前面,连文件版本信息都没有^^^^够郁闷的..........但是是正常的喔!
2.看进程文件的版本,模块文件的版本
目前大部分病毒,虽然会伪造公司前面,但无一例外的,在文件版本上,都没有"下功夫",所以,我们在判断的时候,可以优先注意: 无文件/模块,版本信息的文件.
3.凡是标有XP版本信息的文件,一律为正常的系统文件.如:
[C:\windows\system32\msacm32.drv] [Microsoft Corporation, 5.1.2600.0 (xpclient.010817-1148)]
4.注意报告的整体"联系"
其实,70%的SRE报告,在"注册表启动信息","服务",里面,就基本能挑出90%的病毒文件了.所以到了进程这里,要善于查看"上下文"关系.一般在注册表启动项目里面,罗列出的病毒文件.都会在进程中有所反映(做为模块反映出来的,比较多).
5. 同一个DLL类型文件,同时做为模块,插入大部分进程,且,该DLL文件,无公司前面,或者有签名,没文件版本信息.例如:
[PID: 560 / SYSTEM][C:\WINDOWS\system32\services.exe] [Microsoft Corporation, 5.1.2600.0 (xpclient.010817-1148)]
[C:\WINDOWS\system32\sidjezy.dll] [N/A, ]
[PID: 572 / SYSTEM][C:\WINDOWS\system32\lsass.exe] [Microsoft Corporation, 5.1.2600.1106 (xpsp1.020828-1920)]
[C:\WINDOWS\system32\sidjezy.dll] [N/A, ]
[PID: 748 / SYSTEM][C:\WINDOWS\system32\svchost.exe] [Microsoft Corporation, 5.1.2600.0 (xpclient.010817-1148)]
[C:\WINDOWS\system32\sidjezy.dll] [N/A, ]
[color=blue]~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~[/color]
[color=red][size=4](三)[/size][/color].关于AppInit_DLLs
这个东西,我们第一讲就着重提到了,我在这里再说一次.
前面说过,此键值如果不为空,则分为"美化和病毒"两种情况.美化不说了,我说病毒的情况
如果在"注册表启动信息"中,AppInit_DLLs得值,是一个DLL类型文件,而且,此文件,插入了多个"正在运行的进程"中.则此文件 99% 为病毒文件! 例子:
上面,注册表启动信息:
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Windows]
<AppInit_DLLs><kvdxsjma.dll> []
下面,正在运行的进程:
[PID: 1744 / GOKU][C:\WINDOWS\SOUNDMAN.EXE] [Realtek Semiconductor Corp., 5.1.0.34]
[C:\WINDOWS\System32\kvdxsjma.dll] [N/A, ]
看清楚上面2行噢! C:\WINDOWS\SOUNDMAN.EXE,是正常的声卡文件.但下面的模块,可是被"病毒文件:kvdxsjma.dll"插入了.同样的:
[PID: 1948 / GOKU][C:\WINDOWS\System32\RUNDLL32.EXE] [Microsoft Corporation, 5.1.2600.0 (xpclient.010817-1148)]
[C:\WINDOWS\System32\kvdxsjma.dll] [N/A, ]
这样的结构.......毫无疑问了,100%是病毒了.同时出现在Appinit和进程模块里面,而且无公司前面,无文件版本.
[color=red]引用[/color]:
[color=seagreen]这个说法有点“循环论证”的感觉。
实际上,由于此项的功能(上面已经加了评论说明),在此项的dll文件几乎注定被大部分进程所加载(没有看到在其模块列表中的那些进程,并一定不是启动时不加载,而可能是加载之后该dll判断自身加载环境,对不需要加载的进程,则自动卸载了) 因此,这个现象严格来说并不能更加佐证该dll是病毒的推论,还是应该依照文件路径、数字签名信息等诸多方面综合判断。[/color]
[color=blue]~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~[/color]
[color=red][size=4](四)[/size][/color].总结
因为这部分是报告中,容量最大的部分,所以看起来确实需要花一段时间.一般就从公司签名,文件签名入手即可.大部分文件,只要看到公司签名和文件版本信息,就可以略过了.这样能节省时间.即便有漏掉的,只要前面,注册表,服务,驱动,3个项目清理的彻底.漏掉的文件,也成了"死的了". [size=5][color=#0000ff]学看 SRE 报告 ———— 第六讲
[/color][/size]还剩下几个有共性的小项目.我一起写了,对于这几个项目,都是有普遍规律的.
