瑞星卡卡安全论坛技术交流区反病毒/反流氓软件论坛 【转贴】学看 SRE 报告(请注意看小聪的注释部分)

12   1  /  2  页   跳转

【转贴】学看 SRE 报告(请注意看小聪的注释部分)

【转贴】学看 SRE 报告(请注意看小聪的注释部分)

该教程转自http://nkevin.blog.163.com/blog/#pn2

【原创连载】学看 SRE 报告 ———— 第一讲

很早就想写,关于如何看SRE报告的文章。 只是这东西,我觉得不是用文字,就能完全表达清楚的。
做为教程的第一帖,我先讲一下SRE报告的“结构”。掌握了结构,大家就不会对满屏的英文,感到头疼了。

一。SRE报告整体结构说明
一份完整的 SRE 报告,分为如下 13 部分:
1. 注册表启动项目
2. 启动文件夹
3. 系统服务项目
4. 系统驱动文件
5. 浏览器加载项
6. 正在运行的进程(包括进程模块信息)
7. 文件关联
8. Winsock 提供者
9. Autorun.inf
10.HOSTS 文件
11.进程特权扫描
12.API HOOK
13.隐藏进程
其中,判断一台电脑,是否存在异常,主要是查看:
1. 注册表启动项目
3. 系统服务项目
4. 系统驱动文件
6. 正在运行的进程
8. Winsock 提供者
9. Autorun.inf
10.进程特权扫描
在这次的教程中,我先讲解第一项:注册表启动项目, 的结构看法。
二。SRE报告——注册表启动项目,结构讲解

在任何一份SRE报告中,注册表启动项目,都有相同的结构,我下面随便举个例子:
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run]
    <Synchronization Manager><mobsync.exe /logon>  [(Verified)Microsoft Windows 2000 Publisher]

第一行:[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run] ,代表的是:这个启动项目,在注册表中的详细位置。
第二行:<Synchronization Manager><mobsync.exe /logon>  [(Verified)Microsoft Windows 2000 Publisher],由三部分组成:
1. <Synchronization Manager>,这个项目,是指该启动项,在注册表中的名称。不同的启动项目,自然名称也不会相同。
2. <mobsync.exe /logon>,这个项目,分两种情况:
⑴ 对于(经过验证的)系统关键文件,SRE则直接列出该项目的文件名称,而不给出相应的详细路径。这种文件,一般在后面都会标有“(Verified)”,我后面解释。
⑵ 对于普通文件,则会在这个项目中,给出详细的文件路径和名称,比如:c:\windows\system32\abc.exe
在我们这次的例子中,是满足:⑴的。

引用:
说明:这个说法有误。
其实在此处,显示的就是该注册表键完整的键值,无论其是否是正常的文件或经过验证的文件。对于键值为相对路径的情况(如Explorer.exe),系统自动遍历环境变量PATH中的文件夹列表,来查找文件。

by 轩辕小聪 08.06.15

3.[(Verified)Microsoft Windows 2000 Publisher],这项代表:该文件,是否含有“公司签名认证”
SRE这个软件,自身具备了对“系统关键文件”和一些“众所周知的软件的文件”(如:explorer.exe,winlogon.exe,userinit.exe等)的“验证检测”,凡是通过了检测的系统关键文件,SRE在公司名这里,都会标有:Verified,这个英文。
换个角度来说:在SRE报告中,凡是出现“Verified”这个英文的启动项目,都100%是正常的启动项目。

引用:
100%这个说法太绝对了。其实看被机器狗修改的文件就知道,有这个字样,但是没有公司名称,也是有问题的。
严格意义上来说,这叫“数字签名验证”,使用的是一定的对称散列算法。

by 轩辕小聪 08.06.15


总结一下,在SRE报告的:注册表启动项目中,虽然条目有很多,但是,全部都遵守这个结构:
【启动项目的详细注册表位置】
【启动项目的名称】【启动项目对应的文件的详细路径】【公司签名】
我们再来看个例子,大家对照着,看一下:
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon]
    <shell><Explorer.exe>  [(Verified)Microsoft Windows 2000 Publisher]

看完这两行,大家应该得到如下结论:
●此启动项目名称:Shell
●此启动项目对应文件: Explorer.exe
●此启动项目在注册表中对应的位置:HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon
●公司签名:Microsoft Windows 2000 Publisher
●是否经过SRE“验证”:是 (因为有Verified)

引用:
Microsoft Windows 2000 Publisher在这里不止是公司的名称。系统文件的版本信息中可见的公司名称,其实是Microsoft Corporation
然而对于系统文件,SREng可以显示更具体的细节,因此这里显示的是这样一个结果。可以发现,SREng2.5和2.6在这个地方显示的结果不同。

by 轩辕小聪 08.06.15

三。启动项目的“特例”
1. 咱们上面讲的,是标准的启动项目信息,有些文件的启动项目,稍微“拐了一个弯”,我们来看个例子,我再讲解:
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run]
<NvMediaCenter><RUNDLL32.EXE C:\WINNT\system32\NvMcTray.dll,NvTaskbarInit>  [NVIDIA Corporation]

这个启动项目,算是比较复杂的了,但还算是够常见,第一行,不解释了。。。。。。。主要解释第二行的中间:
<RUNDLL32.EXE C:\WINNT\system32\NvMcTray.dll,NvTaskbarInit>
和我们上面讲解的结构不同。这个启动项目,具有一层隐含意思。在windows中,DLL类型的文件(动态数据库链接文件),是不能自己独立运行的。它必须找“载体”来运行。在windows系统中,运行 DLL 类型的文件的载体,就是:Rundll32.exe。
所以,我们分析一下上面那行文件信息:RUNDLL32.EXE C:\WINNT\system32\NvMcTray.dll,NvTaskbarInit
意思就是:C:\WINNT\system32\NvMcTray.dll,这个真正的启动文件,正在依靠 RUNDLL32.EXE,这个程序,进行启动。
对于这种启动项目,在文件详细信息这里,其结构就发生了变化,变为:载体 主运行文件的详细位置。这个大家能理解就行了。
在windows系统中,载体,不止包括:rundll32.exe,常见的,还包括:svchost.exe,大家照猫画虎,应该可以想到的。

引用:
在这里更加正确和根本的解释是:
键值所显示的,是系统按此项启动时,执行的命令行。
因此这里说的实际上是命令行的构成。
这里其实是启动Rundll32.exe,把dll名和其他相应参数作为命令行(CommandLine)参数传递。

by 轩辕小聪 08.06.15


2. 在windows系统中,有一项及其特殊的启动项目,其名称为:AppInit_dlls
对于这个键值,正常的情况是:该项目的值,为空。也就是说,正常的电脑,这个启动项目,应该是这样的:
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Windows]
    <AppInit_DLLs><>  [N/A]

如果在一份报告中,此项的“文件信息”,这个位置,出现东西,则分两种情况考虑:
★被美化软件,修改
目前许多朋友,都喜欢通过美化软件,来美化系统。据我所知,有些高级美化软件,为了达到彻底美化系统的效果,会修改此键值,典型的软件:Windows Blinds
这款软件安装后,此项目的值被修改为:wbsys.sys。大家知道就行了。

注意: 此项注册表启动信息,绝对不能删除,只能在SRE中,双击-进入编辑模式,然后把里面的文件名称去掉,留为空值,就可以了。

★被病毒修改。
遇到上面的美化情况,可以问一下电脑的使用者,是否美化了系统,使用了什么美化软件。如果没有用,而且,此键值出现了文件信息,则中毒的几率非常大。比如下面的例子:
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Windows]
    <AppInit_DLLs><kamabas.dll>  [N/A]

如果这个启动项目,出现在报告中,必须要引起100000000000%的高度重视,必须看清是空值(即正常值),还是有其他信息。
判断方法: 看这个文件(如我的例子中的:kamabas.dll),是不是在报告的“正在运行的系统进程”,中,插入了大部分进程。如果是:则100%为病毒。(后面我会再次讲到的)

