1234567   5  /  7  页   跳转

2010年7月12日:日志分析1 -讲义

回复:2010年7月12日:日志分析1 -讲义

老师好。。
我想先说一下我的学习经验。。昨天晚上我在官网上下载了最新版的SREng,然后开始扫描,就碰到楼上说的扫描时间过长,扫了半个小时也没扫完,我就觉得不太对劲,于是关了重开,还是如此,一会儿我就没管它,之后我在运行窗口输入msconfig配置启动项,结果发现程序无法响应,一般情况下这是不可能的。。我想不会是中招了吧。。由于时间太晚,我太困了,所以暂时没去处理( ),直到今天早上开机,再次运行SREng,360开始弹出提示有异常程序要修改启动项,我于是肯定我真是中招了,本来还不太确定是不是官网上的SREng有问题,现在看楼上有几个类似情况,于是我觉得有70%的可能了。。我立即开360杀木马(不是我不想用瑞星,实在电脑里文件多,瑞星扫得有那么点慢了呃,嘿嘿。。 ),果然杀出了一个,为了方便以后的学习,我暂时尚未处理,应该没啥问题吧。。。后来我便在http://bbs.ikaka.com//showtopic-8442813.aspx上下了2.8版开始扫描,不用几分钟便扫完了,得以成功继续学习,呵呵。。

在学习过程中,我遇到以下问题,希望老师指导:
1. 在扫描日志的注册表中,如果文件属性版本中的公司显示[File is missing]这种情况,对于系统有没有威胁?需不需要处理?

2. 在扫描日志的服务中,有如下情况:
(1)  [System Restore Service / srservice][Stopped/Disabled]
  <C:\windows\system32\svchost.exe -k netsvcs-->C:\WINDOWS\system32\srsvc.dll><N/A>
照讲义所讲C:\windows\system32\svchost.exe是正常的系统文件,但是后面加载执行C:\WINDOWS\system32\srsvc.dll就有问题,对不对?但是其状态和启动类型是[Stopped/Disabled],那它具不具有威胁?
(2)  [Dell Wireless WLAN Tray Service / wltrysvc][Running/Auto Start]
  <C:\windows\System32\WLTRYSVC.EXE C:\windows\System32\bcmwltry.exe><N/A>
这个WLTRYSVC.EXE和bcmwltry.exe是不是病毒文件呢?因为我用的是笔记本电脑,可能会有其他配置程序的开启而导致SREng不识别,但我觉得也不能判定这两个程序是否安全吧?

3. 在扫描日志的浏览器加载项中,
[使用迅雷下载]
  <C:\Program Files\Thunder\Program\geturl.htm, N/A>
[使用迅雷下载全部链接]
  <C:\Program Files\Thunder\Program\getallurl.htm, N/A>
[发送到 Bluetooth 设备(&B)...]
  <C:\Program Files\WIDCOMM\Bluetooth Software\btsendto_ie_ctx.htm, N/A>
[导出到 Microsoft Office Excel(&X)]
  <res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000, N/A>
[添加到QQ表情]
  <C:\Program Files\Tencent\QQ\Bin\AddEmotion.htm, N/A>
这些虽然标为可疑程序,但我们自己是能够辨别正常的。
[HTML Document]
  {25336920-03F9-11CF-8FD0-00AA00686F13} <%SystemRoot%\system32\mshtml.dll, (Signed) N/A>
[SearchAssistantOC]
  {B45FF030-4447-11D2-85DE-00C04FA35C89} <%SystemRoot%\system32\shdocvw.dll, (Signed) N/A>
可如果是如上这种我们自己也不认识的程序被标为可疑,我们该怎么办呢?


