12   1  /  2  页   跳转

[转载] SREng 日志分析方法

SREng 日志分析方法

本帖固定链接地址:http://hi.baidu.com/teyqiu/blog/item/9785b2b7eb1a7df431add1a4.html
欢迎转载,但请保留文首的版权申明。
说明:本贴参考了自水木社区病毒版版主sihecun的精华区总结,为谢。部分修改。
http://www.newsmth.net 水木社区
http://hi.baidu.com/teyqiu teyqiu【天下无毒】
前言:免责声明:以下总结系私人经验之总结,由此造成的任何后果不负责任。
系统分析是一项纷繁复杂的工作,需要大胆和心细(例如注意数字 1 和字母l的微小的区别,字母o p q的o与数字0 1 2的0的区别等等),刚开始学习的朋友会感到有很多困难,要多借助搜索引擎(推荐google.com !!!baidu.com就算了。不要跟我争这个)
要随时关注目前流行病毒的行情(例如看到rundll32.exe 基本上就可以判定是威金等)刚开始的时候可能会有困难,应静下心来好好研究,等你练到一目N行的时候,基本上就略有小成了。经验的积累也十分的重要!
跟大家一起探讨。 (崔衍渠)
【主要链接】
SREng最新版用法  http://hi.baidu.com/teyqiu/blog/item/f706213fc52346ec54e72351.html
包括SRENG的软件下载、如果获得日志、如何删除问题项的图解。

【主要链接2】收集不能一眼识别但却是良民的部分正常注册表、服务、驱动项目
【正常启动项】 http://hi.baidu.com/teyqiu/blog/item/cc0f7bf435db43d8f2d38577.html

请收藏如上的网址,因为会不定期的随时更新。
一、SREng          启动项目 注册表 分析方法
对应的注册表位置在log中可以看到
熟悉常见项,主要包括输入法、音频视频应用程序、杀毒软件、安装的应用软件等
每个进程后有公司名属性,可以辅助辨别 
对于不确认的进程 google

[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run]
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run]
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\RunOnce]
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunOnce]
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\RunServices]
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunServices]
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\RunServicesOnce]
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunServicesOnce]
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunOnceEx]
以上需要具体分析
[HKEY_CURRENT_USER\Software\Microsoft\Windows NT\CurrentVersion\Windows]
            <load><>          []
            <run><>          []
以上2个位置 如果加载了进程,通常是问题项
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run]
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer
\Run]
以上2个位置 如果加载了进程,通常是问题项
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon]
            <shell><Explorer.exe>          [Microsoft Corporation]
            <Userinit><C:\WINDOWS\system32\userinit.exe,>          [Microsoft Corporation]
逗号不可省略。
如果是NT系统(如win2000),相应路径为 C:\WINNT 不再累述。

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Windows]
            <AppInit_DLLs><>          []
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon]
            <UIHost><logonui.exe>          [Microsoft Corporation]
以上4个位置如果和默认的有区别,通常是可疑项
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ShellServiceObjectDelayLoad]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellExec
uteHooks]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\SharedTas
kScheduler]
以上3个位置如果有加载项(除了第二个位置加载瑞星防病毒软件),通常是问题项


二、 SREng --- 启动文件夹
对应以下2个位置
Startup: c:\documents and settings\USERNAME\「开始」菜单\程序\启动

(Username为具体的用户名,例如 teyqiu, 王小丫 之类的)
Global Startup: c:\documents and settings\All Users\「开始」菜单\程序\启动


常见问题项:
[IE-Bar]
          <C:\Documents and Settings\All Users\Start Menu\Programs\Startup\IE-Bar.lnk>
<N>

三、SREng服务的分析方法
对应注册表位置如下:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services

服务后有公司属性,辅助分析,有假冒公司属性的服务需要注意
服务对应的文件位于windows下的要注意
不确认的google

不过有些没公司属性的也没问题 常见的有 要强记!别误删。
[Secdrv / Secdrv]
          <system32\DRIVERS\secdrv.sys><N/A>

[TSP / TSP]
          <\??\C:\WINDOWS\system32\drivers\klif.sys><N/A> 卡巴斯基 有时候会显示N/A


常见的问题项:
灰鸽子
[Performance Moniter / BARCASE]
          <C:\WINDOWS\SYSTEM32\RUNDLL32.EXE C:\WINDOWS\SYSTEM32\WBEM\IRJIT.DLL,Export 1087><N/A>
[IPSEC Client / WalALET][Running/Auto Start]
<C:\WINDOWS\SYSTEM32\RUNDLL2000.EXE C:\WINDOWS\SYSTEM32\WBEM\TCGSH.DLL,Export 1087><Microsoft Corporation>