[color=red](一)[/color]. 文件关联
90%的病毒,都必定会修改系统默认的文件关联.我们这里不需要理会.看都不用看.在手工杀毒最后,我们可以用SRE,修复一下就是了.这部分不需要重视.
[color=red]引用[/color]:
[color=seagreen]90%太多了,其实没有那么多。
而真正被病毒修改的文件关联,恰恰不是不需要理会,而是很需要理会。
如果病毒修改的是可执行文件如.exe、.scr、.com的文件关联,指向病毒程序本身,则当你打开任何一个以此为后缀的可执行文件,都会先运行病毒程序。在删除的病毒程序之后,又没有恢复此键值的话,相应后缀的可执行文件将会打不开[/color]
或者,当你删完了病毒的其他注册表启动项,却没有注意这一项,你得意洋洋地准备删除病毒文件,然而这时你双击打开任意一个相应后缀名的文件,则病毒再度被执行,你就前功尽弃了。
遇到这种情况,如.exe文件关联被劫持,可以把SREng的主程序后缀改为.scr或.com甚至.bat再运行。由于系统加载PE文件只看其PE结构,而不是文件名,因此以上关联只要有一个正常,改为相应后缀,就可以正常运行SREng,之后再修复文件关联。
所以文件关联并不能最后看,而往往要最先考虑!
[color=blue]~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~[/color]
[color=red](二)[/color]. Winsock 提供者
这部分有自身的判断标准,分两种情况.但有个总体的前提:
SRE在做报告的时候,是默认只列出"第三方"的winsock提供者.意思就是,凡是在报告中列出的,都不是windows自带的.
所以,一台干净的,正常的电脑,在SRE报告中,这部分应该是如下显示的:
==================================
Winsock 提供者
N/A
==================================
也就是"无(第三方)Winsock提供者".
我前面说的2种情况, 正常的"无",是第一种.第二种是: 安全类防御软件,会添加winsock,说实话,我现在都不明白,这些软件添加winsock干什么.最常见的,是: NOD32,这个杀毒软件添加的.这样:
NOD32 protected [MSAFD Tcpip [TCP/IP]]
F:\WINDOWS\system32\imon.dll(Eset , NOD32 IMON - Internet scanning support)
NOD32 protected [MSAFD Tcpip [UDP/IP]]
F:\WINDOWS\system32\imon.dll(Eset , NOD32 IMON - Internet scanning support)
NOD32 protected [MSAFD Tcpip [RAW/IP]]
F:\WINDOWS\system32\imon.dll(Eset , NOD32 IMON - Internet scanning support)
NOD32 protected [RSVP UDP Service Provider]
F:\WINDOWS\system32\imon.dll(Eset , NOD32 IMON - Internet scanning support)
NOD32 protected [RSVP TCP Service Provider]
F:\WINDOWS\system32\imon.dll(Eset , NOD32 IMON - Internet scanning support)
对于这种情况,我个人建议,删除这些winsock项目,大家可以放心,即便删除它们,对浏览网页等操作,也是毫无影响的.类似的由安全软件添加的,还有:
DrwebSP.MSAFD Tcpip [TCP/IP]
F:\WINDOWS\system32\DRWEBSP.DLL(Doctor Web, Ltd., Dr.Web Winsock Provider Hook)
DrwebSP.MSAFD Tcpip [UDP/IP]
F:\WINDOWS\system32\DRWEBSP.DLL(Doctor Web, Ltd., Dr.Web Winsock Provider Hook)
DrwebSP.RSVP TCP Service Provider
F:\WINDOWS\system32\DRWEBSP.DLL(Doctor Web, Ltd., Dr.Web Winsock Provider Hook)
DrwebSP.RSVP UDP Service Provider
F:\WINDOWS\system32\DRWEBSP.DLL(Doctor Web, Ltd., Dr.Web Winsock Provider Hook)
不用管是什么软件添加的,如果电脑出现"能上QQ,不能开网页",或者二者都不行的情况,统一删除这些项目!对于杀毒软件添加的Winsock,其对应的DLL文件,不需要理会,删除项目就行了.