引用:
这里的说法比较笼统。
实际上,这一个键值显然不是为了病毒而存在的^-^
这个键值的作用,是每一个进程启动加载user32.dll的时候,会自动加载这个键值中保存的所有dll
美化软件就是使用这样的功能,对所有使用图形界面的程序的窗口进行改造。

只是为了能被所有加载user32.dll的进程加载,就可以使用这些项目,包括某些杀毒软件。

SREng对于此项非空的提示,并不表示一定是病毒造成的问题,应谨慎判断。

by 轩辕小聪 08.06.15



四。启动项目“通用正常启动信息”
对于windows XP 系统,在任何一台电脑上,都有如下启动信息,这些信息都是正常信息,看到后无须判断,直接精简掉:
1.[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Active Setup\Installed Components\>{26923b43-4d38-484f-9b9e-de460746276c}]
<Internet Explorer><%systemroot%\system32\shmgrate.exe OCInstallUserConfigIE> [N/A]
2.[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Active Setup\Installed Components\>{881dd1c5-3dcf-431b-b061-f3f88e8be88a}]
<Outlook Express><%systemroot%\system32\shmgrate.exe OCInstallUserConfigOE> [N/A]
3.[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Active Setup\Installed Components\{2C7339CF-2B09-4501-B3F3-F3508C9228ED}]
<Themes Setup><%SystemRoot%\system32\regsvr32.exe /s /n /i:/UserInstall %SystemRoot%\system32\themeui.dll> [N/A]
4.[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Active Setup\Installed Components\{44BBA840-CC51-11CF-AAFA-00AA00B6015C}]
<Microsoft Outlook Express 6><"%ProgramFiles%\Outlook Express\setup50.exe" /APP:OE /CALLER:WINNT /user /install> [N/A]
5.[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Active Setup\Installed Components\{44BBA842-CC51-11CF-AAFA-00AA00B6015B}]
<NetMeeting 3.01><rundll32.exe advpack.dll,LaunchINFSection C:\WINDOWS\INF\msnetmtg.inf,NetMtg.Install.PerUser.NT> [(Verified)Microsoft Windows Publisher]
6.[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Active Setup\Installed Components\{5945c046-1e7d-11d1-bc44-00c04fd912be}]
<Windows Messenger 4.7><rundll32.exe advpack.dll,LaunchINFSection C:\WINDOWS\INF\msmsgs.inf,BLC.QuietInstall.PerUser> [(Verified)Microsoft Windows Publisher]
7.[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Active Setup\Installed Components\{6BF52A52-394A-11d3-B153-00C04F79FAA6}]
<Microsoft Windows Media Player><rundll32.exe advpack.dll,LaunchINFSection C:\WINDOWS\INF\wmp11.inf,PerUserStub> [(Verified)Microsoft Windows Component Publisher]
8.[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Active Setup\Installed Components\{7790769C-0471-11d2-AF11-00C04FA35D02}]
<通讯簿 6><"%ProgramFiles%\Outlook Express\setup50.exe" /APP:WAB /CALLER:WINNT /user /install> [N/A]
9.<PHIME2002A><; C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.EXE /IMEName>  [N/A]
10.<PHIME2002ASync><; C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.EXE /SYNC>  [N/A]
11.<IMJPMIG8.1><; "C:\WINDOWS\IME\imjp8_1\IMJPMIG.EXE" /Spoil /RemAdvDef /Migration32>  [(Verified)Microsoft Windows Publisher]

引用:
在这里原作者没有很好的解释(或许他自己也不太清楚)这一项目的作用,可能导致有些读者因此认为Installed Components项目的检测是“鸡肋”。
在此可以告诉大家,全然不是这样,这个项目是我们当时极力向smallfrogs建议加入的项目。
虽然在大部分情况下这个项目下不会存在异常,然而这个项目仍然作为一个可以启动的位置,而且是相比之下极为隐蔽的位置,彩虹桥等木马就曾藏身于此,特别因为此木马是远程注入无进程的,因此一段时间内甚难以发现其踪迹。因此此项绝非虚设。

by 轩辕小聪 08.06.15


五。关于 IFEO,在此项目中的反映。
请提前参考:IFEO技术介绍:http://nkevin.blog.163.com/blog/static/448194812007818115139284/
在SRE报告的——注册表启动项目中,如果出现:
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options]
则证明有IFEO,劫持情况出现,这种情况,我在以前的日志写过了,根据下面的文件信息,挑出病毒文件。留着后面删除。最后,用System Detector,这个软件,一键修复即可。举例,大家看一下,是这样的:
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\AppSvc32.exe]
    <IFEO[AppSvc32.exe]><C:\Program Files\Common Files\Microsoft Shared\addslta.exe>  []
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\ArSwp.exe]
    <IFEO[ArSwp.exe]><C:\Program Files\Common Files\Microsoft Shared\addslta.exe>  []
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\AST.exe]
    <IFEO[AST.exe]><C:\Program Files\Common Files\Microsoft Shared\addslta.exe>  []
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\autoruns.exe]
    <IFEO[autoruns.exe]><C:\Program Files\Common Files\Microsoft Shared\addslta.exe>  []
典型的IFEO类病毒,参考的SRE报告:http://nkevin.blog.163.com/blog/static/4481948120078299324191/
(大部分安全类软件,都被“IFEO”了)
我简单解释一下“第二行”:
<IFEO[autoruns.exe]>:意思是,利用IFEO技术,劫持正常的文件名为:autoruns.exe 的文件。
<C:\Program Files\Common Files\Microsoft Shared\addslta.exe>:这个就是劫持的主体了,文件名可以看出来吧?
说白了,上面的最后2行,意思就是:当碰到autoruns.exe这个文件的时候,则改为执行:addslta.exe,这个文件。。。。

引用:
准确地来说,是当被IFEO劫持的程序执行时,系统转而调用目标程序,并把被IFEO劫持程序执行时的完整命令行作为命令行参数加在后面进行传递。
因此当被IFEO劫持程序与目标程序是同一个时,将导致此过程不停地循环,最终使命令行长度超过系统限制而使操作失败。

by 轩辕小聪 08.06.15


六。如何挑选,区分正常,和不正常的启动项目。
1.正常的系统文件,在不正常的文件位置。(正常的位置,相似的名称)
这个,就需要看报告的人自己去掌握,必须要时刻牢记,windows常见进程,对应的文件名称,位置!我举个例子,大家看一下:
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run]
<svchost><C:\windows\system32\drivers\svchost.exe>  [Microsoft Corporation]
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run]
<svhcost><C:\windows\system32\svhcost.exe>  [Microsoft Corporation]
这两个启动项目,是正常的?还是不正常的?这里我就不说了,留给大家,思考一下吧~
2.看公司签名
95%的病毒,其病毒文件,都是没有公司签名的,对于没有公司签名的文件,在SRE报告中,其公司名处。显示为:[],或者[N/A]。
在看报告的时候,特别留心,公司签名是这种的。例如:
<WinSysM><C:\WINDOWS\192896M.exe> [N/A]
<LotusHlp><C:\WINDOWS\LotusHlp.exe> []
<WinSysW><C:\WINDOWS\192896L.exe> [N/A]
当然,剩下的5%,意思就是:也有伪装签名的病毒文件存在噢!这个,就得靠大家的细心了。
3.善用搜索引擎
有些比较“偏”的软件,虽然是正常的文件,但也没有公司签名。这种情况,还不在少数。因此,一定要善用搜索引擎,直接搜索,启动的文件,比如 abc.exe, abc.dll等等。
例子:<kav><; "C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus 6.0\avp.exe">  [N/A]
稍微有点电脑知识的人,应该能看出这个启动项目是什么吧?郁闷不?公司名,居然是[N/A]。。。。。。搞不懂卡巴公司在搞什么。。。
4. 学会积累,总结
每看一份报告,都要知道,这个电脑,安装了哪些软件,他们有哪些的(正常)进程。这个过程,不是教出来的,只能是自己积累出来的。

