回复:【转贴】学看 SRE 报告

【原创】 SRE 和杀毒软件的“误会”

[折叠]

大家都知道,SRE运行时,会对一些系统关键的项目,如 userinit,explorer,appinit等项目进行检查。其中,也包括了一项名叫:API HOOK的项目。在这次的日志中,我不想详细的说明 API HOOK是什么东西。大致的,告诉大家一下。大家可以把它理解为: 为了对系统全局的“掌握”和“控制”,一些软件,会修改此项目,进而实现一些功能。
目前,最典型的例子,就是各种杀毒软件了。其实,大家应该很容易理解这个概念,说白了,对于任何一款杀毒软件,它自然都希望对系统进行,全面,完整,深层次,高级的控制和监控,这样,才能更有效的对付病毒。因此,目前一些杀毒软件,代表的有:卡巴斯基,金山毒霸。都会在安装后,添加,修改 API HOOK值,目的很简单:能够从更全面的角度,来保护系统。监控系统运行,查杀病毒。
上面的意思,应该能明白吧?说白了,一句话,杀毒软件为了更全面的保护电脑,才善意的修改API HOOK值。这,当然是正常现象!毋庸置疑!
SRE,刚才说了,运行的时候会检测 API HOOK值,如果不是系统默认的,那么就会报告“错误”,如下图:

上图中的错误,其实,都是API HOOK的值,和系统默认的不符合,而被SRE报告出错误。
对此,90%的情况下,这种错误都是由于“SRE和杀毒软件之间的误会”造成的。比如:安装卡巴斯基,就会修改API HOOK,但是,SRE不管你安装的什么,它只负责检测“是否是系统默认值”,如果不是,就报错!就会出现上面的图片。
解决方法,很简单:做报告。
从上面的图中,我们还不能真正看到,究竟是什么软件,修改了API HOOK值。所以,还是做报告,看着舒服。
在SRE报告里面(靠下的位置了),专门有一项是:API HOOK 检查。我这里,给出最最常见的,由于安装了卡巴斯基杀毒软件,而导致的“错误”,在SRE报告里面,就显示为:
——————————————————————————————————————————————————
API HOOK
RVA  错误: LoadLibraryA (危险等级: 高,  被下面模块所HOOK: \??\C:\WINDOWS\system32\drivers\klif.sys)
RVA  错误: LoadLibraryExA (危险等级: 高,  被下面模块所HOOK: \??\C:\WINDOWS\system32\drivers\klif.sys)
RVA  错误: LoadLibraryExW (危险等级: 高,  被下面模块所HOOK: \??\C:\WINDOWS\system32\drivers\klif.sys)
RVA  错误: LoadLibraryW (危险等级: 高,  被下面模块所HOOK: \??\C:\WINDOWS\system32\drivers\klif.sys)
RVA  错误: GetProcAddress (危险等级: 高,  被下面模块所HOOK: \??\C:\WINDOWS\system32\drivers\klif.sys)
——————————————————————————————————————————————————
对于金山独霸,则是:(假设金山毒霸安装在c:\program files\kav 下)
RVA  错误: GetProcAddress (危险等级: 高,  被下面模块所HOOK: c:\program files\kav\kavsocket.dll)
——————————————————————————————————————————————————
这是在SRE报告中,常见的2种API HOOK “错误”,其实不是错误了。klif.sys,是卡巴斯基的驱动文件,kavsocket.dll则是金山的。大家知道就行了。别总是遇到上面的图,就怀疑自己机子有毒。

在装有上述2个杀毒软件的电脑上,使用SRE,都会出现图中的错误的!


【原创】 SRE 已知不成文规律总结

[折叠]


1.XP统一的启动项目
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Active Setup\Installed Components\>{26923b43-4d38-484f-9b9e-de460746276c}]
    <Internet Explorer 访问><"C:\WINNT\system32\shmgrate.exe" OCInstallUserConfigIE>  [N/A]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Active Setup\Installed Components\>{881dd1c5-3dcf-431b-b061-f3f88e8be88a}]
    <Outlook Express 访问><"C:\WINNT\system32\shmgrate.exe" OCInstallUserConfigOE>  [N/A]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Active Setup\Installed Components\{44BBA840-CC51-11CF-AAFA-00AA00B6015C}]
    <Microsoft Outlook Express 6><"%ProgramFiles%\Outlook Express\setup50.exe" /APP:OE /CALLER:WINNT /user /install>  [N/A]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Active Setup\Installed Components\{44BBA842-CC51-11CF-AAFA-00AA00B6015B}]
    <NetMeeting 3.01><rundll32.exe advpack.dll,LaunchINFSection C:\WINNT\INF\msnetmtg.inf,NetMtg.Install.PerUser.NT>  [(Verified)Microsoft Windows 2000 Publisher]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Active Setup\Installed Components\{6BF52A52-394A-11d3-B153-00C04F79FAA6}]
    <Microsoft Windows Media Player><rundll32.exe advpack.dll,LaunchINFSection C:\WINNT\INF\wmp.inf,PerUserStub>  []
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Active Setup\Installed Components\{7790769C-0471-11d2-AF11-00C04FA35D02}]
    <Address Book 5><"%ProgramFiles%\Outlook Express\setup50.exe" /APP:WAB /CALLER:WINNT /user /install>  [N/A]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Active Setup\Installed Components\{9EF0045A-CDD9-438e-95E6-02B9AFEC8E11}]
以上各注册表启动项目,为XP系统通用启动项目,即:正常启动项
2.系统服务
没有什么特别的,只有一个服务,值得注意:
[Human Intexxxce Device Access / HidServ][Stopped/Disabled]
  <C:\WINDOWS\System32\svchost.exe -k netsvcs-->%SystemRoot%\System32\hidserv.dll><N/A>
这项虽然没经过微软签名,但为正常的系统服务项目
3. 驱动程序
和上面的一样,已知的未经过微软签名的,正常的驱动程序:
⑴ [Secdrv / Secdrv][Stopped/Manual Start]
<system32\DRIVERS\secdrv.sys><N/A>
⑵ [d347bus / d347bus]和[d347prt / d347prt]
此程序,为虚拟光驱软件:Daemon tools 这个软件的第三方驱动
4.关于 AppInit
这个项目,一般在sre报告里面分为2种,在报告中,它是如下样子显示:
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Windows]
    <AppInit_DLLs><>  [N/A]
注: 此值不能删除!!!!!!!!!!!!只能在SRE里面,双击后编辑,设置为 空 即可!
此值正常情况下,为 空,在SRE报告中,也就是反应为:[N/A]。如果出现值,则分两种情况考虑:
⑴ 经过美化的系统,一些美化软件,如:Windows Blinds,美化系统后,会修改此键值,并把它的值改为:wbsys.sys,这个是正常的
⑵ 病毒文件。这种,就靠自己判断了。一般都是无规则的字母、数字组成的DLL类型文件。
5. 关于 API HOOK
这个项目,目前大部分杀毒软件,都会修改此键值,目的是为了从更深层次的角度,查杀病毒。大家判断的时候,根据里面列出的文件路径判断就行了。常见的,大家经常迷惑的,就是卡巴斯基,它的HOOK,在SRE报告中的反应是这样:

RVA 错误: LoadLibraryA (危险等级: 高, 被下面模块所HOOK: \??\C:\WINDOWS\system32\drivers\klif.sys)
RVA 错误: LoadLibraryExA (危险等级: 高, 被下面模块所HOOK: \??\C:\WINDOWS\system32\drivers\klif.sys)
RVA 错误: LoadLibraryExW (危险等级: 高, 被下面模块所HOOK: \??\C:\WINDOWS\system32\drivers\klif.sys)
RVA 错误: LoadLibraryW (危险等级: 高, 被下面模块所HOOK: \??\C:\WINDOWS\system32\drivers\klif.sys)
RVA 错误: GetProcAddress (危险等级: 高, 被下面模块所HOOK: \??\C:\WINDOWS\system32\drivers\klif.sys)
即:klif.sys,为卡巴斯基反病毒软件的正常系统驱动程序。

6.在SRE报告中,凡是出现:(Verified) 英文的值,均为正常值!
7.winrar
winrar,有一个没有经过签名的值,在SRE中,反应为:
[C:\Program Files\WinRAR\rarext.dll]  [N/A, ]
其实,大家根据路径判断就行了。这里还是给出来,这个 rarext.dll,为rar中,添加“右键菜单”的DLL文件。
8.Winsock 提供者
此项默认的正常值为:N/A ,就是空,目前发现,一些安全类型的软件,(已知的有 NOD32)会添加一些项目,但可以肯定,这项项目,跟系统没任何关系。是没用的
例子:
Winsock 提供者
NVIDIA App Filter over [MSAFD Tcpip [TCP/IP]]
    C:\WINDOWS\system32\nvappfilter.dll(NVIDIA, NVIDIA IAM LSP)
NVIDIA App Filter over [MSAFD Tcpip [UDP/IP]]
    C:\WINDOWS\system32\nvappfilter.dll(NVIDIA, NVIDIA IAM LSP)
NVIDIA App Filter over [MSAFD Tcpip [RAW/IP]]
    C:\WINDOWS\system32\nvappfilter.dll(NVIDIA, NVIDIA IAM LSP)
NVIDIA App Filter
    C:\WINDOWS\system32\nvappfilter.dll(NVIDIA, NVIDIA IAM LSP)
9.Autorun.inf
此值必须为:N/A,如果有东西,则为病毒添加的!
10.HOSTS 文件
默认值就是一行:
127.0.0.1      localhost
有些系统,会添加一些项目,用来屏蔽黄色网站,广告等等。但和winsock类似,都是无关紧要的。如果遇到不好判断的,只保留最上面那行即可,剩下的,一律全部删除!
11.进程特权扫描
这个项目,需要大家根据详细的文件路径来判断。无论是正常的软件,还是病毒,都会在里面涉及到。
12.隐藏进程
⑴Internet Explore.exe
为灰鸽子变种之类的病毒,调用的正常文件,此进程本身没任何问题,只是被病毒文件调用。根据日志,清理病毒文件。如果清理的准确,则此项目,自动消失;
⑵杀毒软件,已知的,江民杀毒,会创建隐藏进程,用来保护自己!根据路径判断即可;
⑶Rundll32.exe
这个,和上面的IE性质是一样的,只是被病毒调用了。根据报告,删除病毒文件,就行了。此文件(Rundll32.exe)为正常的系统文件。
13. 系统字体目录(xp)为: C:\WINDOWS\Fonts,在此文件夹下,只有,只会出现: *.ttf 这种文件,除此之外,不可能出现任何其他类型的文件,如:DLL,exe,等等。如果出现,均为病毒文件!
14. 系统驱动程序文件目录 为: c:\windows\drivers,在此文件夹下,只有,只会出现: *.sys 这种文件,除此之外,不可能出现任何其他类型的文件,如:DLL,exe,等等。如果出现,均为病毒文件!

引用:
笔误,这里应为C:\WINDOWS\system32\drivers
上面其他我在之前提过的问题就不再重复了。

by 轩辕小聪 08.06.
15


暂时我知道的,常见的就这些了,日后碰到特殊的,我会再添加。
最后编辑魔法学徒 最后编辑于 2008-06-15 09:01:11
不认识我没关系,因为我也不认识你。