[color=red]引用[/color]:
[color=seagreen]还原被正常应用软件修改的winsock供应者项目,或许不会导致上网不正常,但是会影响软件的功能。
安全软件这么做,是因为这一项是负责网络协议的,用自己的组件守住了这一项,有利于监控网络数据流。
第二种情况,则是上网验证的客户端,如TcpipDog.dll,如果恢复了那一项,那真的是用不了这个客户端,也就不能正常上网了。[/color]
因此,对于是正常软件占据此项的情况,恢复还是要谨慎。
[color=blue]~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~[/color]
[color=red](三)[/color].Autorun.inf
这个没什么好解释的, 必须为空,也就是:
==========================
Autorun.inf
[N/A]
=========================
如果下面有东西,100%为病毒.
对于autorun.inf,以及病毒文件判断的方法,我简单说一下.典型的例子,是这样:
==================================
Autorun.inf
[C:\]
[AuToRuN]
open=soS.Exe
shell\open=打开(&O)
shelL\open\ComMand=soS.Exe
[D:\]
[AuToRuN]
open=soS.Exe
shell\open=打开(&O)
shelL\open\ComMand=soS.Exe
[E:\]
[AuToRuN]
open=soS.Exe
shell\open=打开(&O)
shelL\open\ComMand=soS.Exe
===============================
判断,大家可以照猫画虎,其实,不同的病毒,凡是创建autorun.inf的,只是最后那个"="后面的exe(或者其他的)文件名称不同.这里,从上面的例子中,可以得出如下结论:
该病毒在 [C:\],[D:\],[E:\],即 C,D,E,这3个分区下面,分别创建了:
[color=red]1[/color].Autorun.inf
[color=red]2[/color].soS.Exe
这2个文件.至于清理方法,分三种,
◆利用DOS命令行删除:
,大家可以参考这里:[url=http://hi.baidu.com/xiang007/blog/item/77221a55ee5d61c2b745ae3a.html][color=#0000ff]http://hi.baidu.com/xiang007/blo ... 5d61c2b745ae3a.html[/color][/url]
◆利用批处理文件删除:
批处理,
_________________________________________________________________________________________
cd\
c:
attrib -a -s -h -r *.inf
attrib -a -s -h -r snow.exe
del *.inf
del snow.exe
d:
attrib -a -s -h -r *.inf
attrib -a -s -h -r snow.exe
del *.inf
del snow.exe
e:
attrib -a -s -h -r *.inf
attrib -a -s -h -r snow.exe
del *.inf
del snow.exe
f:
attrib -a -s -h -r *.inf
attrib -a -s -h -r snow.exe
del *.inf
del snow.exe
h:
attrib -a -s -h -r *.inf
attrib -a -s -h -r snow.exe
del *.inf
del snow.exe
echo 如果至此未出现:找不到文件……则证明其他分区下病毒已经删除,请重启电脑,再次执行此程序,如果全是“找不到文件”,就证明彻底删除了。
pause
_________________________________________________________________________________________
就是2条横线中间的红色部分了,复制下来,然后把里面的 snow.exe,改为你判断出来的exe,或者其他文件,比如,根据我上面的例子,就应该改为: soS.Exe,然后保存为 bat格式,双击运行就可以了.
◆ 利用雨林木风PE系统,删除2个病毒文件
这个简单了,进入PE系统,就像XP下删文件一样简单...................
[color=seagreen]
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~`[/color]
[color=red](四).[/color]HOST 文件
HOST文件的作用,我这里不想解释了,网上解释太多了,不知道的,自己搜索一下就行了.