行了,第一讲,就写这么多了。今天头有点疼,可能有些我想不到的地方。上面这些,应该涵盖了90%以上的知识了。需要大家慢慢理解和消化。想学看报告,必须就要“多看报告”,至于报告的来源,我推荐瑞星卡卡助手论坛:http://forum.ikaka.com/
这里面,有N多报告,提供给大家看的。刚开始的时候,看报告不要心急,逐行查验,别闲麻烦。我刚开始学看的时候,都是逐个字母的看。看的多了,积累的多了。就会很快的。
下次,我继续往后写,关于 SRE报告中: 服务 这个项目。

用户系统信息:Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1; MAXTHON 2.0)
本帖被评分 2 次
最后编辑天月来了 最后编辑于 2008-06-15 09:17:56
不认识我没关系,因为我也不认识你。
分享到:
gototop
 

回复:【转贴】学看 SRE 报告

【原创连载】学看 SRE 报告 ———— 第二讲

继续第一讲的内容,这次讲解: 服务
一。“服务”在SRE报告中显示的结构
我们还是随便拿个例子说明:
[NOD32 Kernel Service / NOD32krn][Running/Auto Start]
  <"C:\Program Files\Eset\nod32krn.exe"><Eset>

第一行,分两部分:
1. [NOD32 Kernel Service / NOD32krn],代表:该项服务的名称
◆NOD32 Kernel Service,为服务的全称
◆NOD32krn,为服务的简称
2. [Running/Auto Start],代表:该服务的运行状态,对应几个英文,我分别说明:
◆Running,正在运行
◆Auto Start,自动启动
◆Manual Start,手动启动
◆Disable,禁用
◆Stopped:(目前是)停止
对于服务的运行状态,我们不需要特别关注,对于杀毒操作,我们要删除一项服务的时候,无须区分他们的运行状态。
第二行,也分两部分:
1.<"C:\Program Files\Eset\nod32krn.exe">,服务对应的文件的详细位置和名称
2.<Eset>,服务的公司签名
和讲注册表的时候一样,给个例子帮大家分析:
[NVIDIA Display Driver Service / NVSvc][Stopped/Manual Start]
  <C:\WINDOWS\system32\nvsvc32.exe><NVIDIA Corporation>

●该项服务的名称:(全称)NVIDIA Display Driver Service 或 (简称)NVSvc
●运行状态:目前停止/手动启动
●对应的文件及路径:C:\WINDOWS\system32\nvsvc32.exe
●公司:NVIDIA Corporation

引用:
这里对几个概念的解释有点欠标准。
原文提到的“简称”,实际上才是真正的“服务名”(也是注册表中该服务项的真正名称),而这里提到的“全称”,实际上是“显示名”(该服务项的DisplayName键值)。“显示名”只是为了方便用户理解该服务的意义和作用,在系统对服务的实际操作中,如相应的API调用中,“显示名”并没有实质性意义。
所谓“对应的文件及路径”,这里依然应该被称为“映像路径”(ImagePath键值),与启动项类似,这里仍然是服务启动时执行的命令行(CommandLine)。

by 轩辕小聪 08.06.15


二。特例(服务)
和第一讲的注册表启动项目特例类似的,举例大家看:
[Workstation / lanmanworkstation][Running/Auto Start]
  <C:\WINDOWS\system32\svchost.exe -k netsvcs-->%SystemRoot%\System32\wkssvc.dll><Microsoft Corporation>

如果大家在第一讲中理解了,那么这个应该很容易明白。同样,具有“隐含意思”
意思为:wkssvc.dll,这个真正的启动文件,正在由 C:\WINDOWS\system32\svchost.exe 程序加载执行。这种情况下,前者(这里的svchost.exe),都是正常的文件,我们在杀毒时候,不需要考虑它。而真正要查看,判断,甚至删除的,是后者(这里的:wkssvc.dll)!
三。已知正常的特例服务
下面2个,很常见的,但是没有微软签名,提前告诉大家,他们是正常的:
1. [Human Intexxxce Device Access / HidServ][Stopped/Disabled]
  <C:\WINDOWS\System32\svchost.exe -k netsvcs-->%SystemRoot%\System32\hidserv.dll><N/A>

2. [Help and Support / helpsvc][Stopped/Disabled]
  <C:\windows\System32\svchost.exe -k netsvcs-->%WINDIR%\PCHealth\HelpCtr\Binaries\pchsvc.dll><N/A>

四。服务的判断方法
1.看公司签名
这个和注册表启动项的看法一样了,特别注意没有公司签名,即显示为:<>或者<N/A>的服务项目!
2.不该添加服务的,正常项目,在SRE报告中出现
大家都知道,SRE中有个功能,可以“屏蔽,隐藏”,已经验证过的微软服务。(操作不说了,以前在SRE删除服务的帖子,写过了)
SRE在做报告的时候,只对:非windows正常服务,做报告,显示出来。也就是说:自动隐藏正常的,经过验证的windows服务。
有些病毒,就是利用正常的windows用户名,添加服务。但是,它们始终逃不过SRE的“眼睛”,别作为:非windows正常服务,在报告中列出来。
举2个例子,大家看一下:
[286EE121 / 286EE121][Stopped/Auto Start]
<C:\WINDOWS\system32\792405C6.EXE -k><>

无公司签名,名称“乱七八糟”,应该没人见过这种“在Syste32文件夹下的“正常系统文件吧”!
[svchost / svchost][Stopped/Auto Start]
<C:\WINDOWS\system32\dllcache\svchost.exe -g><Microsoft Corporation>

文件名上看,是正常的svchost,但是,看位置,这个文件,跑哪里去了?????正常的该在哪里???我不说了,大家应该明白了。而且,此病毒,伪造了微软签名喔!
[Yahoo Service / YahooSvr][Running/Auto Start]
<C:\WINDOWS\system32\E312F\svchost.exe><>

先看名字:Yahoo???都认识吧~别着急,往后看,
服务文件名:svchost.exe,正常的??
看路径:C:\WINDOWS\system32\E312F\ 。。。。。。。。。。。。还用解释么?跑哪里去了?
3.善于搜索引擎
这个不说了,你可以直接用服务的“全称或者简称”,来搜索。也可以用服务对应的文件名称来搜索。
4.谨防冒充“微软签名的”
上面例子说过了,目前有些病毒,开始伪造微软签名了,即:公司名是:<Microsoft Corporation>,所以,提醒大家,不要看到是MS的签名,就过去了。要从名称,位置,来综合判断!

总结,相比注册表启动项目,服务,算是比较好“看”的了。关键还是在于积累。每台电脑,都或多或少的,有些重复的启动项目。随便去网上找2份报告,如果一个服务,在2份报告中都出现,那么,它基本上就是正常的服务了。要学会善于对比。
最后编辑魔法学徒 最后编辑于 2008-06-15 08:49:43
不认识我没关系,因为我也不认识你。
gototop
 

回复:【转贴】学看 SRE 报告

【原创连载】学看 SRE 报告 ———— 第三讲

[折叠]
一。驱动 的重要性
驱动文件,对于任何一台电脑,都具有“最高等级”的重要性,在查毒,杀毒的过程中,必须给予最高程度的重视!
windows正常的驱动文件,为:*.sys,类型的文件,位于:c:\windows\system32\drivers ,这个文件夹下面。当然,病毒文件,如果创建驱动的话,也会向这里写入信息。这就给我们判断病毒,带来了难度
无论你的电脑水平有多“高”,我个人都不建议你主观臆断!对于怀疑是病毒的驱动文件,即我们这次后面会提到的:*.sys文件,一律采用:先备份 - 后删除的方法。
即:如果一台电脑,根据SRE报告,怀疑有多处病毒驱动文件,则采用:雨林木风PE工具箱,在PE系统,先行把病毒文件,移动到随意一个位置。这样,原来的驱动,就不能运行了。其他病毒文件删除后,最后解决驱动文件。这样最保险!不要主观判断某个驱动文件,一定是病毒!
二。SRE报告中,驱动 的结构
驱动文件的显示结构,和 服务,完全相同。也是符合如下结构:
【全称/简称】【运行状态】
【驱动项目对应的文件的详细位置】【公司签名】
例子:
[Microsoft Kernel Acoustic Echo Canceller / aec][Stopped/Manual Start]
  <system32\drivers\aec.sys><Microsoft Corporation>