写了这么多,希望老师有耐心看完哟。。


===================以下内容为lqqk7回复==================
1、[File is missing]表示文件不存在,没有威胁,通常是系统经过精简去掉了不必要的组件,或病毒文件删除后注册表项有残留,可以将此项删除。

2、
[System Restore Service / srservice][Stopped/Disabled]
  <C:\windows\system32\svchost.exe -k netsvcs-->C:\WINDOWS\system32\srsvc.dll><N/A>这个是系统还原服务,是正常的!讲义是举例,分析日志需要对系统正常项比较熟悉,这里是一个正常的系统服务,病毒同样也可以用同样的方法创建服务,只有对系统熟悉才能避免误判;
 
3、这个是无线网卡的托盘管理程序,并非SREng不识别,可能程序本身就不带有版本信息,要知道SREng就是扫描你的系统,把系统中原有的信息以日志的形式展现出来,它并不具备智能分析的能力,系统环境是什么样的日志就是什么样的,SREng并不能判断一个文件是否安全,判断的过程是人为完成的。

4、日志中出现N/A这个标识,并不是说它可疑,这个概念一定不要混淆,刚才已经说过了,SREng不具备智能分析的能力,它就是把系统环境以日志的形式呈现出来而已。至于这里为什么显示N/A,是因为这个文件本身不含有厂商和版本信息,所以显示为N/A。

5、注意一下后面显示的Signed,这就表示该项是可信任的,那如果你还有怀疑怎么办呢?可以通过百度或google搜索一下,多数情况下可以获得有价值的信息。如果有条件也可以直接提取文件样本发送到反病毒厂商进行检测。
最后编辑lqqk7 最后编辑于 2010-07-13 11:26:51
gototop
 

回复:2010年7月12日:日志分析1 -讲义

1.检查进程模块的数字签名是不是就是扫描进程中加载的DLL文件的数字签名?
//verifide该文件已经通过数字签名验证。
2.驱动程序和软件如此众多服务项目也是很多没见过的,面对这些我们应该怎么辨别?
其实如老师所说SRENG日志真的只能靠自己多看才可以。以上两个问题是我在实际中碰到的问题,以前遇到一个病毒只是单纯的加载了一个动态函数链接库就达到了很强大的目的,我在想要是这个DLL文件名和系统中的DLL文件名一样是不是日志分析就没什么用了呢?
而且以前在看一些日志的时候,很多的服务项多的让人眼花,而且都没见过,就更加脑袋疼了,呵呵,我以前都是查百度,很浪费时间,不知道有啥好的方法。

===================以下内容为lqqk7回复==================
1、不只是dll,多看日志你会发现进程中可能还有其他比如.ime、.ocx等等其他模块,勾选后会验证所有这些模块的签名;

2、病毒一般都会把自己隐藏在有共同性的目录中,比如机会每个人都把系统装在c:\windows目录中,也就是说几乎每台win系统的电脑都有这个目录,那么病毒藏在这里就不易被发掘,这类目录还有诸如windows下的子目录、IE浏览器目录、C盘根目录、系统还原目录、回收站目录等等,他们都具有共同性。很少有病毒会把自己藏在不具备共同性的目录,比如“e:\forever”这样的路径就不具备共同性,且不说是不是每台电脑都有E盘,这样一个陌生文件夹的突然出现肯定会引起人们的警觉。依据这个原则,再去结合路径判断,比如“D:\chengxu\Thunder Network\Thunder\ComDlls\ThunderAgent5.9.22.1466.dll”这样一个文件,这是迅雷的相关文件,假设你不知道它是什么,但是从路径看,不可能每台电脑都有这样的目录,那么一般病毒就不会选择这里,多半是用户自己安装的软件。分析日志要多练习,看得多了对一些常用的软件相关的文件名就会有印象,少数不常用软件结合搜索引擎搜索,也能够帮助你进行判断。

3、至于你说的病毒文件名和系统文件名一样的情况,分两种情况,无论那种情况都需要你对系统关键文件有一定的了解,只要要知道文件名和路径在哪:
A、病毒直接修改或替换了系统正常文件,这种情况下单凭路径和文件名来看都是没问题的,但是有一点,它绝不能通过数字签名的验证;
B、病毒使用和系统文件相同的文件名(如svchost.exe),并将自己放在一个与系统正常文件相似的有迷惑性的目录中,比如c:\windows\system\svchost.exe或c:\windows\svchost.exe,这时你首先要知道系统正常的svchost.exe应该是在c:\windows\system32下,在其他路径下出现高度伪装系统文件的情况,就需要特别注意了!
最后编辑lqqk7 最后编辑于 2010-07-13 12:54:45
gototop
 

