7月8日日志分析练习1 bbs.ikaka.com

lqqk7 - 2009-7-8 9:45:00

即日起每日会给大家提供一些染毒环境的SREng日志，因为部分实习生是第一次接触SREng这个工具，对日志分析不熟悉，如果冒然跑去反病毒区回帖，一旦出现误判，可能对求助者不利，因此采用这种“内部”交流的方式，希望大家能够多练习，真正分析日志的方法是靠自己实践摸索出来的！

注：日志分析练习情况与大家的实习期总成绩没有关联，请大家不要有顾虑，放心大胆的练习！

附件: 您所在的用户组无法下载或查看附件

========以下为参考分析结果========
异常项见附件（仅保留日志中可疑度较高的项）

注意：
1、处理时注意userinit项，不要删除该键值，而是改成c:\windows\system32\userinit.exe,
2、劫持项只要清除对应的注册表键值即可，不要试图删除劫持指向的文件，C:\WINDOWS\system32\csrss.exe是系统文件，不可删除
3、C:\WINDOWS\system32\drivers\GuiHelp.sys对于不熟悉的文件，通过网络搜索，发现众说纷纭，这时不要轻易去做处理，可以讲拿不准的文件上报给反病毒厂商进一步诊断
4、D:\HFEE\SVOHOST.EXE，不多说了，明显伪装系统文件

附件: 您所在的用户组无法下载或查看附件

天月来了 - 2009-7-8 9:49:00

眉头上的时间又弄没了

我发觉你特不注意那时间

:kaka6:

zapline - 2009-7-8 9:51:00

:kaka6: 我觉得差不多就这样了

QoS - 2009-7-8 9:54:00

前排占座

daemonz - 2009-7-8 10:17:00

C:\WINDOWS\system32\csrss.exe 是一个系统文件吧
用它劫持了好多文件，那些都是有问题的吧

qu48 - 2009-7-8 10:38:00

昨晚有事.. 今天才仔细看完了讲义...
学到了不少呵呵首先体会到的是日志分析果然只是辅助手段。。。日志那么多内容一看就眼花了..
再者，就是先问问..
1。启动项目注册表
<通讯簿 6><"%ProgramFiles%\Outlook Express\setup50.exe" /APP:WAB /CALLER:WINNT /user /install> [File is missing] 此处 [File is missing] 何解？只表示说丢失？

2 。像这个 [Microsoft Corporation]
[(Verified)Microsoft Corporation] 是不是表示后者经过修改？？

3 。NtCreateFile NtCreateKey 这些函数具体是干什么的？？
API HOOK
入口点错误：NtCreateFile (危险等级: 高, 被下面模块所HOOK: 0x003D5CBD)
入口点错误：NtCreateKey (危险等级: 高, 被下面模块所HOOK: 0x003D5E5D)
入口点错误：NtLoadDriver (危险等级: 高, 被下面模块所HOOK: 0x003D65AD)
入口点错误：NtSetValueKey (危险等级: 高, 被下面模块所HOOK: 0x003D5F2D)
入口点错误：NtWriteFile (危险等级: 高, 被下面模块所HOOK: 0x003D5D8D)
入口点错误：ZwCreateFile (危险等级: 高, 被下面模块所HOOK: 0x003D5CBD)
入口点错误：ZwCreateKey (危险等级: 高, 被下面模块所HOOK: 0x003D5E5D)
入口点错误：ZwSetValueKey (危险等级: 高, 被下面模块所HOOK: 0x003D5F2D)
入口点错误：ZwWriteFile (危险等级: 高, 被下面模块所HOOK: 0x003D5D8D)
入口点错误：CreateServiceA (危险等级: 高, 被下面模块所HOOK: 0x003D626D)
入口点错误：CreateServiceW (危险等级: 高, 被下面模块所HOOK: 0x003D633D)
入口点错误：LoadLibraryA (危险等级: 高, 被下面模块所HOOK: 0x003D6F6D)
入口点错误：LoadLibraryExW (危险等级: 高, 被下面模块所HOOK: 0x003D5B55)
入口点错误：CreateFileW (危险等级: 高, 被下面模块所HOOK: 0x003D6A8D)
入口点错误：CreateProcessA (危险等级: 高, 被下面模块所HOOK: 0x003D6E9D)
入口点错误：CreateProcessW (危险等级: 高, 被下面模块所HOOK: 0x003D6CFD)