这里我就不再详细说明了。
三。判断方法
1.字母数字组合(项目名称,或者文件名称)
现在很多病毒,自身创建的病毒文件(也包括第二讲里面提到的服务的文件),都是 没有“组合规律”的,即:乱七八糟的数字组合,乱七八糟的字母组合,以及:乱七八糟的 字母+数字组合。
这种例子,已经很多了,如果,再加上此项目没有公司签名,则可以 90%断定:是病毒创建的驱动项目。
对于这种项目,我个人还是建议 先备份-再删除。因为我以前遇到过“例外”。
例子:
[maojrdkc / maojrdkc][Running/Boot Start]
<\SystemRoot\\SystemRoot\System32\drivers\maojrdkc.sys><N/A>

[o1394bul / o1394bul][Stopped/Manual Start]
<\??\C:\DOCUME~1\WHATHA~1\LOCALS~1\Temp\o1394bul.sys><N/A>

[R2A / R2A][Stopped/Disabled]
<\??\C:\WINDOWS\system32a2.sys><N/A>

这3个,都是符合我说的这条规律,积累的多了,自然就懂了。
2. 例外,在驱动中,和服务一样,也有个例外的,没有经过微软签名的正常驱动项目:
[Secdrv / Secdrv][Stopped/Manual Start]
  <system32\DRIVERS\secdrv.sys><N/A>


驱动文件,在SRE报告的全部13项中,是最难判断的,刚接触SRE报告的朋友,我建议这部分不要着急,要多看报告,总结,积累,常见的,正常的驱动文件,比如杀毒软件的,防火墙的,常见软件的。希望大家不要随意拿“驱动文件”开刀!
最后编辑豪斯登堡新郎 最后编辑于 2008-05-12 23:29:08
不认识我没关系,因为我也不认识你。
gototop
 

回复:【转贴】学看 SRE 报告

【原创连载】学看 SRE 报告 ———— 第四讲

[折叠]
一。浏览器加载项结构
还是以例子来说明:
[ThunderAtOnce Class]
  {01443AEC-0FD1-40fd-9C87-E93D1494C233} <d:\Program Files\Thunder\ComDlls\TDAtOnce_Now.dll, Thunder Networking Technologies,LTD>
●[ThunderAtOnce Class]: 该加载项名称
●{01443AEC-0FD1-40fd-9C87-E93D1494C233}:在注册表中的名称
●<d:\Program Files\Thunder\ComDlls\TDAtOnce_Now.dll, Thunder Networking Technologies,LTD>:对应文件的完整位置 + 公司签名
二。判断方法
很少有病毒会涉及到这个项目,倒是流氓软件,100%绝对会在这里创建键值。
1.加载项名称 ,这里。特别需要注意的是:如果有 [],这样的加载项,则代表该项键值有问题,当然,不能就此断定是病毒创建的。至少,有一点可以保证,对于IE浏览网页,它是绝对没用的。
2.公司签名
这个说过很多次了,没公司签名的,或者为 N/A 的,需要仔细查验其对应文件的详细路径。一般通过路径,就能判断出是否是病毒文件。
[雅虎助手]
  {5D73EE86-05F1-49ed-B850-E423120EC338} <http://cn.zs.yahoo.com/start.htm?source=yzs_icon&btn=yassistnew, N/A>
万人皆知的流氓了,自己都懒着给自己的文件,做公司签名,要来有何用?
[使用迅雷下载]
  <d:\Program Files\Thunder\Program\geturl.htm, N/A>
连迅雷,都犯懒,不做签名。。。。。。通过路径,应该能看出是迅雷吧?Thunder~

引用:
这个说法有误。浏览器加载项是一个很综合的项目,包括BHO,ActiveX插件,浏览器工具栏等多个项目,在SREng的界面中可以看到明显的说明。
这些项目中,不仅仅有dll类型的加载PE文件(BHO或ActiveX项目),也有工具栏附加按钮,浏览器的右键菜单项目等等,特别是后两者,经常是一些网页链接。
显然这里就是两个网页链接,目标是雅虎的一个网页,以及迅雷保存在本机的一个网页(作为迅雷的组件,当你右键点“使用迅雷下载”时,浏览器后台运行了这个网页)。网页链接不是可执行文件,当然就没有数字签名,这不是人家公司不做签名,而是压根就不需要做,也没法做得上去!

by 轩辕小聪 08.06.15


浏览器加载项这里,几乎不会有什么问题,多看报告,积累总结出windows常见的,正常的浏览器加载项,就行了。除了windows自带的,基本上95%都是流氓软件的加载项了。

流氓软件,在手工杀毒的过程中,可以忽略不管。毕竟,它不算真正意义上的病毒。但是,如果作报告的电脑,出现:某个网页,无法访问,或者修复了winsock后,仍不能访问网页,则需要从浏览器加载项入手考虑了。
最后编辑魔法学徒 最后编辑于 2008-06-15 08:50:46
不认识我没关系,因为我也不认识你。
gototop
 

回复:【转贴】学看 SRE 报告

【原创连载】学看 SRE 报告 ———— 第五讲

[折叠]
一."正在运行的进程"结构说明
这部分,在SRE报告中,比重是最大的,其实,说白了,就是列出电脑当前运行的所有程序的进程信息,包括各自的模块(包括哪些同时运行,或者程序调用的DLL文件等)信息.
为了减少看报告的工作量,提高效率.我们建议,在做报告之前,应该尽量关闭windows系统第三方的程序,比如QQ,IE,千千等等.尽量做到:只保留windows自身的进程.这样有助于我们更快速的判断,大家不用担心,关闭第三方程序,不会对查毒产生负面影响.
还是拿例子说明:
[PID: 664 / Administrator][C:\KAV2007\KAVStart.exe]  [Kingsoft Corporation, 2007, 9, 28, 295]
    [C:\windows\system32\MFC71.DLL]  [Microsoft Corporation, 7.10.3077.0]
    [C:\windows\system32\MSVCR71.dll]  [Microsoft Corporation, 7.10.3052.4]
    [C:\windows\system32\MSVCP71.dll]  [Microsoft Corporation, 7.10.3077.0]
    [C:\windows\system32\MFC71CHS.DLL]  [Microsoft Corporation, 7.10.3077.0]
    [C:\KAV2007\KMailOEBand.DLL]  [Kingsoft Corporation, 2006, 12, 1, 139]
    [C:\KAV2007\SvcTimer.DLL]  [Kingsoft Corporation, 2006.12.22.84]
    [C:\KAV2007\KAVPassp.dll]  [Kingsoft Corporation, 2006, 12, 30, 271]
    [C:\KAV2007\PopSprt3.dll]  [Kingsoft Corporation, 2007, 3, 20, 48]
    [C:\KAV2007\KASocket.dll]  [Kingsoft Corporation, 2007, 3, 18, 241]

