瑞星卡卡安全论坛

首页 » 综合娱乐区 » 活动专区 » 实习生专区 » 2010年2月4日[日志分析]-讲义
随缘92WJC - 2010-2-4 14:03:00
提问:
PS:日志截图是http://bbs.ikaka.com/showtopic-8692839.aspx内的日志

1、WINSOCK有些是正常的,例如讲义中提到的NOD32,那如何判断WINSOCK是否正常?

2、API HOOK很常见,如何判断是正常的HOOK还是病毒利用HOOK技术隐藏自己?
例如    API HOOK
入口点错误:FindFirstFileW (危险等级: 高,  被下面模块所HOOK: 0xBA8F1FB8)
这项是正常的还是被病毒利用了?

3、日志显示注册表启动项,每项前面都带有分号,不知是否有问题,启动项虽为正常,但是正常情况下扫描系统并无分号(如图,有问题的日志,截图启动项均为正常)


4、SRENG将所有服务项与驱动项都扫描出来了,并且均加载执行DLL,这种现象一般如何处理?





引用:

以下内容为lqqk7回复:
1、根据路径判断,积累经验,类似的“如何判断xx是否正常”或“如果判断xx是病毒”这样的问题后面也不再解答了,因为分析日志大部分情况下不靠什么方法,而是经验,基于对系统和常用软件的熟悉,才能保证较高的判断准确率,但是仅仅分析日志永远不可能100%判断某个程序的安全性,因为通过日志我们看不到这个程序执行后到底做了什么。
2、大部分情况下显示的结果就像这个例子,只显示了模块地址,这种情况很难通过这一项去判断是否正常,甚至这个模块到底是什么都不知道,所以不能单凭API HOOK这一项检测就认定问题,需要综合进程、服务、驱动等多种情况综合考虑。另外会有少数情况遇到API HOOK直接检测出模块名称,这种情况下判断起来就相对容易些;
3、前面带分号的启动项是在SREng的启动项目中将前面的复选框取消勾选的;
4、确实遇到过这种情况,具体原因不明,即使列出再多的服务项,也还是要一项一项的分析,呵呵,没什么取巧的方法,只是注意保护自己的视力~
suanxuejing - 2010-2-4 14:13:00
问题:
1.在分析“服务”的时候提到,C:\WINDOWS\System32\svchost.exe是正常的系统文件,但是后面要加载执行的%SystemRoot%\System32\rpcadmin.dll就有问题了,那请问这后面如果有加载项是不是就一定有问题?
2.是不是只要有<N\A>的就一定有问题(都没有公司信息)?
3.IE—BHO是什么东西啊?在浏览器加载项中提到的Axtivex控件、IE工具栏等在哪个地方?是怎么看出来的,我找了半天也没有看到。
4.在文件关联部分出现的.txt中的error怎么解决呢?
期待老师解答哦!谢谢



引用:

以下内容为lqqk7回复:
1、不一定,要具体看是什么,很多系统服务也是靠svchost.exe执行的;
2、不一定,上面的回复中已经说过了~
3、bho即浏览器扶助对象,属于加载项;
4、因为在c:\windows下和c:\windows\system32下都有notepad.exe,只有路径是任意一个都可以,不用在意error
hqvip - 2010-2-4 14:35:00
问题:
看到一篇文章说:系统内很多Explorer启动的子进程都被重定向到C:\Windows\explorer.exe,这可能是什么原因引起的?有什么后果吗?

多谢老师回答



引用:

以下内容为lqqk7回复:
1、我理解的这里说的重定向应该就是IFEO映像劫持,将自动向的目标文件劫持到C:\Windows\explorer.exe
DragonKid - 2010-2-4 14:36:00
老师:
如果已经发现进程下某个模块可疑,怎样进一步确定该模块是不是病毒或恶意程序加载的呢??



引用:

以下内容为lqqk7回复:
主要是根据经验判断,也可以通过百度或google搜索,看看该文件的口碑。经验还是最重要的!
剥离 - 2010-2-4 14:37:00
我的SRE在智能扫描后,我点击保存报告就没有反应了,这个是怎么回事啊



引用:

以下内容为lqqk7回复:
不太清楚,可以联系sreng的作者询问一下,http://hi.baidu.com/smallfrogs
DragonKid - 2010-2-4 14:43:00
老师:
文件关联里怎么才能知道哪些不正常的关联式病毒引起的哪些是由其他软件引起的呢??