gtyre2 - 2009-7-8 10:54:00

小小人鱼儿 - 2009-7-8 10:55:00

[ code ] 和 [ /code ] ，还有那个时间。。。

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\0.EXE]
<IFEO[0.EXE]><C:\WINDOWS\system32\csrss.exe> [(Verified)Microsoft Windows Component Publisher]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\00.EXE]
<IFEO[00.EXE]><C:\WINDOWS\system32\csrss.exe> [(Verified)Microsoft Windows Component Publisher]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\000.EXE]
<IFEO[000.EXE]><C:\WINDOWS\system32\csrss.exe> [(Verified)Microsoft Windows Component Publisher]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\2005116234123330.EXE]
<IFEO[2005116234123330.EXE]><C:\WINDOWS\system32\csrss.exe> [(Verified)Microsoft Windows Component Publisher]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\DataExplore.EXE]
<IFEO[DataExplore.EXE]><C:\WINDOWS\system32\csrss.exe> [(Verified)Microsoft Windows Component Publisher]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\DiskGenius.EXE]
<IFEO[DiskGenius.EXE]><C:\WINDOWS\system32\csrss.exe> [(Verified)Microsoft Windows Component Publisher]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\DRW.EXE]
<IFEO[DRW.EXE]><C:\WINDOWS\system32\csrss.exe> [(Verified)Microsoft Windows Component Publisher]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\DRW0.EXE]
<IFEO[DRW0.EXE]><C:\WINDOWS\system32\csrss.exe> [(Verified)Microsoft Windows Component Publisher]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\EasyRecovery.EXE]
<IFEO[EasyRecovery.EXE]><C:\WINDOWS\system32\csrss.exe> [(Verified)Microsoft Windows Component Publisher]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\FinalData.EXE]
<IFEO[FinalData.EXE]><C:\WINDOWS\system32\csrss.exe> [(Verified)Microsoft Windows Component Publisher]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\finalrecovery.EXE]
<IFEO[finalrecovery.EXE]><C:\WINDOWS\system32\csrss.exe> [(Verified)Microsoft Windows Component Publisher]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\FolderSniffer.EXE]
<IFEO[FolderSniffer.EXE]><C:\WINDOWS\system32\sysocmgr.exe> [(Verified)Microsoft Windows Component Publisher]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\HandyRecovery.EXE]
<IFEO[HandyRecovery.EXE]><C:\WINDOWS\system32\csrss.exe> [(Verified)Microsoft Windows Component Publisher]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\IceSwor.EXE]
<IFEO[IceSwor.EXE]><C:\WINDOWS\system32\csrss.exe> [(Verified)Microsoft Windows Component Publisher]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\IceSword1.EXE]
<IFEO[IceSword1.EXE]><C:\WINDOWS\system32\csrss.exe> [(Verified)Microsoft Windows Component Publisher]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\IceSword2.EXE]
<IFEO[IceSword2.EXE]><C:\WINDOWS\system32\csrss.exe> [(Verified)Microsoft Windows Component Publisher]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\IceSword3.EXE]
<IFEO[IceSword3.EXE]><C:\WINDOWS\system32\csrss.exe> [(Verified)Microsoft Windows Component Publisher]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\ntbackup.EXE]
<IFEO[ntbackup.EXE]><C:\WINDOWS\system32\sysocmgr.exe> [(Verified)Microsoft Windows Component Publisher]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\PowerDataRecovery.EXE]
<IFEO[PowerDataRecovery.EXE]><C:\WINDOWS\system32\csrss.exe> [(Verified)Microsoft Windows Component Publisher]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\QuadroUneraser.EXE]
<IFEO[QuadroUneraser.EXE]><C:\WINDOWS\system32\csrss.exe> [(Verified)Microsoft Windows Component Publisher]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\Recover4all Professional.EXE]
<IFEO[Recover4all Professional.EXE]><C:\WINDOWS\system32\csrss.exe> [(Verified)Microsoft Windows Component Publisher]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\RecoverMyFiles.EXE]
<IFEO[RecoverMyFiles.EXE]><C:\WINDOWS\system32\csrss.exe> [(Verified)Microsoft Windows Component Publisher]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\TOTALCMD.EXE]
<IFEO[TOTALCMD.EXE]><C:\WINDOWS\system32\csrss.exe> [(Verified)Microsoft Windows Component Publisher]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\undelete_plus.EXE]
<IFEO[undelete_plus.EXE]><C:\WINDOWS\system32\csrss.exe> [(Verified)Microsoft Windows Component Publisher]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\Wsyscheck1.EXE]
<IFEO[Wsyscheck1.EXE]><C:\WINDOWS\system32\sysocmgr.exe> [(Verified)Microsoft Windows Component Publisher]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\Wsyscheck2.EXE]
<IFEO[Wsyscheck2.EXE]><C:\WINDOWS\system32\sysocmgr.exe> [(Verified)Microsoft Windows Component Publisher]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\Wsyscheck3.EXE]
<IFEO[Wsyscheck3.EXE]><C:\WINDOWS\system32\sysocmgr.exe> [(Verified)Microsoft Windows Component Publisher]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\YtReFile.EXE]
<IFEO[YtReFile.EXE]><C:\WINDOWS\system32\csrss.exe> [(Verified)Microsoft Windows Component Publisher]