第一行分三部分:
1. [PID: 664 / Administrator]: PID值是指此进程在系统中的"数字标识",它是唯一的.这个项目对于我们查毒杀毒没什么意义,大家知道就行了.后面,是创建此进程的用户名.
2. [C:\KAV2007\KAVStart.exe]: 这个是该进程所运行的文件的详细位置.
3. [Kingsoft Corporation, 2007, 9, 28, 295]: 该进程对应文件的公司签名,文件的版本信息.
下面的"相对第一行有缩进"行,是逐行列出了该进程,同时调用了哪些文件,也就是专业术语上称的:模块信息.我随便挑取一行说明:
[C:\KAV2007\SvcTimer.DLL] 
1. [C:\KAV2007\SvcTimer.DLL]: 该模块对应文件的详细路径及名称
2. [Kingsoft Corporation, 2006.12.22.84]: 模块的公司名称,文件的版本信息
当然,也存在只有一个运行文件,而没有"模块"信息的进程存在,例如:
[PID: 1468 / SYSTEM][C:\windows\system32\spoolsv.exe]  [Microsoft Corporation, 5.1.2600.2696 (xpsp_sp2_gdr.050610-1519)]
和上面的例子相比,最后多了一部分: (xpsp_sp2_gdr.050610-1519)
SRE对于windows自身的部分程序,在检测的时候,都会附带出"XP系统的版本信息",比如我们上面的:spoolsv.exe(打印机服务),Explorer.EXE,services.exe等.
和以前的各块内容不同,在"正在运行的进程"这部分,SRE加入了"文件版本信息"的内容,这个信息,对于我们判断病毒,起到了很大的作用.一定不能忽略它!
二.判断方法
1. 优先注意,公司前面为: N/A 的文件
这部分不解释了,只给出一个例外: [C:\Program Files\WinRAR\rarext.dll]  [N/A, ]
大家最常用的WinRAR的文件,无公司前面,连文件版本信息都没有^^^^够郁闷的..........但是是正常的喔!
2.看进程文件的版本,模块文件的版本
目前大部分病毒,虽然会伪造公司前面,但无一例外的,在文件版本上,都没有"下功夫",所以,我们在判断的时候,可以优先注意: 无文件/模块,版本信息的文件.
3.凡是标有XP版本信息的文件,一律为正常的系统文件.如:
[C:\windows\system32\msacm32.drv]  [Microsoft Corporation, 5.1.2600.0 (xpclient.010817-1148)]
4.注意报告的整体"联系"
其实,70%的SRE报告,在"注册表启动信息","服务",里面,就基本能挑出90%的病毒文件了.所以到了进程这里,要善于查看"上下文"关系.一般在注册表启动项目里面,罗列出的病毒文件.都会在进程中有所反映(做为模块反映出来的,比较多).
5. 同一个DLL类型文件,同时做为模块,插入大部分进程,且,该DLL文件,无公司前面,或者有签名,没文件版本信息.例如:
[PID: 560 / SYSTEM][C:\WINDOWS\system32\services.exe]  [Microsoft Corporation, 5.1.2600.0 (xpclient.010817-1148)]
    [C:\WINDOWS\system32\sidjezy.dll]  [N/A, ]
[PID: 572 / SYSTEM][C:\WINDOWS\system32\lsass.exe]  [Microsoft Corporation, 5.1.2600.1106 (xpsp1.020828-1920)]
    [C:\WINDOWS\system32\sidjezy.dll]  [N/A, ]
[PID: 748 / SYSTEM][C:\WINDOWS\system32\svchost.exe]  [Microsoft Corporation, 5.1.2600.0 (xpclient.010817-1148)]
    [C:\WINDOWS\system32\sidjezy.dll]  [N/A, ]

三.关于AppInit_DLLs
这个东西,我们第一讲就着重提到了,我在这里再说一次.
前面说过,此键值如果不为空,则分为"美化和病毒"两种情况.美化不说了,我说病毒的情况
如果在"注册表启动信息"中,AppInit_DLLs得值,是一个DLL类型文件,而且,此文件,插入了多个"正在运行的进程"中.则此文件 99% 为病毒文件! 例子:
上面,注册表启动信息:
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Windows]
    <AppInit_DLLs><kvdxsjma.dll>  []

下面,正在运行的进程:
[PID: 1744 / GOKU][C:\WINDOWS\SOUNDMAN.EXE]  [Realtek Semiconductor Corp., 5.1.0.34]
    [C:\WINDOWS\System32\kvdxsjma.dll]  [N/A, ]

看清楚上面2行噢! C:\WINDOWS\SOUNDMAN.EXE,是正常的声卡文件.但下面的模块,可是被"病毒文件:kvdxsjma.dll"插入了.同样的:
[PID: 1948 / GOKU][C:\WINDOWS\System32\RUNDLL32.EXE]  [Microsoft Corporation, 5.1.2600.0 (xpclient.010817-1148)]
    [C:\WINDOWS\System32\kvdxsjma.dll]  [N/A, ]

这样的结构.......毫无疑问了,100%是病毒了.同时出现在Appinit和进程模块里面,而且无公司前面,无文件版本.

引用:
这个说法有点“循环论证”的感觉。
实际上,由于此项的功能(上面已经加了评论说明),在此项的dll文件几乎注定被大部分进程所加载(没有看到在其模块列表中的那些进程,并一定不是启动时不加载,而可能是加载之后该dll判断自身加载环境,对不需要加载的进程,则自动卸载了)

因此,这个现象严格来说并不能更加佐证该dll是病毒的推论,还是应该依照文件路径、数字签名信息等诸多方面综合判断。

by 轩辕小聪 08.06.15


四.总结
因为这部分是报告中,容量最大的部分,所以看起来确实需要花一段时间.一般就从公司签名,文件签名入手即可.大部分文件,只要看到公司签名和文件版本信息,就可以略过了.这样能节省时间.即便有漏掉的,只要前面,注册表,服务,驱动,3个项目清理的彻底.漏掉的文件,也成了"死的了".
最后编辑魔法学徒 最后编辑于 2008-06-15 08:51:48
不认识我没关系,因为我也不认识你。
gototop
 

回复:【转贴】学看 SRE 报告

【原创连载】学看 SRE 报告 ———— 第六讲

[折叠]
还剩下几个有共性的小项目.我一起写了,对于这几个项目,都是有普遍规律的.
一. 文件关联
90%的病毒,都必定会修改系统默认的文件关联.我们这里不需要理会.看都不用看.在手工杀毒最后,我们可以用SRE,修复一下就是了.
这部分不需要重视.

引用:
90%太多了,其实没有那么多。

而真正被病毒修改的文件关联,恰恰不是不需要理会,而是很需要理会。
如果病毒修改的是可执行文件如.exe、.scr、.com的文件关联,指向病毒程序本身,则当你打开任何一个以此为后缀的可执行文件,都会先运行病毒程序。
在删除的病毒程序之后,又没有恢复此键值的话,相应后缀的可执行文件将会打不开!

或者,当你删完了病毒的其他注册表启动项,却没有注意这一项,你得意洋洋地准备删除病毒文件,然而这时你双击打开任意一个相应后缀名的文件,则病毒再度被执行,你就前功尽弃了。

遇到这种情况,如.exe文件关联被劫持,可以把SREng的主程序后缀改为.scr或.com甚至.bat再运行。由于系统加载PE文件只看其PE结构,而不是文件名,因此以上关联只要有一个正常,改为相应后缀,就可以正常运行SREng,之后再修复文件关联。

所以文件关联并不能最后看,而往往要最先考虑!

by 轩辕小聪 08.06.15


二. Winsock 提供者
这部分有自身的判断标准,分两种情况.但有个总体的前提:
SRE在做报告的时候,是默认只列出"第三方"的winsock提供者.意思就是,凡是在报告中列出的,都不是windows自带的.
所以,一台干净的,正常的电脑,在SRE报告中,这部分应该是如下显示的:
==================================
Winsock 提供者
N/A
==================================
也就是"无(第三方)Winsock提供者".
我前面说的2种情况, 正常的"无",是第一种.第二种是: 安全类防御软件,会添加winsock,说实话,我现在都不明白,这些软件添加winsock干什么.最常见的,是: NOD32,这个杀毒软件添加的.这样:
NOD32 protected [MSAFD Tcpip [TCP/IP]]
    F:\WINDOWS\system32\imon.dll(Eset , NOD32 IMON - Internet scanning support)
NOD32 protected [MSAFD Tcpip [UDP/IP]]
    F:\WINDOWS\system32\imon.dll(Eset , NOD32 IMON - Internet scanning support)
NOD32 protected [MSAFD Tcpip [RAW/IP]]
    F:\WINDOWS\system32\imon.dll(Eset , NOD32 IMON - Internet scanning support)
NOD32 protected [RSVP UDP Service Provider]
    F:\WINDOWS\system32\imon.dll(Eset , NOD32 IMON - Internet scanning support)
NOD32 protected [RSVP TCP Service Provider]
    F:\WINDOWS\system32\imon.dll(Eset , NOD32 IMON - Internet scanning support)