回复:2010年7月12日:日志分析1 -讲义

Winsock 提供者
N/A

==================================
Autorun.inf
N/A

==================================
HOSTS 文件
N/A

==================================
进程特权扫描
N/A
==================================

API HOOK
N/A

==================================
隐藏进程
N/A

老师,这些能否说明我的电脑目前正常呢?
不理解为什么都不可用。。。

===================以下内容为lqqk7回复==================
这几项显示N/A表示没有发现异常
最后编辑lqqk7 最后编辑于 2010-07-13 12:55:35
gototop
 

回复:2010年7月12日:日志分析1 -讲义

这个不是很懂,先看看。。。。。。
gototop
 

回复:2010年7月12日:日志分析1 -讲义

老师好。我有以下几个问题:

1. 7楼,服务那一页,从什么地方可以看出rpcadmin.dll这个加载项有问题?它看上去和第三行hidserv.dll形式上相似。除了百度,有没有更好的判断方法?
2. 8楼,驱动程序那一页,除了瑞星其他都可疑,  其他从哪看出来可疑?是不是因为文件名比较无规则?
3. 11楼,1).autorun.inf那一页,例中的abc.exe文件位置在哪? 2).隐藏进程那一页,腾讯为什么要隐藏进程?3). 既然autorun.inf是正常文件,那么删除它会不会造成不良后果?删除之后会不会再生?如何再生?能否不删除而将其修改为正常文件?

===================以下内容为lqqk7回复==================
1、首先要对系统文件有所了解,这样至少可知rpcadmin.dll不是一个系统文件,那么它应该属于病毒或其他第三方程序;其次,还是基于对系统的熟悉,你先要知道系统有一个很重要的服务名为Remote Procedure Call (RPC),再看它的服务名称为Remote Procedure Call (RPC) Administrative Service,与系统正常服务名相似,有伪装的嫌疑,无论这个文件所在路径还是服务名称还是文件名,都是极力想伪装为RPC相关服务,基于这些因素来看,它高度可疑!

2、有一些不太专业的安全软件会通过文件名去识别病毒,并且现在网络很发达,一个人中毒后只要发个贴子,这个病毒的文件名、路径就能够被很多人看到,所以很多病毒开始使用随机命名的方式,每次感染时生产不同的文件名,企图让人摸不到规律。另外还需要了解,一个正常的应用程序几乎不会使用这种随机文件名,因为涉及到维护的问题,比如用户使用某个正常软件时遇到问题向厂商求助,厂商可能需要用户提供某个程序文件来检测,这时这个文件必须有一个固定的文件名,用户才能顺利找到文件,如果正常软件随机命名,那么恐怕连厂商自己都不知道自己的程序在用户电脑中是什么名称,后期更新维护难度极大。只有少数专杀工具为了不被病毒破坏,会在每次开启时释放一个随机文件名的文件,但通常会在你关闭专杀工具后自动删除掉。所以看到这种没有规律的文件名,且没有厂商信息,就非常可疑。

3、这里使用的是相对路径,文件在c盘根目录下,即c:\abc.exe;

4、隐藏进程分两种,一种是自身具备隐藏的功能,这种情况多见于安全软件和病毒;另一种情况是本身不具备也不需要隐藏,它的进程是被其他程序隐藏的,至于被谁隐藏,要结合进程模块、服务、驱动等综合判断;

5、autorun.inf是自动播放配置文件,有些正常软件会用到自动播放的功能,比如虚拟系统Prayaya V3,有一个功能就是利用autorun.inf达到双击盘符就运行虚拟系统的功能。这种情况下如果删除autorun.inf,会使这项功能无法正常使用,至于删除后是否重新生产,要看软件开发者是如何设定的了。
同时,病毒也会利用autorun.inf达到双击盘符自动运行的需求,如果病毒主体存在,只要你双击盘符病毒就会自动运行;而如果病毒主体已经不存在而autorun.inf仍然存在,就会造成双击盘符无法打开磁盘的故障,所以这时删除autorun.inf是没有任何不良后果的,而且是非常必要的!至于重新生成的问题,只要没有活体病毒存在,就不会重新生成。