和winsock类似的,分2中情况:
[color=red]1[/color]. 正常情况
正常情况下,该部分只有一行:
==================================
HOSTS 文件
127.0.0.1 localhost
==================================
[color=red]2[/color].目前,网上流传有一些工具,声称可以通过添加,修改HOSTS文件,来实现屏蔽恶意网站.因此,会添加些HOSTS项目.例如:
HOSTS 文件
[color=green]***********************************[/color]《电脑报》黑榜(R)恶意网址屏蔽文件
版本号:2007.11.12
[color=green]***********************************[/color]
127.0.0.1 localhost
127.0.0.1 [url=http://www.zzzz1.com/][color=#0000ff]www.zzzz1.com[/color][/url]
127.0.0.1 zzzz1.com
127.0.0.1 [url=http://www.baidu345.com/][color=#0000ff]www.baidu345.com[/color][/url]
127.0.0.1 baidu345.com
127.0.0.1 [url=http://www.ttsou.cn/][color=#0000ff]www.ttsou.cn[/color][/url]
127.0.0.1 ttsou.cn
127.0.0.1 [url=http://www.zhaomeimei.cn/][color=#0000ff]www.zhaomeimei.cn[/color][/url]
127.0.0.1 [url=http://www.511u.com/][color=#0000ff]www.511u.com[/color][/url]
127.0.0.1www.37698.com
127.0.0.1 37698.com
127.0.0.1 [url=http://www.2345.com/][color=#0000ff]www.2345.com[/color][/url]
127.0.0.1 2345.com
127.0.0.1 [url=http://www.hk0707.com/][color=#0000ff]www.hk0707.com[/color][/url]
127.0.0.1 [url=http://www.hk0909.com/][color=#0000ff]www.hk0909.com[/color][/url]
127.0.0.1 www2.99vod.net
上门就是典型的例子了,是用来屏蔽恶意网站的,写在HOST文件里面,意思就是“让电脑禁止访问那些网站”,不过我个人倒是觉得没什么用。呵呵,这个自己看着办了。
对于HOSTS这个项目,无论一台电脑是什么情况,装的什么系统,都应该尽量保证其只有"默认的127.0.0.1 localhost"一行.剩下的,如果大家不知道怎么判断,都可以随意大胆的删除! [size=5][color=#0000ff]学看 SRE 报告 ———— 第七讲
[/color][/size]最后剩下几项了.
[color=red](一)[/color]. 进程特权扫描
在windows系统中,有些软件,比如驱动程序,杀毒软件.需要"时时刻刻"运行.所以,它们对于其他普通软件,比如听歌的,QQ什么的(这些都随时会被关闭).具有更高的 进程特权.
说白了,它们更占CPU,为的是时刻监控等等功能.对于这些时时刻刻都需要运行的项目,SRE在报告中,称做:进程特权扫描
例子:
==================================
进程特权扫描
特殊特权被允许: SeDebugPrivilege [PID = 1744, C:\WINDOWS\SOUNDMAN.EXE]
特殊特权被允许: SeLoadDriverPrivilege [PID = 1744, C:\WINDOWS\SOUNDMAN.EXE]
特殊特权被允许: SeDebugPrivilege [PID = 1988, C:\WINDOWS\SYSTEM32\TXHMOU.EXE]
特殊特权被允许: SeLoadDriverPrivilege [PID = 1988, C:\WINDOWS\SYSTEM32\TXHMOU.EXE]
特殊特权被允许: SeLoadDriverPrivilege [PID = 1888, C:\WINDOWS\SYSTEM32\NVSVC32.EXE]
特殊特权被允许: SeDebugPrivilege [PID = 2156, C:\WINDOWS\SYSTEM32\1SVTH.EXE]
特殊特权被允许: SeLoadDriverPrivilege [PID = 2156, C:\WINDOWS\SYSTEM32\1SVTH.EXE]
特殊特权被允许: SeDebugPrivilege [PID = 3976, D:\聊天工具\TENCENT\QQ\QQ.EXE]
特殊特权被允许: SeLoadDriverPrivilege [PID = 3976, D:\聊天工具\TENCENT\QQ\QQ.EXE]
==================================
这里没什么好解释的,结构我不想说了,我们在判断的时候,只能是根据列出的文件的详细路径和名称.来判断是否正常.