留意本案中的C:\WINDOWS\SYSTEM32\RUNDLL2000.EXE也不是好东西。

[不雅的词 Administration Service / 不雅的词asvc][Running/Auto Start]
<C:\WINDOWS\SYSTEM32\不雅的词asvc.EXE><Microsoft Corporation>
强烈鄙夷丫的一U盘病毒还修改IFEO。冒充微软。

[JMediaService / JMediaService]
          <C:\WINNT\system32\rundll32.exe C:\PROGRA~1\MMSASS~1\MMSSVER.DLL,Service><N/A>
[StdService / StdService]
          <C:\WINNT\system32\rundll32.exe C:\WINNT\System32\STDSVER.DLL,Service><N/A>
[VIPTray / VIPTray]
          <C:\WINDOWS\System32\VIPTray.exe><N/A>
[WinWrCup / WinWrCup]
          <C:\WINNT\wincup\wincup.exe -R><MsWinCup>
[WinKld / WinKld]
          <C:\WINDOWS\System32\RunDLL32.exe "C:\PROGRA~1\winkld\winkld.dll",Run -r><N/A>
[wint / wint]
          <C:\WINDOWS\System32\RunDLL32.exe "C:\PROGRA~1\wint\wint.dll",Run -r><N/A>
[WinkldUP / WinkldUP]
          <C:\DOCUME~1\wq\LOCALS~1\Temp\wz\wz.exe -R><N/A>
[XDownloadService / XDownloadService]
          <C:\WINDOWS\system32\Rundll32.exe "C:\WINDOWS\Downloader.dll",Run><N/A>

[Server Advance / ServerAC]
          <
C:\WINDOWS\System32\Security.exe
><N/A>
[Windows DHCP Service / WinDHCPsvc]
          <C:\WINDOWS\System32\rundll32.exe
windhcp.ocx
,start><Microsoft Corporation>
此处省略路径的为 C:\WINDOWS\System32\windhcp.ocx

[WinXP DHCP Service / WinXPDHCPsvc]
          <C:\WINDOWS\System32\rundll32.exe
xpdhcp.dll,start><Microsoft Corporation>
此处省略路径的为 C:\WINDOWS\System32\windhcp.dll


---驱动的分析与服务类似 注意最近的飘雪等双驱动的案例。


四、 SREng          浏览器加载项 分析方法
对应hijackhtis的02、03、08、09、016项,可以用hijackthis辅助分析
最近出现假冒microsoft和macromedia的项


五、SREng 正在运行的进程 分析方法
注意没有公司名字属性【显示为 N/A 】的exe文件,不确认的 google
没公司属性(或者说显示不出来)但是却是正常文件的也有 例如
          [C:\WINDOWS\system32\msdmo.dll]          [N/A, N/A] 要强记!

注意exe文件调用的dll文件,对于不确认的dll文件 google
有公司属性的也要注意分析是否是冒牌货,如最近的飘雪等动不动就冒充Microsoft Corporation。。。。

六、SREng 文件关联              分析方法
SREng提示的error项,通常需要修复
例外:关联的应用程序是自己安装的

七、SREng Winsock 提供者 分析方法         
用检测到的文件google
修复方法及常见的问题文件参考《hijackthis的010项修复方法》

附:
《hijackthis的010项修复方法》
HijackThis日志细解正文(十四):组别——O10
www.rising.com.cn          2004-8-5 15:09:00          信息源:瑞星社区 作者:风之咏者 


1. 项目说明
            O10项提示Winsock LSP(Layered Service Provider)“浏览器劫持”。某些间谍软件会修改Winsock 2的设置,进行LSP“浏览器劫持”,所有与网络交换的信息都要通过这些间谍软件,从而使得它们可以监控使用者的信息。著名的如New.Net插件或WebHancer组件,它们是安装一些软件时带来的你不想要的东西。相关的中文信息可参考——
http://tech.sina.com.cn/c/2001-11-19/7274.html

2. 举例
O10 - Hijacked Internet access by New.Net
            这是被广告程序New.Net劫持的症状(可以通过“控制面板——添加删除”来卸载)。
O10 - Broken Internet access because of LSP provider `c:\progra~1\common~2\toolbar\cnmib.dll` missing
            这一般出现在已清除间谍软件但没有恢复LSP正常状态的情况下。此时,网络连接可能丢失。
O10 - Unknown file in Winsock LSP: c:\program files\newton knows\vmain.dll
            这是被广告程序newtonknows劫持的症状,相关信息可参考http://www.pestpatrol.com/PestInfo/n/newtonknows.asp

