瑞星卡卡安全论坛技术交流区反病毒/反流氓软件论坛 【原创】SRENG扫描日志自我分析(注册表篇)

123   1  /  3  页   跳转

【原创】SRENG扫描日志自我分析(注册表篇)

【原创】SRENG扫描日志自我分析(注册表篇)

【前言】SRENG扫描工具是反病毒爱好者常用的一个分析系统安全状况的工具,通过显示系统常见注册表启动项、启动文件夹、服务、驱动程序、浏览器加载项、正在运行的进程、WINSOCK、hosts文件、驱动器根目录下autorun.inf存在及内容检查等多个方面,您可以借以判断系统是否遭受病毒侵害及其他存在的问题。下面,我就对如何用SRENG扫描日志分析系统中可能存在的中毒问题做一个肤浅的解释,如有不当之处欢迎指正:
    在SRENG扫描工具主窗口下,单击”启动项目“标签,然后单击“注册表”标签后对话框中所显示的内容,就是SRENG扫描日志中“启动项目/注册表”拦的内容。
    熟悉系统注册表编辑器操作的朋友应该知道,SRENG扫描日志中“启动项目/注册表”栏内的内容,与注册表编辑器窗口下显示的注册表子项/项值/值项是一一对应的.

一、从“启动项目/注册表”内容发现病毒
    近期病毒感染的机器,“启动项目/注册表”内容异常最主要反映在在以下几个注册表子项/值项处:
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks]
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon]<Userinit>
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon]<shell>
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Windows]<AppInit_DLLs>
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options]
【注】“[]”内的部分表示某个注册表子项,“〈〉”内的内容表示注册表子项下的某个值项。
对以上经常被病毒添加/篡改的注册表项的情况,现分述如下:

(一)[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run]
大家知道,这个子项是我们安装应用程序主程序的启动项,如瑞星杀软主进程的的注册表启动项,在SRENG扫描日志显示如下:
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run]
    <RavTask><"C:\Program Files\Rising\Rav\RavTask.exe" -system>  [(Verified)Beijing Rising Science and Technology Corporation Limited]
【注】1、<"C:\Program Files\Rising\Rav\RavTask.exe" -system> 是<RavTask>这个值项的数值数据;“[(Verified)Beijing Rising Science and Technology Corporation Limited]”表示C:\Program Files\Rising\Rav\RavTask.exe瑞星杀软主进程文件的数字签名。
另外一些外文输入法和一些特殊的程序启动项,需要死记,如:
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run]
    <SoundMan><; SOUNDMAN.EXE> (声卡相关进程启动项目)
    <NvCplDaemon><; RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup> (显NVIDA卡相关进程启动项)
    <BigDogPath><; C:\WINDOWS\VM_STI.EXE VIMICRO USB PC Camera 301x> (摄像头启动项)
    <PHIME2002A><; C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.EXE /IMEName>  (输入法启动项)
【注】版面原因,这里未显示这些注册表值项的数字签名。
从以上解释,大家不难摸出一个规律:这个注册表子项下,除了系统一些自带的启动项路径需要硬记外,其他自己安装的应用程序的注册表启动项一般都在c:\program files\目录下(系统默认安装路径),这样,如果病毒在这里创建了一个病毒进程的注册表启动项,很容易区分开来。
    举个例子,这是一个朋友的:[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run]子项下的部分内容:
    <fmsiocps><C:\WINDOWS\fmsiocps.exe>  []
    <anistio><C:\WINDOWS\anistio.exE>  []
    <issms32><C:\WINDOWS\issms32.exe>  []
    <dionpis><C:\WINDOWS\dionpis.exe>  []
    <fiosectc><C:\WINDOWS\fiosectc.exe>  []
    <hefxxxy><C:\WINDOWS\hefxxxy.exe>  []
    <fmsbbqi><C:\WINDOWS\fmsbbqi.exe>  []
    <bincdwsa><C:\WINDOWS\bincdwsa.exe>  []
    <dbhlp32><C:\WINDOWS\dbhlp32.exe>  []
先看这些值项的数值数据:很晕啊,文件名既陌生,也没有数字签名,路径也很蹊跷----怎么会在c:\windows下呢?通过GOOGL这些文件名后,确认为病毒启动项。
【注】一些没有数字签名的摄像头在该注册表启动项下也是以c:\windows\*.EXE显示,这些要强记,以免错杀,

(二)[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks]
安装瑞星杀软的朋友这个注册表子项下的内容一般只有以下这个:
<{32CD708B-60A7-4C00-9377-D73EAA495F0F}><C:\WINDOWS\system32\RavExt.dll> (瑞星的)
中毒后的该注册表子项,被添加了N项没数字签名的值项,非常明显,比如下面这个日志的节选内容:
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks]
    <{398C9B84-4EF7-47B5-9862-DE29543B3C42}><C:\Program Files\Internet Explorer\PLUGINS\Nt_Sys32.Sys>  []
    <{45AADFAA-DD36-42AB-83AD-0521BBF58C24}><C:\WINDOWS\system32\zjydcx.dll>  []
    <{3E387664-C799-4D62-B196-25776EF35C51}><C:\WINDOWS\system32\mxavpw1.dll>  []
这个就不多说了,非常明显,也很好辨认,数字签名也没有,实在不清楚可以GOOGLE可疑值项的数值数据中显示的文件名。