对于这种情况,我个人建议,删除这些winsock项目,大家可以放心,即便删除它们,对浏览网页等操作,也是毫无影响的.类似的由安全软件添加的,还有:
DrwebSP.MSAFD Tcpip [TCP/IP]
    F:\WINDOWS\system32\DRWEBSP.DLL(Doctor Web, Ltd., Dr.Web Winsock Provider Hook)
DrwebSP.MSAFD Tcpip [UDP/IP]
    F:\WINDOWS\system32\DRWEBSP.DLL(Doctor Web, Ltd., Dr.Web Winsock Provider Hook)
DrwebSP.RSVP TCP Service Provider
    F:\WINDOWS\system32\DRWEBSP.DLL(Doctor Web, Ltd., Dr.Web Winsock Provider Hook)
DrwebSP.RSVP UDP Service Provider
    F:\WINDOWS\system32\DRWEBSP.DLL(Doctor Web, Ltd., Dr.Web Winsock Provider Hook)

不用管是什么软件添加的,如果电脑出现"能上QQ,不能开网页",或者二者都不行的情况,统一删除这些项目!对于杀毒软件添加的Winsock,其对应的DLL文件,不需要理会,删除项目就行了.

引用:
还原被正常应用软件修改的winsock供应者项目,或许不会导致上网不正常,但是会影响软件的功能。
安全软件这么做,是因为这一项是负责网络协议的,用自己的组件守住了这一项,有利于监控网络数据流。
第二种情况,则是上网验证的客户端,如TcpipDog.dll,如果恢复了那一项,那真的是用不了这个客户端,也就不能正常上网了。

因此,对于是正常软件占据此项的情况,恢复还是要谨慎。

by 轩辕小聪 08.06.15


三.Autorun.inf
这个没什么好解释的, 必须为空,也就是:
==========================
Autorun.inf
[N/A]
=========================

如果下面有东西,100%为病毒.
对于autorun.inf,以及病毒文件判断的方法,我简单说一下.典型的例子,是这样:
==================================
Autorun.inf
[C:\]
[AuToRuN]
open=soS.Exe
shell\open=打开(&O)
shelL\open\ComMand=soS.Exe
[D:\]
[AuToRuN]
open=soS.Exe
shell\open=打开(&O)
shelL\open\ComMand=soS.Exe
[E:\]
[AuToRuN]
open=soS.Exe
shell\open=打开(&O)
shelL\open\ComMand=soS.Exe
===============================

判断,大家可以照猫画虎,其实,不同的病毒,凡是创建autorun.inf的,只是最后那个"="后面的exe(或者其他的)文件名称不同.这里,从上面的例子中,可以得出如下结论:
该病毒在 [C:\],[D:\],[E:\],即 C,D,E,这3个分区下面,分别创建了:
1.Autorun.inf
2.soS.Exe
这2个文件.至于清理方法,分三种,
◆利用DOS命令行删除:
我原来写过了,大家可以参考这里:http://nkevin.blog.163.com/blog/static/4481948120071079529795
◆利用批处理文件删除:
批处理,
_________________________________________________________________________________________
cd\
c:
attrib -a -s -h -r *.inf
attrib -a -s -h -r snow.exe
del *.inf
del snow.exe
d:
attrib -a -s -h -r *.inf
attrib -a -s -h -r snow.exe
del *.inf
del snow.exe
e:
attrib -a -s -h -r *.inf
attrib -a -s -h -r snow.exe
del *.inf
del snow.exe
f:
attrib -a -s -h -r *.inf
attrib -a -s -h -r snow.exe
del *.inf
del snow.exe
h:
attrib -a -s -h -r *.inf
attrib -a -s -h -r snow.exe
del *.inf
del snow.exe

echo 如果至此未出现:找不到文件……则证明其他分区下病毒已经删除,请重启电脑,再次执行此程序,如果全是“找不到文件”,就证明彻底删除了。
pause
_________________________________________________________________________________________
就是2条横线中间的红色部分了,复制下来,然后把里面的  snow.exe,改为你判断出来的exe,或者其他文件,比如,根据我上面的例子,就应该改为: soS.Exe,然后保存为 bat格式,双击运行就可以了.

◆ 利用雨林木风PE系统,删除2个病毒文件
这个简单了,进入PE系统,就像XP下删文件一样简单...................
四.HOST 文件
HOST文件的作用,我这里不想解释了,网上解释太多了,不知道的,自己搜索一下就行了.
和winsock类似的,分2中情况:
1. 正常情况
正常情况下,该部分只有一行:
==================================
HOSTS 文件
127.0.0.1      localhost

==================================
2.目前,网上流传有一些工具,声称可以通过添加,修改HOSTS文件,来实现屏蔽恶意网站.因此,会添加些HOSTS项目.例如:
HOSTS 文件
***********************************
《电脑报》黑榜(R)恶意网址屏蔽文件
版本号:2007.11.12
***********************************
127.0.0.1 localhost
127.0.0.1 www.zzzz1.com
127.0.0.1 zzzz1.com
127.0.0.1 www.baidu345.com
127.0.0.1 baidu345.com
127.0.0.1 www.ttsou.cn
127.0.0.1 ttsou.cn
127.0.0.1 www.zhaomeimei.cn
127.0.0.1 www.511u.com
127.0.0.1www.37698.com
127.0.0.1 37698.com
127.0.0.1 www.2345.com
127.0.0.1 2345.com
127.0.0.1 www.hk0707.com
127.0.0.1 www.hk0909.com
127.0.0.1 www2.99vod.net

上门就是典型的例子了,是用来屏蔽恶意网站的,写在HOST文件里面,意思就是“让电脑禁止访问那些网站”,不过我个人倒是觉得没什么用。呵呵,这个自己看着办了。
对于HOSTS这个项目,无论一台电脑是什么情况,装的什么系统,都应该尽量保证其只有"默认的127.0.0.1      localhost"一行.剩下的,如果大家不知道怎么判断,都可以随意大胆的删除!
最后编辑魔法学徒 最后编辑于 2008-06-15 08:55:38
不认识我没关系,因为我也不认识你。
gototop
 

回复:【转贴】学看 SRE 报告

【原创连载】学看 SRE 报告 ———— 第七讲

[折叠]
最后剩下几项了.
一. 进程特权扫描
在windows系统中,有些软件,比如驱动程序,杀毒软件.需要"时时刻刻"运行.所以,它们对于其他普通软件,比如听歌的,QQ什么的(这些都随时会被关闭).具有更高的 进程特权.
说白了,它们更占CPU,为的是时刻监控等等功能.对于这些时时刻刻都需要运行的项目,SRE在报告中,称做:进程特权扫描
例子:
==================================
进程特权扫描
特殊特权被允许: SeDebugPrivilege [PID = 1744, C:\WINDOWS\SOUNDMAN.EXE]
特殊特权被允许: SeLoadDriverPrivilege [PID = 1744, C:\WINDOWS\SOUNDMAN.EXE]
特殊特权被允许: SeDebugPrivilege [PID = 1988, C:\WINDOWS\SYSTEM32\TXHMOU.EXE]
特殊特权被允许: SeLoadDriverPrivilege [PID = 1988, C:\WINDOWS\SYSTEM32\TXHMOU.EXE]
特殊特权被允许: SeLoadDriverPrivilege [PID = 1888, C:\WINDOWS\SYSTEM32\NVSVC32.EXE]
特殊特权被允许: SeDebugPrivilege [PID = 2156, C:\WINDOWS\SYSTEM32\1SVTH.EXE]
特殊特权被允许: SeLoadDriverPrivilege [PID = 2156, C:\WINDOWS\SYSTEM32\1SVTH.EXE]
特殊特权被允许: SeDebugPrivilege [PID = 3976, D:\聊天工具\TENCENT\QQ\QQ.EXE]
特殊特权被允许: SeLoadDriverPrivilege [PID = 3976, D:\聊天工具\TENCENT\QQ\QQ.EXE]
==================================
这里没什么好解释的,结构我不想说了,我们在判断的时候,只能是根据列出的文件的详细路径和名称.来判断是否正常.
可以结合前面判断出来的病毒文件来判断.大家想想就能明白,病毒,它也是要时时刻刻运行的,所以,肯定会在"进程特权"里面出现.如果这里出现了,你前面判断出的病毒,那么,无疑坚定了你的判断.比如上面的例子,有问题的:
C:\WINDOWS\SYSTEM32\TXHMOU.EXE
C:\WINDOWS\SYSTEM32\1SVTH.EXE
具体这两个是什么,就得从前面去判断了,凡是在这里出现的,肯定在"正在运行的服务"里面有反映.去那里找吧,看看公司签名,版本.