3. 一般建议
            一定要注意,由于LSP的特殊性,单单清除间谍软件而不恢复LSP的正常状态很可能会导致无法连通网络!如果您使用杀毒软件清除间谍程序,可能遇到如上面第二个例子的情况,此时可能无法上网。有时HijackThis在O10项报告网络连接破坏,但其实仍旧可以连通,不过无论如何,修复O10项时一定要小心。
            遇到O10项需要修复时,建议使用专门工具修复。
(1)LSPFix http://www.cexx.org/lspfix.htm
(2)Spybot-Search&Destroy(上面提到过,但一定要使用最新版)
            这两个工具都可以修复此问题,请进一步参考相关教程。
4. 疑难解析
            某些正常合法程序(特别是一些杀毒软件)也会在Winsock水平工作。比如
O10 - Unknown file in Winsock LSP: c:\windows\system32\kvwsp.dll
            这一项就属于国产杀毒软件KV。所以,在O10项遇到“Unknown file in Winsock LSP”一定要先查询一下,不要一概修复。


为方便大家的学习,如下转载一部分资料,注意更新。

一、bark 的 解读SREng扫描报告(原创)
原文链接:http://hi.baidu.com/rmp3/blog/item/b72c5d4e73938909b2de0520.html
第一次发表于 2006-11-24

摘要:本文介绍了如何利用相应的工具进行手动查杀病毒的操作方法,通俗易懂。




SREng扫描报告的个人见解 by bark[流氓怕武术]
第一部分:
启动项目:这部分是系统注册表里系统正常启动时的加载项,xp 系统点开始-运行-msconfig-就可以看到下面的大部分内容。传统的病毒木马会加载到这里。我们设置为自动启动的一些软件的启动项也加载到这里。比如防火墙,杀毒软件,等等。这些东东在安全模式不会被启动。
注册表
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run]

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run]
 
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon]

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Windows]

……
==================================
第二部分:
启动文件夹:就是开始菜单里的启动下面的 东东,一般病毒和木马不会幼稚到这个地步,这里一般是空的。这些东东在安全模式不会被启动。
N/A

==================================
第三部分:
服务:就是我们在“管理-服务和应用程序”里面能看到的加载的服务。这些东东在安全模式不会被启动。现在病毒木马流氓的首选隐藏之处。去年还不流行。
一般的菜鸟不会到这里查看有什么不对头的地方。即使看到了也不敢怀疑,他们的描述有很大迷惑性,比如“为系统启动提供加速功能”就是最流行的流氓服务,弹出网页的一般是这个。这些东东在安全模式不会被启动。
病毒服务的特征:
1·被rundll32.exe、Svchost.exe等系统进程调用;
2·【】内的前后两项内容相同;
3·所属公司为<N/A>或假冒<Microsoft Corporation>
4·启动文件指向系统目录
凡是有以上特征之一的 ,我们都要怀疑。
例:
[RestoreService / RestoreService]
<C:\WINDOWS\system32\Svchost.exe -k RestoreService-->C:\WINDOWS\system32\drivers\service.dll><N/A>
[Standard Update Net Service / stdupnet]
<C:\WINDOWS\system32\rundll32.exe C:\WINDOWS\system32\stdupnet.dll,Service -s><Microsoft Corporation>
[VisionService / VisionService]
<C:\WINDOWS\system32\rundll32.exe C:\PROGRA~1\vision\VISVER.DLL,Service><Microsoft Corporation>

==================================
第4部分:
驱动程序:目前最流行的流氓行为!这些东东在安全模式也会被启动加载,并自我保护不被删除。
病毒驱动的特征:
1·名字随机所以怪异,尤其是包含数字的要注意
2·一般在\SystemRoot\system32\drivers\目录下
3·【】内的前后两项内容相同;
4·所属公司为<>·<N/A>或假冒<Microsoft Corporation>,其他的一般不是(也有例外)
例:
[000057b3 / 000057b3]
<\SystemRoot\system32\drivers\000057b3.SYS><N/A>