可以结合前面判断出来的病毒文件来判断.大家想想就能明白,病毒,它也是要时时刻刻运行的,所以,肯定会在"进程特权"里面出现.如果这里出现了,你前面判断出的病毒,那么,无疑坚定了你的判断.比如上面的例子,有问题的:
C:\WINDOWS\SYSTEM32\TXHMOU.EXE
C:\WINDOWS\SYSTEM32\1SVTH.EXE
具体这两个是什么,就得从前面去判断了,凡是在这里出现的,肯定在"正在运行的服务"里面有反映.去那里找吧,看看公司签名,版本.
引用:
原作者应该好好看看Privilege到底是什么。权限令牌是程序执行相应操作所需要的。如对系统进程进行内存读取(有时仅仅是为了遍历进程,得到其映像文件名,要对目标进程的PEB进行读取)需要SeDebugPrivilege权限,用程序调用ExitWindowsEx关闭或重启计算机需要SeShutdownPrivilege等等,如果没有相应权限,相应操作就会被系统阻止。
[color=blue]~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~[/color]
[color=red](二)[/color].API HOOK
HOOK,意思为"挂钩,劫持".但它不一定是恶意的.相反,现在的病毒,恶意的进行:APT HOOK,倒是很少.
在这个项目里面,最容易出现的,是杀毒软件,杀毒软件为了从更深的层次监控电脑,保护电脑,就会修改此处.目的,大家应该明白了.
对于一台正常的电脑,这项应该是 N/A,如果有值,可以根据路径判断,一般,95%的情况,都是杀毒软件搞的"鬼",比如:
API HOOK
入口点错误:LoadLibraryExW (危险等级: 高, 被下面模块所HOOK: C:\KAV2007\KASocket.dll)
金山 2007的HOOK了~其实这个没什么的,大家不必大惊小怪.被杀毒软件HOOK,是最正常的事情了,我们不必理会.
特例:
API HOOK
RVA 错误: LoadLibraryA (危险等级: 高, 被下面模块所HOOK: \??\C:\WINDOWS\system32\drivers\klif.sys)
RVA 错误: LoadLibraryExA (危险等级: 高, 被下面模块所HOOK: \??\C:\WINDOWS\system32\drivers\klif.sys)
RVA 错误: LoadLibraryExW (危险等级: 高, 被下面模块所HOOK: \??\C:\WINDOWS\system32\drivers\klif.sys)
RVA 错误: LoadLibraryW (危险等级: 高, 被下面模块所HOOK: \??\C:\WINDOWS\system32\drivers\klif.sys)
RVA 错误: GetProcAddress (危险等级: 高, 被下面模块所HOOK: \??\C:\WINDOWS\system32\drivers\klif.sys)
C:\WINDOWS\system32\drivers\klif.sys 为卡巴斯基杀毒软件,用于 HOOK的文件!大家记住就行了.
[color=blue]~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~[/color]
[color=red](三)[/color].隐藏进程
一般情况下,都是 N/A, 如果有值,分两种情况考虑:
1.杀毒软件
有一部分杀毒软件,为了保护自身不被病毒干掉,创建了 隐藏进程,典型的就是江民杀毒.如果一台电脑装有江民,在这里可能会出现.根据路径判断就行了. 比如 C:\KV\..........类似的.
2.Internet Explorer.exe
如果出现此隐藏进程,则必定电脑里面存在木马! 典型的灰鸽子,就是这样,中毒后,创建隐藏的 IE进程.但是,这个项目里面,不会列出病毒文件.只能从上面去查.
