blender - 2007-4-5 13:51:00
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run]
<ctfmon.exe><C:\WINDOWS\system32\ctfmon.exe> [(Verified)Microsoft Windows Publisher]
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run]
<SKYNET Personal FireWall><C:\Program Files\SkyNet\FireWall\pfw.exe> [广州众达天网技术有限公司]
<kis><"C:\Program Files\Kaspersky Lab\Kaspersky Internet Security 6.0\avp.exe"> [Kaspersky Lab]
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon]
<shell><Explorer.exe> [(Verified)Microsoft Windows Publisher]
<Userinit><C:\WINDOWS\system32\userinit.exe,> [(Verified)Microsoft Windows Publisher]
<UIHost><logonui.exe> [(Verified)Microsoft Windows Publisher]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ShellServiceObjectDelayLoad]
<WPDShServiceObj><C:\WINDOWS\system32\WPDShServiceObj.dll> [(Verified)Microsoft Windows Component Publisher]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\klogon]
<WinlogonNotify: klogon><C:\WINDOWS\system32\klogon.dll> [Kaspersky Lab]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Active Setup\Installed Components\<{12d0ed0d-0ee0-4f90-8827-78cefb8f4988}]
<IE7 Uninstall Stub><C:\WINDOWS\system32\ieudinit.exe> [(Verified)Microsoft Windows]
上面红色部分为什么SRE说是高危险呢..?
点击看到的是 第一个是(verified)windows component
第二个是卡巴斯基的什么 没看懂...
PS:说明一下 我用的杀毒软件是卡巴斯基6.0套装
初次来论坛,第一次使用SRE 向各位高手前辈请教..
blender - 2007-4-5 13:58:00
学习使用SRE中.
可能还有危险的地方没看懂,希望高手指点
kuangxia - 2007-4-5 14:05:00
中了**插件。
blender - 2007-4-5 14:52:00
API HOOK
RVA 错误: LoadLibraryA (危险等级: 一般, 被下面模块所HOOK: Dest Addr: 0xF474AB25)
RVA 错误: LoadLibraryExA (危险等级: 一般, 被下面模块所HOOK: Dest Addr: 0xF474AD67)
RVA 错误: LoadLibraryExW (危险等级: 一般, 被下面模块所HOOK: Dest Addr: 0xF474AF0B)
RVA 错误: LoadLibraryW (危险等级: 一般, 被下面模块所HOOK: Dest Addr: 0xF474AC49)
RVA 错误: GetProcAddress (危险等级: 高, 被下面模块所HOOK: Dest Addr: 0xF474AE8F)
危险高...这个是什么?
怎么处理?
blender - 2007-4-5 15:01:00
API HOOK
RVA 错误: LoadLibraryA (危险等级: 一般, 被下面模块所HOOK: Dest Addr: 0xF474AB25)
RVA 错误: LoadLibraryExA (危险等级: 一般, 被下面模块所HOOK: Dest Addr: 0xF474AD67)
RVA 错误: LoadLibraryExW (危险等级: 一般, 被下面模块所HOOK: Dest Addr: 0xF474AF0B)
RVA 错误: LoadLibraryW (危险等级: 一般, 被下面模块所HOOK: Dest Addr: 0xF474AC49)
RVA 错误: GetProcAddress (危险等级: 高, 被下面模块所HOOK: Dest Addr: 0xF474AE8F)
API HOOK怎么理解呢?
这个不是很明白.Dest Addr地址代表什么?
刚来这里 请指教
姑苏残月 - 2007-4-5 15:03:00
这几个需要上SRENG官网查看说明.一般是说你安装的是什么杀毒软件的
blender - 2007-4-5 15:05:00
| 引用: |
【姑苏残月的贴子】这几个需要上SRENG官网查看说明.一般是说你安装的是什么杀毒软件的
……………… |
明白 我去查查看
谢谢.
blender - 2007-4-5 15:17:00
在帮助里把答案找到了
注意事项:
一些正常的安全软件也会对一些API进行HOOK操作以实现安全监控功能。这类软件一般都会有明确的标示信息,例如拥有自己的数字签名或文件是存在在厂商自己的软件安装目录之下。
对于使用驱动程序进行 HOOK 的软件,例如 Kaspersky Antivirus 6.X,受制于操作系统的权限控制限制,System Repair Engineer (SREng)无法获得具体的文件路径,而只能显示HOOK指向的目标地址。
© 2000 - 2026 Rising Corp. Ltd.