这些都是IFEO景象劫持吧。。。话说有IFEO的全部都是算病毒的？？

骑行天下 - 2009-7-8 11:10:00

帮忙分析下，计算机有没有什么问题；

附件: 您所在的用户组无法下载或查看附件

附件: 您所在的用户组无法下载或查看附件

==================================
太正常了:kaka6:

rainyblue - 2009-7-8 11:14:00

怎么都用分析助手分析的啊？

HeeNu - 2009-7-8 11:14:00

SREng日志，这东西就是熟能生巧的事，练练好！

未眠人 - 2009-7-8 11:15:00

问题项目
1. <Userinit><C:\WINDOWS\System32\userinit.exe,,"D:\HFEE\SVOHOST.EXE" un userinit.exe> [File is missing]

2 .IFO劫持
驱动问题项
[360procmon / 360procmon][Running/Manual Start]
<\??\C:\Program Files\360safe\safemon\360procmon.sys><>

HOST文件被修改

水平有限，请老师指点下:kaka6:

amaomao123 - 2009-7-8 11:27:00

没有时间，再就是ifeo的都有问题
<Userinit><C:\WINDOWS\System32\userinit.exe,,"D:\HFEE\SVOHOST.EXE" un userinit.exe> [File is missing]
<Internet Explorer><%systemroot%\system32\shmgrate.exe OCInstallUserConfigIE> [File is missing]
<Themes Setup><%SystemRoot%\system32\regsvr32.exe /s /n /i:/UserInstall %SystemRoot%\system32\themeui.dll> [File is missing]
<Outlook Express><%systemroot%\system32\shmgrate.exe OCInstallUserConfigOE> [File is missing]
.TXT OK. [%SystemRoot%\system32\NOTEPAD.EXE %1]这些写好像都有问题

lqqk7 - 2009-7-8 11:31:00

引用:

原帖由 天月来了 于 2009-7-8 9:49:00 发表
眉头上的时间又弄没了

我发觉你特不注意那时间

:kaka6:

不是我不注意，是这日志贴出来的时候就没有那部分:kaka6:

a123b_lin - 2009-7-8 11:34:00

有点茫然……

费天王 - 2009-7-8 11:43:00

感觉只看懂HOSTS 文件下的网站都不能打开吧

wy13008218 - 2009-7-8 11:46:00

老师给出的那日志，有问题么？这里的方法。。。http://bbs.cfan.com.cn/thread-913252-1-1.html

黑洞之光 - 2009-7-8 11:49:00

有签证的是不是都没问题的？显示N/A的是不是就要注意

se7ensun - 2009-7-8 11:58:00

引用:

原帖由 wy13008218 于 2009-7-8 11:46:00 发表
老师给出的那日志，有问题么？这里的方法。。。http://bbs.cfan.com.cn/thread-913252-1-1.html

是在有毒环境下的，还没怎么仔细看~~
1 粗看一下host下的网站估计都是带毒的~~

2 再有就是由不少应用程序劫持项

附件: 您所在的用户组无法下载或查看附件解决方法重启在安全模式下使用IFEO映像挟持修复程序，再全盘查杀

3 服务正常

4 驱动里的 npkycryp.sys 我无法判断，可能是老版本QQ的键盘输入保护，也有可能是病毒，希望哪位大侠讲解下

5 进程里D:\HFEE\SVOHOST.EXE 明显是病毒

先看到这了，要去军训了，晚上继续

field_archer - 2009-7-8 12:32:00

我的电脑蛮干净的说。。。那个就算发现问题如何解决啊。。。SREng是分析用的吧，日记里出现个异常啥的，要怎么修改呢。。。还有个这个真长啊。。。病毒不像考试里的关键句总是出现在开头或结尾吧

凡尘之沙 - 2009-7-8 12:43:00

merrk_chuan - 2009-7-8 13:00:00

handle - 2009-7-8 13:10:00

<Userinit><C:\WINDOWS\System32\userinit.exe,,"D:\HFEE\SVOHOST.EXE" un userinit.exe> [File is missing]有问题

还有就是镜像劫持，但劫持的指向文件是系统文件csrss.exe和sysocmgr.exe，而且从签名看出貌似不是被替换的系统文件。以前只看到过病毒劫持安全软件指向病毒文件，这个有点不解。

host好像也是被篡改了

但是找不到病毒文件

月下的提子 - 2009-7-8 13:16:00

:kaka6: :kaka6: :kaka4: ！！
还是看不懂。

se7ensun - 2009-7-8 13:33:00

引用:

原帖由 月下的提子 于 2009-7-8 13:16:00 发表
:kaka6: :kaka6: :kaka4: ！！
还是看不懂。

呵呵多看看讲义啦都是慢慢学起来的~~

幽灵楠 - 2009-7-8 14:07:00

1.<Userinit><C:\WINDOWS\System32\userinit.exe,,"D:\HFEE\SVOHOST.EXE" un userinit.exe> [File is missing]
2.[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Active Setup\Installed Components\>{26923b43-4d38-484f-9b9e-de460746276c}]
<Internet Explorer><%systemroot%\system32\shmgrate.exe OCInstallUserConfigIE> [File is missing]
3.[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Active Setup\Installed Components\>{881dd1c5-3dcf-431b-b061-f3f88e8be88a}]
<Outlook Express><%systemroot%\system32\shmgrate.exe OCInstallUserConfigOE> [File is missing]
4.[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\0.EXE]
<IFEO[0.EXE]><C:\WINDOWS\system32\csrss.exe> [(Verified)Microsoft Windows Component Publisher] IFEO 等.都有问题.
5.浏览器加载项倒煤啥问题
6.HOSTS 文件修改

wendy062 - 2009-7-8 15:15:00

找半天，哎，猜的这些是不？
<RFWTray><; "D:\Rising\RFW\RsTray.exe" -system> [File is missing]
<UnlockerAssistant><; "D:\Unlocker\UnlockerAssistant.exe" -H> []
<Userinit><C:\WINDOWS\System32\userinit.exe,,"D:\HFEE\SVOHOST.EXE" un userinit.exe> [File is missing]
<Internet Explorer><%systemroot%\system32\shmgrate.exe OCInstallUserConfigIE> [File is missing]
<Outlook Express><%systemroot%\system32\shmgrate.exe OCInstallUserConfigOE> [File is missing]
<Themes Setup><%SystemRoot%\system32\regsvr32.exe /s /n /i:/UserInstall %SystemRoot%\system32\themeui.dll> [File is missing]
<Microsoft Outlook Express 6><"%ProgramFiles%\Outlook Express\setup50.exe" /APP:OE /CALLER:WINNT /user /install> [File is missing]
<通讯簿 6><"%ProgramFiles%\Outlook Express\setup50.exe" /APP:WAB /CALLER:WINNT /user /install> [File is missing]

<C:\WINDOWS\System32\svchost.exe -k netsvcs-->%SystemRoot%\System32\hidserv.dll><N/A>

<C:\WINDOWS\System32\svchost.exe -k netsvcs-->C:\WINDOWS\SYSTEM32\W32TIME.DLL><Microsoft Corporation>

<D:\nh\WEBPLA~1\WP9Service.exe><WebPlayer9.com>
[360procmon / 360procmon][Running/Manual Start]
<\??\C:\Program Files\360safe\safemon\360procmon.sys><>
[npkycryp / npkycryp][Stopped/Manual Start]
<\??\C:\WINDOWS\system32\npkycryp.sys><N/A>

331878347 - 2009-7-8 16:34:00

一点一点看，一点一点挑错，嘿嘿……

<RFWTray><; "D:\Rising\RFW\RsTray.exe" -system> [File is missing]
这一行，文件不存在了？？？是不是被病毒解决了呢？

<Userinit><C:\WINDOWS\System32\userinit.exe,,"D:\HFEE\SVOHOST.EXE" un userinit.exe> [File is missing]
这行肯定是有问题吧，svchost被SVOHOST伪装，毒！但是文件又不存在，什么意思？已被删除了？

[PID: 1260 / s][D:\HFEE\SVOHOST.EXE] [, 3000.0.0.0]
进程里，又发现它了SVOHOST.EXE，嘿嘿，跑不掉！

[D:\nh\WEBPLA~1\FTKernelAPI.dll] [p2plib.com, 2, 0, 0, 4242]
[D:\nh\WEBPLA~1\kadnetdll.dll] [, 2, 0, 0, 10]
有问题，百度了一下，kadnetdll.dll是灰鸽子运行文件，看看路径，那上一行有问题咯，p2plib.com也就……

[D:\nh\WEBPLA~1\FTKUDPxAPI.dll] [hwysoft.com, 1, 0, 0, 80]
[D:\nh\WEBPLA~1\FTKTCPxAPI.dll] [hwysoft.com, 1, 0, 0, 342]
[D:\nh\WEBPLA~1\UDPEchoAPI.dll] [hwysoft.com, 1, 0, 0, 31]
由上面可知，这几行也都是问题了！

HOSTS文件被修改（但是个人认为没有问题，感觉那些网站都不是什么好站，屏蔽了好！……）

暂时就找出了6个地方，估计多半都有遗漏的地方，希望老师同学批评指点，大家共同进步！谢谢

瑞星卡卡安全论坛