引用:
原作者应该好好看看Privilege到底是什么。权限令牌是程序执行相应操作所需要的。如对系统进程进行内存读取(有时仅仅是为了遍历进程,得到其映像文件名,要对目标进程的PEB进行读取)需要SeDebugPrivilege权限,用程序调用ExitWindowsEx关闭或重启计算机需要SeShutdownPrivilege等等,如果没有相应权限,相应操作就会被系统阻止。

by 轩辕小聪 08.06.15



二.API HOOK
HOOK,意思为"挂钩,劫持".但它不一定是恶意的.相反,现在的病毒,恶意的进行:APT HOOK,倒是很少.
在这个项目里面,最容易出现的,是杀毒软件,杀毒软件为了从更深的层次监控电脑,保护电脑,就会修改此处.目的,大家应该明白了.
对于一台正常的电脑,这项应该是 N/A,如果有值,可以根据路径判断,一般,95%的情况,都是杀毒软件搞的"鬼",比如:
API HOOK
入口点错误:LoadLibraryExW (危险等级: 高,  被下面模块所HOOK: C:\KAV2007\KASocket.dll)
金山 2007的HOOK了~其实这个没什么的,大家不必大惊小怪.被杀毒软件HOOK,是最正常的事情了,我们不必理会.

特例:
API HOOK
RVA  错误: LoadLibraryA (危险等级: 高,  被下面模块所HOOK: \??\C:\WINDOWS\system32\drivers\klif.sys)
RVA  错误: LoadLibraryExA (危险等级: 高,  被下面模块所HOOK: \??\C:\WINDOWS\system32\drivers\klif.sys)
RVA  错误: LoadLibraryExW (危险等级: 高,  被下面模块所HOOK: \??\C:\WINDOWS\system32\drivers\klif.sys)
RVA  错误: LoadLibraryW (危险等级: 高,  被下面模块所HOOK: \??\C:\WINDOWS\system32\drivers\klif.sys)
RVA  错误: GetProcAddress (危险等级: 高,  被下面模块所HOOK: \??\C:\WINDOWS\system32\drivers\klif.sys)
C:\WINDOWS\system32\drivers\klif.sys 为卡巴斯基杀毒软件,用于 HOOK的文件!大家记住就行了.
三.隐藏进程
一般情况下,都是 N/A, 如果有值,分两种情况考虑:
1.杀毒软件
有一部分杀毒软件,为了保护自身不被病毒干掉,创建了 隐藏进程,典型的就是江民杀毒.如果一台电脑装有江民,在这里可能会出现.根据路径判断就行了. 比如 C:\KV\..........类似的.
2.Internet Explorer.exe
如果出现此隐藏进程,则必定电脑里面存在木马! 典型的灰鸽子,就是这样,中毒后,创建隐藏的 IE进程.但是,这个项目里面,不会列出病毒文件.只能从上面去查.

引用:
不是Internet Explorer.exe,而是iexplore.exe

by 轩辕小聪 08.06.15



行了,SRE报告的学习教程,就到此为止了. 我前面写过一篇相关的: SRE报告,已知不成文规律总结,在这里:
http://nkevin.blog.163.com/blog/static/448194812007114103149432
列出了已经发现的,看报告的一些规律,大家可以参考.
如果遇到什么问题,可以去我的群里找我, 群号: 35065646

休息一下了,晚上会找个比较全面的实例,教大家根据报告,挑选病毒,(总结)给出解决办法.
最后编辑魔法学徒 最后编辑于 2008-06-15 08:57:58
不认识我没关系,因为我也不认识你。
gototop
 

回复:【转贴】学看 SRE 报告

【原创】S.R.E使用介绍————善用其他修复项目

[折叠]
在前面的2篇文章里,我分别介绍了S.R.E两个最基本的功能:报告制作功能 和 服务管理功能。除了这两个最重量级功能,还有一些附带的小功能,今天一起介绍了。这些功能统一集中在:S.R.E的“系统修复”里面。我分别介绍。
一. 用S.R.E 修复文件关联
现在无论病毒有多“大”,甚至是网页的恶意脚本,都喜欢修改系统最宝贵,最关键的“文件关联”,所以.S.R.E特别集成了修复功能。看图,点击“修复”就行了。



二. 修复HOSTS文件(引用:http://www.pconline.com.cn/pcjob/system/microsoft/article/0412/512360.html
很多用户都知道在Window系统中有个Hosts文件(没有后缀名),在Windows98系统下该文件在Windows目录,在Windows2000/XP系统中位于C:\Winnt\System32\Drivers\Etc 目录中。该文件其实是一个纯文本的文件,用普通的文本编辑软件如记事本等都能打开。那在具体使用中它有哪些作用呢?
    1、加快域名解析
    对于要经常访问的网站,我们可以通过在Hosts中配置域名和IP的映射关系,这样当我们输入域名计算机就能很快解析出IP,而不用请求网络上的DNS服务器。
    2、方便局域网用户
    在很多单位的局域网中,会有服务器提供给用户使用。但由于局域网中一般很少架设DNS服务器,访问这些服务要输入难记的IP地址,对不少人来说相当麻烦。现在可以分别给这些服务器取个容易记住的名字,然后在Hosts中建立IP映射,这样以后访问的时候我们输入这个服务器的名字就行了。
    3、屏蔽网站
    现在有很多网站不经过用户同意就将各种各样的插件安装到你的计算机中,有些说不定就是木马或病毒。对于这些网站我们可以利用Hosts把该网站的域名映射到错误的IP或自己计算机的IP,这样就不用访问了。我们在Hosts写上以下内容:
    127.0.0.1#屏蔽的网站
0.0.0.0#屏蔽的网站
    这样计算机解析域名就解析到本机或错误的IP,达到了屏蔽的目的。
    4、顺利连接系统
    对于Lotus的服务器和一些数据库服务器,在访问时如果直接输入IP地址那是不能访问的,只能输入服务器名才能访问。那么我们配置好Hosts文件,这样输入服务器名就能顺利连接了。
    最后要指出的是,Hosts文件配置的映射是静态的,如果网络上的计算机更改了请及时更新IP地址,否则将不能访问。

有一部分病毒,通过修改HOSTS文件,添加网址,来达到“屏蔽该网站”的作用。因此,我们需要进行修复。在S.RE.里面,点击:系统修复-HOSTS文件。就能查看,如图:


请大家牢记,无论什么情况,HOSTS文件,都只有唯一的一行,就是:127.0.0.1      localhost。如果它下面有东西,肯定是有问题的(即便不是病毒创建的,也是没用处的!)

引用:
这个说法实在太武断了。
某些高校(如中山大学)提供给校内用户使用的赛门铁克网络版杀毒软件,就在hosts文件中加入了指向学校升级服务器的项目,软件升级时通过这一项目就可以正确连接到学校的升级服务器。一旦删除此项目,就可以造成升级失败等问题。

by 轩辕小聪 08.06.15


我们可以选中下面的行,然后点击“删除”,就行了。记得,都删除完了,要点击“保存”!否则S.R.E退出的时候会提示:HOSTS文件的修改,没有保存!