引用:

以下内容为lqqk7回复:
要看关联的程序是什么,一般不会有程序去改可执行文件的关联,发现可执行文件关联发生改变需要特别注意下;其他的诸如txt、html、各种图片文件的关联可能会被第三方软件修改,比如第三方的文本编辑器或者图像查看器;
暗夜的雪 - 2010-2-4 14:54:00
LSP:浏览器劫持
发篇日志上来  在反病毒/反流氓软件 版区 发帖求助
穷小子cd - 2010-2-4 14:57:00
1.不一定,也要看加载的什么dll吧
2.不一定呀,有些自己安装的软件可能也是</N>
4.是正常的
暗夜的雪 - 2010-2-4 14:58:00
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run]<svchost><C:\windows\system32\drivers\svchost.exe>  [Microsoft Corporation]  这个有问题,正常的SVCHOST.exe是在如下文件夹位置C:\windows\system32\svhcost.exe,况且drivers文件夹中只可能有.sys驱动文件,有极少的.dll文件,不可能出现可执行文件。一定有问题
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run]<svhcost><C:\windows\system32\svhcost.exe>  [Microsoft Corporation]
此项正常

svchost / svchost][Stopped/Auto Start]
<C:\WINDOWS\system32\dllcache\svchost.exe -g><Microsoft Corporation>
这个也许是假冒系统程序的



引用:

以下内容为lqqk7回复:
补充第二条,[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run]<svhcost><C:\windows\system32\svhcost.exe>  [Microsoft Corporation]
看上去正常,但是不合常理,原因前面回复中提过
暗夜的雪 - 2010-2-4 15:00:00
你用的虚拟机吧?
WangAnwu - 2010-2-4 15:04:00
讲义中提到不是靠AppInit_DLLs插入进程的都是病毒(例如:瑞星的ieprot.dll和kmon.dll),除了ieprot.dll和kmon.dll外,如何判断是不是病毒?我从电脑中扫描的日志看到AppInit_DLLs的值不为空,其中有一项为alinfo.dll,请问是病毒吗?


引用:

以下内容为lqqk7回复:
搜索该文件未能获得更多有用的信息,这时可以全盘搜索一下这个文件,通过路径判断是否是自己安装的第三方程序,如果通过路径仍无法判断,可以把文件样本上报到反病毒厂商进一步验证;
穷小子cd - 2010-2-4 15:05:00
主要是想知道怎么确定winsock提供者中的内容是正常的?



引用:
以下内容为lqqk7回复:
首先,如果winsock全部为系统默认状态,在日志中这一项只会显示一个N/A,如果显示了其他的内容就表示winsock不是系统默认值,这时需要根据具体的文件路径和名称去判断是否可疑;
暗夜的雪 - 2010-2-4 15:07:00
1.在分析“服务”的时候提到,C:\WINDOWS\System32\svchost.exe是正常的系统文件,但是后面要加载执行的%SystemRoot%\System32\rpcadmin.dll就有问题了,那请问这后面如果有加载项是不是就一定有问题?
    日志分析里没有“一定”的说法。只是很可疑  可以去百度一下rpcadmin.dll2.是不是有问题
是不是只要有<N\A>的就一定有问题(都没有公司信息)?
  当然不是了!有一些比如银行服务或者有部分系统文件都没有公司信息,不能说没有公司信息就是有问题的,只是也许有问题。得多积累才能看出来
4.在文件关联部分出现的.txt中的error怎么解决呢?
  用SERng工具中就有文件关联的修复选项
暗夜的雪 - 2010-2-4 15:09:00
SERng工具中  系统修复-->winsock提供者 的列表中,如果是黑色字体显示的winsock提供者一般都有问题  可以用SERng工具删除
暗夜的雪 - 2010-2-4 15:12:00
你是否使用了系统美化软件?如果使用了的话,也许是美化软件的.dll  除此之外,就非常可疑了!  这样的话这个.dll可以被所有加载USER32.DLL的进程所加载,是很危险的
暗夜的雪 - 2010-2-4 15:14:00
没有大问题的话,一般可以将其修复,影响不大。除非某种文件类型全部打不开,或者打开显示乱码,则需要考虑 文件关联 这一项有问题
筠林碧湫 - 2010-2-4 15:24:00
请问老师和同学们啊:

1  {22d6f312-b0f6-11d0-94ab-0080c74c7e95} 这样形式表示的是什么意思啊
2  <N/A><C:\Windows\system32\Rundll32.exe C:\Windows\system32\mscories.dll,Install>  [(Verified)Microsoft Corporation]  前面是<N/A>而后面又有(Verified)Microsoft Corporation  不矛盾吗
3  在”服务“这项中,修开了开机启动项(像360工具中的提供那种)是否就是把它的启动类型给修改了
4  “浏览器加载项”中可疑项上面都没有加载项的名称只有classid 文件路径 是否这样没有名称的都可以被怀疑一下?
5  还是“浏览器加载项”中 也没有加载项名称也没有文件路径只有注册表中的classid 这是什么意思啊?
6  如果电脑中装了多个浏览器那该怎么显示呢?把所有的加载项都显示在一起吧?
7  [FlashGetBHO] {b070d3e3-fec0-47d9-8e8a-99d4eeb3d3b0}  这是我的电脑中浏览器加载项中检查出的 [FlashGetBHO]出现了两次只不过后面{}中英文一个是大写一个是小写,后面的文件路径都一样。这是为什么呢?
8  讲义中所说存在127.0.0.1 www.rising.com.cn 所以用户打不开是什么意思,为什么呢?关于HOSTS这块不是太明白,老师可以推荐点什么资料看看嘛?
9  计划任务中 已启用或是已禁用 是从哪里修改的呢?
漂流使者 - 2010-2-4 15:49:00
提问
1.那个映像路径与路径有什么区别啊?
2.我的隐藏进程中有一个 [2996] C:\WINDOWS\system32\wuauclt.exe 危险吗?
3.在我的启动项目-注册表中  瑞星的进程后有一个参数,是什么意思?[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run]
    <RavTray><"C:\Program Files\Rising\Rav\RsTray.exe" -system>  [(Verified)Beijing Rising Information Technology Corporation Limited]
如果是别的程序后面带参数正常吗?
4.我的服务项有很多这样的情况:[Human Interface Device Access / HidServ][Stopped/Disabled]
  <C:\WINDOWS\System32\svchost.exe -k netsvcs-->%SystemRoot%\System32\hidserv.dll><N/A>
[ICBC Daemon Service / ICBC Daemon Service][Stopped/Auto Start]
  <C:\Program Files\ICBCEbankTools\ICBCAntiPhishing\IcbcDaemon.exe><N/A>
[Workstation / lanmanworkstation][Running/Auto Start]
  <C:\WINDOWS\system32\svchost.exe -k netsvcs-->%SystemRoot%\System32\wkssvc.dll><Microsoft Corporation>
[Windows Installer / MSIServer][Stopped/Manual Start]
  <C:\WINDOWS\system32\msiexec.exe /V><Microsoft Corporation>
[Network Location Awareness (NLA) / Nla][Running/Manual Start]
  <C:\WINDOWS\system32\svchost.exe -k netsvcs-->%SystemRoot%\System32\mswsock.dll><Microsoft Corporation>
[NVIDIA Display Driver Service / nvsvc][Running/Auto Start]

难道都有问题吗?
暗夜的雪 - 2010-2-4 16:01:00
:[Human Interface Device Access / HidServ][Stopped/Disabled]
  <C:\WINDOWS\System32\svchost.exe -k netsvcs-->%SystemRoot%\System32\hidserv.dll><N/A>
此项完全正常  属于系统服务  不过没签名 
有<Microsoft Corporation>标志,并且是Manual Start(手动开启)的项目一般问题不大,重要的是看那些可疑的Auto Start 
个人经验
wanghy11111 - 2010-2-4 16:10:00
hosts文件里有:
127.0.0.1 localhost
::1              localhost

最后这一行是什么意思是?
lqqk7 - 2010-2-4 16:19:00
时间有限,本次答疑暂时到这里,剩下没解答的晚上下班回家继续:kaka12:
各位谅解!
天月来了 - 2010-2-4 16:24:00
根据文件名,全盘搜索,看是什么软件的,以及看文件属性内是什么公司的判断
天月来了 - 2010-2-4 16:25:00
根据文件名和路径看其是否是正常软件的

看不出来的,就看其实际文件的属性内是哪家公司的

什么都没有的,自然需要考虑是否异常了
suanxuejing - 2010-2-4 16:39:00
谢谢穷小子cd。可是正常的话,为什么会出现error呢?原因是什么呢?
suanxuejing - 2010-2-4 16:40:00
谢谢暗夜的雪提供的解答!:kaka12:
暗夜的雪 - 2010-2-4 17:28:00
vista系统自带HOST  可以不用理会~
暗夜的雪 - 2010-2-4 17:29:00
:kaka12: 呵呵 不谢  一起学习~
不知名的剑 - 2010-2-5 15:29:00
提问:我的Winsock 提供者、Autorun.inf、HOSTS 文件都为空是正常的吗?不是说默认情况下hosts只有127.0.0.1吗?
12
查看完整版本: 2010年2月4日[日志分析]-讲义
© 2000 - 2024 Rising Corp. Ltd.