(三)[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon]<shell>
这个注册表值项是系统资源管理器进程(c:\windows\explorer.exe)的注册表启动项,正常的计算机,该注册表项目SRENG扫描日志显示的是:
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon]
    <shell><Explorer.exe>  [(Verified)Microsoft Windows Component Publisher]
被病毒感染后,该注册表值项将出现变化,已知的有二类:
1、注册表值项目被异常添加
比如:[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon]
    <shell><Explorer.exe,abc.exe >  [microsoft corporation]
这里我们发现病毒文件c:\windows\abc.exe随系统进程c:\windows\explorer.exe同时实现了开机自启动,且数字签名发生变化。
2、数字签名被修改
比如:[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon]
    <shell><Explorer.exe>  [(Verified)]
这个从数字签名上,可以发现c:\windows\explorer.exe这个文件已被病毒感染,成了病毒的帮凶。

(四)[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Windows]<AppInit_DLLs>
AppInit_DLLs这个值项表示系统初始化动态链接库,正常的电脑SRENG扫描日志对该注册表值项应该是这样显示的:
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Windows]
<AppInit_DLLs><ieprot.dll> 或<AppInit_DLLs><>
被病毒感染后,这个注册表值项可能被篡改,举个例子:
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Windows]
<AppInit_DLLs><msosdohs00.dll,msosmhfp00.dll,ieprot.dll>  [N/A]
这里“msosdohs00.dll,msosmhfp00.dll,”这些字符串就是病毒添加的,表示开机器后系统自动调用c:\windows\system32目录下的msosdohs00.dll、msosmhfp00.dll这两个病毒文件并运行。

(五)[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon]<Userinit>
这个注册表值项是系统管理启动顺序的的关键注册表启动项,正常的计算机,该注册表项目SRENG扫描日志显示的是:
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon]
    <Userinit><C:\WINDOWS\system32\userinit.exe,>  [(Verified)Microsoft Windows Component Publisher]
被病毒感染后,该注册表值项将出现变化,与<AppInit_DLLs>这个值项类似,这里就不多讲了。

(六)[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options]
著名的“映像劫持”(IFEO),除了以下这个外,其他的要么是病毒添加的,要么是安全工具防病毒添加的。
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\Your Image File Name Here without a path]
    <IFEO[Your Image File Name Here without a path]><ntsd -d>  [N/A]
如果被病毒利用的话,[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options]这个注册表项下会增加多个子项,SRENG扫描工具“启动项目/注册表”窗口中会出现多个红色的“IFEO[*.exe]”类的项目,下面的日志片段可见一斑:
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\360safe.exe]
    <IFEO[360safe.exe]><ntsd -d>  [N/A]
这里360安全卫士的主进程被劫持了,导致360安全卫士双击无反映,无法打开。

二、如何处理有问题的“启动项目/注册表”内容
用SRENG扫描工具,或直接进入注册表编辑器,对有问题的注册表项目进行删除或修改。
这个不说了,大家自己摸索,这篇文章主要是分析病毒,而非解决病毒(实际上是我累了

用户系统信息:Mozilla/4.0 (compatible; MSIE 7.0; Windows NT 5.1; .NET CLR 1.1.4322)
本帖被评分 5 次
最后编辑超级游戏迷 最后编辑于 2008-05-26 00:11:52
打酱油的……
分享到:
gototop
 

回复:【原创】SRENG扫描日志自我分析(注册表篇)



赞一个!!
不认识我没关系,因为我也不认识你。
gototop
 

回复:【原创】SRENG扫描日志自我分析(注册表篇)

不错。支持下。学习的基础、
gototop
 

回复:【原创】SRENG扫描日志自我分析(注册表篇)

对新手会很有帮助,期待逐步完善!!
我这人挺糙的
gototop
 

回复:【原创】SRENG扫描日志自我分析(注册表篇)

学习!

嘻嘻嘻嘻
gototop
 

回复:【原创】SRENG扫描日志自我分析(注册表篇)

可惜游戏迷没占8个楼层

以后大家再弄这个,记得为自己占几个楼。

很多需要补充的,我看你以后往哪塞

单单就这SRENG工具涉及的很多东西,彻底描述清楚,没6、7层楼,是不能说清的。
最后编辑天月来了 最后编辑于 2008-05-10 07:49:33
百年以后,你的墓碑旁 刻着的名字不是我
gototop
 

回复:【原创】SRENG扫描日志自我分析(注册表篇)

路过,友情支持下。
gototop
 

回复: 【原创】SRENG扫描日志自我分析(注册表篇)



引用:
原帖由 天月来了 于 2008-5-10 7:48:00 发表
可惜游戏迷没占8个楼层

以后大家再弄这个,记得为自己占几个楼。

很多需要补充的,我看你以后往哪塞

单单就这SRENG工具涉及的很多东西,彻底描述清楚,没6、7层楼,是不能说清的。


所以才选择了SRENG扫描日志一个项目的内容有针对性地讲了讲。实际上病毒篡改/添加的注册表项远远不止这几项……
从SRENG扫描日志其他部分发现病毒,希望对反病毒有兴趣的朋友花时间整理下心得,希望比我写得更好,更直观,更有针对性,偶会加分的……

好帖必发;灌水帖必查;违规帖必杀
打酱油的……
gototop
 

回复:【原创】SRENG扫描日志自我分析(注册表篇)

楼主幸苦了
“请让我来帮助你,就像帮助我自己......”
gototop
 

回复:【原创】SRENG扫描日志自我分析(注册表篇)

强烈支持楼主的行动!!

授人以鱼,不如授人以渔
传说在很远的古代,一个庙里,有一个大神与一个小鬼住在里面。天下了大雨,庙前的河里长了水。来了一个人,过不了河,就把庙里的大神搬了出去,丢在河里,然后他踏在大神的身上,飞跳了过河。等会又来了
gototop
 
123   1  /  3  页   跳转
页面顶部
Powered by Discuz!NT