三. Winsock 修复
最近刚解决过一个问题,ADSL上网,连接拨号正常,QQ可以上网聊天,但是打不开网页,换浏览器也不行。在排除了防火墙限制的前提下,发现该电脑中过病毒,而且尚未清理。那么,病毒会不会导致不能浏览网页呢???答案是肯定的,病毒阻止用户浏览网页的方法,就是添加:Winsock项目。在S.R.E里,我们可以查看/管理 Winsock项目。默认的,系统自带的正常的winsock项目,在S.R.E里面,都是“灰色”显示的,如图:



如果里面有其他的,会显示为加亮的黑色。我图里的2个,就是典型的,被病毒修改,添加的winsock项目!这时候,选中该项,删除,就行了。目前看来,有大部分病毒都喜欢修改winsock,来阻止用户正常浏览网页。我前天做售后服务,解决的就是这个问题。即便没彻底删除病毒,只要删除了黑色的winsock项目,就能正常看网页了。
四. 管理启动项目
在S.R.E里面,启动项目,是一个大项目,里面包括:注册表,启动组,服务等等。在这里,我讲的是管理启动项目中的注册表项目,如图:

在S.R.E里面,每个启动项目,都列出了详细的路径,大家可以根据路径,判断是否为病毒文件的启动项,或者,是自己不需要的启动项目,进而点击“删除”按钮,来删除。
PS:启动项目过多,会导致windows启动速度变慢,这个是众所周知的了,所以希望大家时常清理一下。以保证windows系统运行的流畅性

行了。S.R.E这款杀毒辅助软件的功能,就这些了。当然,它还有其他的小功能,比如管理IE浏览器加载项,不过没什么用处,几乎还没有病毒打这个项目的主意。如图:


这个功能知道就行了,几乎用不到。


引用:
这位作者是不是火星了,现在木马群里有多少dll打这个项目的注意啊……

by 轩辕小聪 08.06.15

总结一下,要用好SRE,需要掌握的功能就包括了:
1. 报告功能
2. 管理服务
3. 修复文件关联
4.管理HOSTS文件
5.管理Winsock
这5个功能掌握了,这款软件,也就算是熟练运用了。



引用:
作者文章出来的时候应该还是2.3版,这从图中可以看出。2.4及2.5引进的新的重要功能,如Shell/IE修复功能,这里也就没有涉及到。

by 轩辕小聪 08.06.15
最后编辑魔法学徒 最后编辑于 2008-06-15 08:59:54
不认识我没关系,因为我也不认识你。
gototop
 

回复:【转贴】学看 SRE 报告

【原创】S.R.E 功能介绍——用 S.R.E 删除服务项目
前段时间,写了用 S.R.E做报告的帖子,这次写“删除服务”这个功能了。
手动杀毒,经常用到的第二个功能: 删除(病毒创建的)服务项目。

首先,打开 S.R.E,依次选择:启动项目-服务,如图:


大家可以看到,这里有两项:Win32服务应用程序 和 驱动程序。大部分病毒,都会添加第一项,也就是:Win32服务应用程序。所以我们这次的教程,主要讲这个。
点击:Win32服务应用程序,打开如下界面: 这里罗列出了系统所有的服务(不管是正常的,还是有问题的)

大家肯定会问,这么多,怎么挑选?其实很简单,S.R.E,可以自动进行筛选,我们只需要选中:隐藏已认证的微软项目,即可!
选中:隐藏以认证的微软项目,S.R.E会自动重新扫描,并把(怀疑)不正常的服务(其实,就是没有经过微软签名和认证的服务)筛选,罗列出来,大家可以看图:


我这里,是随便拿了一个病毒做的实验。上面的图,是我中毒后截的,可以看到,我有3个“有问题”的服务。我们逐个来说。
1. Human Intexxxce Device Access
这个,是很多菜鸟,在杀毒的时候最头疼的。其实这个服务是XP系统正常的服务,但是却没有经过微软认证,所以经常容易让人“误判”。大家记住就是了,这个,是正常的。
2. NetChina S3 Services
这个是什么???呵呵,不知道的话,可以去网上“G”一下~,这个服务,是我安装的软件:中网S3主动防御软件,创建的服务。
其实,服务名的后面,不是有路径么?根据路径,就能判断一个服务是什么,当然,前提是,你自己得知道,你装的是什么东西,比如我的这个:路径是 c:\program files\中网S3\NCDSSvc.exe。这样一看就知道拉!!
3.Audio Adaper
这个??????额。。。。光看名称,我也不能确定100%就是病毒什么的。看后面的路径吧:c:\windows\avp.exe
avp.exe,大家应该熟悉吧?卡巴斯基的进程。。。。。不过。。。。。。
我可以告诉大家,我的电脑,可没装卡巴哦!而且,就算我装了,这个avp.exe的真正位置,应该在哪里呢??装了的朋友可以看看,自己的avp.exe在哪里。。
我这个怎么跑到 windows下了????
不用说了吧!这就是传说中的。。。。。。。。。。。。。病毒服务!下面,我们就来给它删除!步骤如下:
1.左键选中它
2.选中下面的:删除服务

3.点击右边的“设置”,然后就会弹出这个对话框

4. 点击“否”!!!!!!!!!!!!!!!!!看清楚,记住!是点 否!不是点击“是”!
5. 点击后,重启电脑,服务就能删除了。删除成功的话,会显示如下界面:



进而,就可以去删除那个病毒文件:c:\windows\avp.exe了

我以前也提到过,在XP的DOS命令行里面,用 SC delete 服务名,这个方法删除服务。不过经过实验,好像有时候不灵。。所以,还是推荐用sre删除服务。这样更安全一些。

S.R.E删除服务,也是SRE一个非常重要的功能,在手动杀毒的过程中,100%要用到。所以,希望大家有空的时候,学习,研究一下。
最后编辑豪斯登堡新郎 最后编辑于 2008-05-12 23:42:35
不认识我没关系,因为我也不认识你。
gototop
 

回复:【转贴】学看 SRE 报告

【原创】S.R.E 删除驱动程序 操作说明

[折叠]
一直觉得这个操作,是没必要单独写出来的。因为具体的删除方法,和原来讲过的:删除服务,几乎是一模一样。。但鉴于某些新手,还是容易弄混,就索性单独写出来吧~
第一步,打开SRE,依次点击: 启动项目 —— 服务 —— 驱动程序,如图:按顺序:(1)—— (2) —— (3)


点击: 驱动程序 后,进入第二步。
第二步:勾选“隐藏已认证的微软项目”,等待SRE重新扫描。如图:


就是勾选 (1)那里了。勾选后,SRE会重新扫描一次,扫描完成后,将会列出不是系统本身自带的驱动程序。
第三步:在上图中,看(2)处,就是蓝色框框里面的,根据别人给你精简好的SRE报告,找到相应的驱动名称。然后进行下一步。
第四步:删除该驱动程序
我这里,以删除:SAMSUNG Mobile USB Modem 1.0 ,这个驱动为例,给大家做示范!

根据名称,在(1)处找到该驱动项目,左键选中,然后,勾选:(2)删除服务。
选中就行,选中后,按下:(3) 设置,即可弹出下图的对话框:


看清楚了,别搞错了!这里必须是选择: 否 !!!!!!!才能删除该驱动!不是选择 是!!!!
第五步:最后一步。点击“否”以后,SRE就会帮你删除该驱动程序。删除成功,就会弹出这个对话框了:


到这里,你可以点击确定,不需要立刻就重启。可以继续删除其他驱动程序了。自然,删除步骤……………………把上面的,重新来一遍,无非是,要删除的驱动项目的名称不一样罢了!
本帖被评分 1 次
最后编辑豪斯登堡新郎 最后编辑于 2008-05-12 23:45:14
不认识我没关系,因为我也不认识你。
gototop
 
12   1  /  2  页   跳转
页面顶部
Powered by Discuz!NT