引用:
不是Internet Explorer.exe,而是iexplore.exe [size=5][color=#0000ff]SRE 已知不成文规律总结
[/color][/size][color=red][size=4]1[/size][/color].XP统一的启动项目
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Active Setup\Installed Components\>{26923b43-4d38-484f-9b9e-de460746276c}]
<Internet Explorer 访问><"C:\WINNT\system32\shmgrate.exe" OCInstallUserConfigIE> [N/A]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Active Setup\Installed Components\>{881dd1c5-3dcf-431b-b061-f3f88e8be88a}]
<Outlook Express 访问><"C:\WINNT\system32\shmgrate.exe" OCInstallUserConfigOE> [N/A]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Active Setup\Installed Components\{44BBA840-CC51-11CF-AAFA-00AA00B6015C}]
<Microsoft Outlook Express 6><"%ProgramFiles%\Outlook Express\setup50.exe" /APP:OE /CALLER:WINNT /user /install> [N/A]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Active Setup\Installed Components\{44BBA842-CC51-11CF-AAFA-00AA00B6015B}]
<NetMeeting 3.01><rundll32.exe advpack.dll,LaunchINFSection C:\WINNT\INF\msnetmtg.inf,NetMtg.Install.PerUser.NT> [(Verified)Microsoft Windows 2000 Publisher]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Active Setup\Installed Components\{6BF52A52-394A-11d3-B153-00C04F79FAA6}]
<Microsoft Windows Media Player><rundll32.exe advpack.dll,LaunchINFSection C:\WINNT\INF\wmp.inf,PerUserStub> []
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Active Setup\Installed Components\{7790769C-0471-11d2-AF11-00C04FA35D02}]
<Address Book 5><"%ProgramFiles%\Outlook Express\setup50.exe" /APP:WAB /CALLER:WINNT /user /install> [N/A]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Active Setup\Installed Components\{9EF0045A-CDD9-438e-95E6-02B9AFEC8E11}]
以上各注册表启动项目,为XP系统通用启动项目,即:正常启动项
[size=4][color=red]2[/color][/size].系统服务
没有什么特别的,只有一个服务,值得注意:
[Human Interface Device Access / HidServ][Stopped/Disabled]
<C:\WINDOWS\System32\svchost.exe -k netsvcs-->%SystemRoot%\System32\hidserv.dll><N/A>
这项虽然没经过微软签名,但为正常的系统服务项目
[size=4][color=red]3[/color][/size]. 驱动程序
和上面的一样,已知的未经过微软签名的,正常的驱动程序:
⑴ [Secdrv / Secdrv][Stopped/Manual Start]
<system32\DRIVERS\secdrv.sys><N/A>
⑵ [d347bus / d347bus]和[d347prt / d347prt]
此程序,为虚拟光驱软件:Daemon tools 这个软件的第三方驱动
[size=4][color=red]4[/color][/size].关于 AppInit
这个项目,一般在sre报告里面分为2种,在报告中,它是如下样子显示:
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Windows]
<AppInit_DLLs><> [N/A]
注: 此值不能删除!!!!!!!!!!!!只能在SRE里面,双击后编辑,设置为 空 即可!
此值正常情况下,为 空,在SRE报告中,也就是反应为:[N/A]。如果出现值,则分两种情况考虑:
⑴ 经过美化的系统,一些美化软件,如:Windows Blinds,美化系统后,会修改此键值,并把它的值改为:wbsys.sys,这个是正常的
⑵ 病毒文件。这种,就靠自己判断了。一般都是无规则的字母、数字组成的DLL类型文件。
[color=red][size=4]5[/size][/color]. 关于 API HOOK
这个项目,目前大部分杀毒软件,都会修改此键值,目的是为了从更深层次的角度,查杀病毒。大家判断的时候,根据里面列出的文件路径判断就行了。常见的,大家经常迷惑的,就是卡巴斯基,它的HOOK,在SRE报告中的反应是这样:
RVA 错误: LoadLibraryA (危险等级: 高, 被下面模块所HOOK: \??\C:\WINDOWS\system32\drivers\klif.sys)
RVA 错误: LoadLibraryExA (危险等级: 高, 被下面模块所HOOK: \??\C:\WINDOWS\system32\drivers\klif.sys)
RVA 错误: LoadLibraryExW (危险等级: 高, 被下面模块所HOOK: \??\C:\WINDOWS\system32\drivers\klif.sys)
RVA 错误: LoadLibraryW (危险等级: 高, 被下面模块所HOOK: \??\C:\WINDOWS\system32\drivers\klif.sys)
RVA 错误: GetProcAddress (危险等级: 高, 被下面模块所HOOK: \??\C:\WINDOWS\system32\drivers\klif.sys)
即:klif.sys,为卡巴斯基反病毒软件的正常系统驱动程序。
[color=red][size=4]6[/size][/color].在SRE报告中,凡是出现:(Verified) 英文的值,均为正常值!