6、能否不删除autorun.inf,将其改为正常文件?
可以,但没必要,相对于删除来说这样操作更繁琐,但达到的效果是相同的。除非你有特殊需求,比如希望双击盘符的时候自动执行某个设定的程序、或者希望更改盘符图标、又或者希望增加盘符右键菜单中的选项,这些都可以通过autorun.inf实现。但是我不建议你用autorun.inf去实现这些功能,因为部分不严谨的安全软件始终将autorun.inf列入病毒的行列去查杀,另外诸如更改图标、添加右键菜单选项这样的功能,很多系统设置工具都可以更方便的实现。
最后编辑lqqk7 最后编辑于 2010-07-13 14:13:03
gototop
 

回复:2010年7月12日:日志分析1 -讲义

lqqk7老师,您好!

这是我机器的扫描结果:
启动文件夹
[腾讯QQ]
  <C:\Documents and Settings\All Users\「开始」菜单\程序\启动\腾讯QQ.lnk --> C:\Program Files\winsoft9\2222.vbs [File is missing]><N>

1.请问老师这是不是一个脚本病毒?

2.我查看了扫描结果的注册表部分:
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run],没有发现和上边的[腾讯QQ]相关联的项,那只删除C:\Program Files\winsoft9\2222.vbs和快捷方式图标能否清理干净?

谢谢您,lqqk7老师!

===================以下内容为lqqk7回复==================
1、从路径和文件名看,应该是脚本病毒,但是文件已经不存在了,可以将启动文件夹中的快捷方式删除;

2、这个不能确定,最好将你扫的完整日志发上来,通过文件名很难判断是否和病毒有关系;
最后编辑lqqk7 最后编辑于 2010-07-14 12:43:45
gototop
 

回复:2010年7月12日:日志分析1 -讲义

上课啦,过来签到
一闪一闪亮晶晶,漫天都是小星星
gototop
 

回复 3F nevergu 的帖子

谢谢老师的回答!!
I WILL NEVER GIVE UP!
AND WORKHARD EVERYDAY!!
gototop
 

回复: 2010年7月12日:日志分析1 -讲义

我来晚了,不过我会赶上的呵呵
gototop
 

回复 1F 狮子座小皮 的帖子

lqqk7老师您好,我有两个问题向您请假:
1.SREng是通过什么判断是否添加Verified标识的呢?那个Explorer.exe是通过什么方法获得Verified的标识呢?
2.在扫描日志中常看到长串的数字,如[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Active Setup\Installed Components\>{881dd1c5-3dcf-431b-b061-f3f88e8be88a}],我想了解一下{881dd1c5-3dcf-431b-b061-f3f88e8be88a}究竟是什么呢,与我们的日志判断工作是否相关呢?请您赐教,谢谢您!

===================以下内容为lqqk7回复==================
1、SREng通过数字签名、SFC状态、版本信息、Microsoft文件的一些其他特征。当通过SFC且通过数字签名,该文件标识为Verified且可以通过签名获取发行商名称;当通过SFC但没有通过数字签名,同时其他规则检查符合Microsoft文件特征的情况下,该文件仅标识为Verified,但因为不能通过数字签名检查,所以获取不到发行商名称;

2、这是一个CLSID,用来标识系统中的程序或组件,是一个全球唯一标识,有些CLSID是系统组件,有些是第三方软件创建的,也有用来屏蔽恶意插件的,当然也有恶意程序创建的,可以通过路径或网络搜索来协助判断;
最后编辑lqqk7 最后编辑于 2010-07-14 13:08:37
gototop
 
1234567   5  /  7  页   跳转
页面顶部
Powered by Discuz!NT