[cdnprot / cdnprot]
<\SystemRoot\system32\drivers\cdnprot.sys><N/A>

[cdntran / cdntran]
<system32\drivers\cdntran.sys><CNNIC>

[npkycryp / npkycryp]
<\??\C:\Program Files\Tencent\qq\npkycryp.sys><N/A>

[vydozqfz / vydozqfz]
<\SystemRoot\system32\drivers\vydozqfz.sys><>

==================================
第5部分:
浏览器加载项:这里是加载的插件,有背景的大流氓软件热爱。但打开IE浏览器后可以直观看到,小流氓和木马病毒不敢也不愿这么明显。
例:
[Cbho Object]
{352E3B3A-CAB5-4DBC-B940-C7F84D0447D8} <C:\PROGRA~1\CNNIC\Cdn\cdndrag.dll, CNNIC>
[用QQ彩信发送该图片]
<C:\Program Files\Tencent\qq\SendMMS.htm, N/A>
[访问通用网址]
<C:\Program Files\CNNIC\Cdn\cnnic.htm, N/A>


用户系统信息:Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1; TheWorld)
本帖被评分 2 次
分享到:
gototop
 

回复: SREng 日志分析方法

==================================
第6部分:
正在运行的进程
这里是很关键的部分,也是内容最多最乱的部分。凡是系统中正在运行的进程和调用的dll文件在这里一览无遗。
我们要特别注意以下进程调用的dll文件:
C:\WINDOWS\Explorer.EXE

如果一个dll文件注入上面的进程,同时又注入其他进程,就要特别照顾他一下了 。一般的流氓是一定要注入这个进程的。
睡眠状态;有不足之处;待改正。

二、[原创] 手工查杀病毒经验谈-by蓝色寒冰+
原帖链接:
http://hi.baidu.com/readon99/blog/item/326d7931d3773d19ebc4afb6.html
摘要:
第一部分:工具篇(随兵出征)  第二部分:查毒篇(请君入瓮)
第三部分:杀毒篇(初战告捷)  第四部分:修复篇(打完收工)
三、【原创】手工检测病毒 by UFO不幸外人 卡卡社区 【注意更新】
原帖链接
http://forum.ikaka.com/topic.asp?board=28&artid=8267493
摘要:作者自己说“文章我认为可能会有问题,希望高手多多指教,我会在春节前把文章更新好,并且会发布完整版。届时将有我整理的一些进程、服务等等,需要经验来说明的东西,目的都是为了新手和想学习的人,希望这些经验可以帮助大家,可以在论坛里面和我交流也可以发邮件。总之谢谢大家。”
四、【转贴】学看 SRE 报告 【注意更新】
原帖链接 http://bbs.ikaka.com/showtopic-8504098.aspx

摘要:很早就想写,关于如何看SRE报告的文章。 只是这东西,我觉得不是用文字,就能完全表达清楚的。做为教程的第一帖,我先讲一下SRE报告的“结构”。掌握了结构,大家就不会对满屏的英文,感到头疼了………………

==================================================更新历史==========================
++2007-4-6 将更新版本号改为 1.1 。添加重要相关链接3个。
++2008-8-3 将更新版本号改为 1.2 。添加重要相关链接1个。

---------------------------------
teYqiu【天下无毒】原创文章,转载请标明。http://hi.baidu.com/teyqiu
百度知道反病毒知识专家崔衍渠 授权
gototop
 

回复:SREng 日志分析方法

学习了````
gototop
 

回复:SREng 日志分析方法

大家来一起学习一下····
gototop
 

回复:SREng 日志分析方法

好贴,大家可以共同学习。
gototop
 

回复:SREng 日志分析方法

来个老师帮忙修改....
gototop
 

回复: SREng 日志分析方法

本区精华帖里多找找,推荐这个:http://bbs.ikaka.com/showtopic-8504098.aspx
本帖被评分 1 次
打酱油的……
gototop
 

回复:SREng 日志分析方法

学习学习学习
本人乃菜鸟一届,努力学习,望各路高手多多包涵
gototop
 

回复: SREng 日志分析方法

随便说一点:

==================================
第二部分:
启动文件夹:就是开始菜单里的启动下面的 东东,一般病毒和木马不会幼稚到这个地步,这里一般是空的。这些东东在安全模式不会被启动。
N/A
==================================


内容有点老。最近病毒在这里添加启动项的行为十分猖獗,烦都烦死;另外,“一般是空的”这说法也不对,这主要根据电脑使用者安装应用程序时采取的方法而定(据俺所知,绝大多数人在这里都有QQ或QQ游戏加速的启动项,这是安装QQ时一路“下一步”的必然结果)……


打酱油的……
gototop
 

回复: SREng 日志分析方法

日志分析很重要啊,看来我也要学习学习了。GO……
gototop
 
12   1  /  2  页   跳转
页面顶部
Powered by Discuz!NT