[color=red][size=4]7[/size][/color].winrar
winrar,有一个没有经过签名的值,在SRE中,反应为:
[C:\Program Files\WinRAR\rarext.dll] [N/A, ]
其实,大家根据路径判断就行了。这里还是给出来,这个 rarext.dll,为rar中,添加“右键菜单”的DLL文件。
[color=red][size=4]8[/size][/color].Winsock 提供者
此项默认的正常值为:N/A ,就是空,目前发现,一些安全类型的软件,(已知的有 NOD32)会添加一些项目,但可以肯定,这项项目,跟系统没任何关系。是没用的
例子:
Winsock 提供者
NVIDIA App Filter over [MSAFD Tcpip [TCP/IP]]
C:\WINDOWS\system32\nvappfilter.dll(NVIDIA, NVIDIA IAM LSP)
NVIDIA App Filter over [MSAFD Tcpip [UDP/IP]]
C:\WINDOWS\system32\nvappfilter.dll(NVIDIA, NVIDIA IAM LSP)
NVIDIA App Filter over [MSAFD Tcpip [RAW/IP]]
C:\WINDOWS\system32\nvappfilter.dll(NVIDIA, NVIDIA IAM LSP)
NVIDIA App Filter
C:\WINDOWS\system32\nvappfilter.dll(NVIDIA, NVIDIA IAM LSP)
[color=red][size=4]9[/size][/color].Autorun.inf
此值必须为:N/A,如果有东西,则为病毒添加的!
[color=red][size=4]10[/size][/color].HOSTS 文件
默认值就是一行:
127.0.0.1 localhost
有些系统,会添加一些项目,用来屏蔽黄色网站,广告等等。但和winsock类似,都是无关紧要的。如果遇到不好判断的,只保留最上面那行即可,剩下的,一律全部删除!
[color=red][size=4]11[/size][/color].进程特权扫描
这个项目,需要大家根据详细的文件路径来判断。无论是正常的软件,还是病毒,都会在里面涉及到。
[color=red][size=4]12[/size][/color].隐藏进程
⑴Internet Explore.exe
为灰鸽子变种之类的病毒,调用的正常文件,此进程本身没任何问题,只是被病毒文件调用。根据日志,清理病毒文件。如果清理的准确,则此项目,自动消失;
⑵杀毒软件,已知的,江民杀毒,会创建隐藏进程,用来保护自己!根据路径判断即可;
⑶Rundll32.exe
这个,和上面的IE性质是一样的,只是被病毒调用了。根据报告,删除病毒文件,就行了。此文件(Rundll32.exe)为正常的系统文件。
[color=red][size=4]13[/size][/color]. 系统字体目录(xp)为: C:\WINDOWS\Fonts,在此文件夹下,只有,只会出现: *.ttf 这种文件,除此之外,不可能出现任何其他类型的文件,如:DLL,exe,等等。如果出现,均为病毒文件!
[color=red][size=4]14[/size][/color]. 系统驱动程序文件目录 为: C:\WINDOWS\system32\drivers,在此文件夹下,只有,只会出现: *.sys 这种文件,除此之外,不可能出现任何其他类型的文件,如:DLL,exe,等等。如果出现,均为病毒文件! 太好了!希望大家鼓励这样的好帖子! 好帖子!:handshake :handshake 好东西,虽然我是菜鸟但要好好学习 [i=s] 本帖最后由 suiyajie 于 2009-4-9 14:18 编辑 [/i]
有点晕乎 强大。。。:victory: 天天学习:victory: :)多多学习啊 :meitianli有点复杂:meitianli 学习中~~~,先谢了 为什么我一看到应为就头痛 ~~~· 这个教程对对新手很有帮助,感觉很不错,要学习。 太深奥了,对我们菜鸟来说还是不懂