【前言】SRENG扫描工具是反病毒爱好者常用的一个分析系统安全状况的工具,通过显示系统常见注册表启动项、启动文件夹、服务、驱动程序、浏览器加载项、正在运行的进程、WINSOCK、hosts文件、驱动器根目录下autorun.inf存在及内容检查等多个方面,您可以借以判断系统是否遭受病毒侵害及其他存在的问题。下面,我就对如何用SRENG扫描日志分析系统中可能存在的中毒问题做一个肤浅的解释,如有不当之处欢迎指正:
在SRENG扫描工具主窗口下,单击”启动项目“标签,然后单击“注册表”标签后对话框中所显示的内容,就是SRENG扫描日志中“启动项目/注册表”拦的内容。
熟悉系统注册表编辑器操作的朋友应该知道,SRENG扫描日志中“启动项目/注册表”栏内的内容,与注册表编辑器窗口下显示的注册表子项/项值/值项是一一对应的.
一、从“启动项目/注册表”内容发现病毒 近期病毒感染的机器,“启动项目/注册表”内容异常最主要反映在在以下几个注册表子项/值项处:
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks]
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon]<Userinit>
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon]<shell>
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Windows]<AppInit_DLLs>
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options]
【注】“[]”内的部分表示某个注册表子项,“〈〉”内的内容表示注册表子项下的某个值项。
对以上经常被病毒添加/篡改的注册表项的情况,现分述如下:
(一)[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run]
大家知道,这个子项是我们安装应用程序主程序的启动项,如瑞星杀软主进程的的注册表启动项,在SRENG扫描日志显示如下:
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run]
<RavTask><"C:\Program Files\Rising\Rav\RavTask.exe" -system> [(Verified)Beijing Rising Science and Technology Corporation Limited]
【注】1、<"C:\Program Files\Rising\Rav\RavTask.exe" -system> 是<RavTask>这个值项的数值数据;“[(Verified)Beijing Rising Science and Technology Corporation Limited]”表示C:\Program Files\Rising\Rav\RavTask.exe瑞星杀软主进程文件的数字签名。
另外一些外文输入法和一些特殊的程序启动项,需要死记,如:
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run]
<SoundMan><; SOUNDMAN.EXE> (声卡相关进程启动项目)
<NvCplDaemon><; RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup> (显NVIDA卡相关进程启动项)
<BigDogPath><; C:\WINDOWS\VM_STI.EXE VIMICRO USB PC Camera 301x> (摄像头启动项)
<PHIME2002A><; C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.EXE /IMEName> (输入法启动项)
【注】版面原因,这里未显示这些注册表值项的数字签名。
从以上解释,大家不难摸出一个规律:这个注册表子项下,除了系统一些自带的启动项路径需要硬记外,其他自己安装的应用程序的注册表启动项一般都在c:\program files\目录下(系统默认安装路径),这样,如果病毒在这里创建了一个病毒进程的注册表启动项,很容易区分开来。
举个例子,这是一个朋友的:[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run]子项下的部分内容:
<fmsiocps><C:\WINDOWS\fmsiocps.exe> []
<anistio><C:\WINDOWS\anistio.exE> []
<issms32><C:\WINDOWS\issms32.exe> []
<dionpis><C:\WINDOWS\dionpis.exe> []
<fiosectc><C:\WINDOWS\fiosectc.exe> []
<hefxxxy><C:\WINDOWS\hefxxxy.exe> []
<fmsbbqi><C:\WINDOWS\fmsbbqi.exe> []
<bincdwsa><C:\WINDOWS\bincdwsa.exe> []
<dbhlp32><C:\WINDOWS\dbhlp32.exe> []
先看这些值项的数值数据:很晕啊,文件名既陌生,也没有数字签名,路径也很蹊跷----怎么会在c:\windows下呢?通过GOOGL这些文件名后,确认为病毒启动项。
【注】一些没有数字签名的摄像头在该注册表启动项下也是以c:\windows\*.EXE显示,这些要强记,以免错杀,
(二)[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks]
安装瑞星杀软的朋友这个注册表子项下的内容一般只有以下这个:
<{32CD708B-60A7-4C00-9377-D73EAA495F0F}><C:\WINDOWS\system32\RavExt.dll> (瑞星的)
中毒后的该注册表子项,被添加了N项没数字签名的值项,非常明显,比如下面这个日志的节选内容:
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks]
<{398C9B84-4EF7-47B5-9862-DE29543B3C42}><C:\Program Files\Internet Explorer\PLUGINS\Nt_Sys32.Sys> []
<{45AADFAA-DD36-42AB-83AD-0521BBF58C24}><C:\WINDOWS\system32\zjydcx.dll> []
<{3E387664-C799-4D62-B196-25776EF35C51}><C:\WINDOWS\system32\mxavpw1.dll> []
这个就不多说了,非常明显,也很好辨认,数字签名也没有,实在不清楚可以GOOGLE可疑值项的数值数据中显示的文件名。
(三)[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon]<shell>这个注册表值项是系统资源管理器进程(c:\windows\explorer.exe)的注册表启动项,正常的计算机,该注册表项目SRENG扫描日志显示的是:
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon]
<shell><Explorer.exe> [(Verified)Microsoft Windows Component Publisher]
被病毒感染后,该注册表值项将出现变化,已知的有二类:
1、注册表值项目被异常添加
比如:[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon]
<shell><Explorer.exe,abc.exe > [microsoft corporation]
这里我们发现病毒文件c:\windows\abc.exe随系统进程c:\windows\explorer.exe同时实现了开机自启动,且数字签名发生变化。
2、数字签名被修改
比如:[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon]
<shell><Explorer.exe> [(Verified)]
这个从数字签名上,可以发现c:\windows\explorer.exe这个文件已被病毒感染,成了病毒的帮凶。
(四)[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Windows]<AppInit_DLLs>AppInit_DLLs这个值项表示系统初始化动态链接库,正常的电脑SRENG扫描日志对该注册表值项应该是这样显示的:
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Windows]
<AppInit_DLLs><ieprot.dll> 或<AppInit_DLLs><>
被病毒感染后,这个注册表值项可能被篡改,举个例子:
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Windows]
<AppInit_DLLs><msosdohs00.dll,msosmhfp00.dll,ieprot.dll> [N/A]
这里“msosdohs00.dll,msosmhfp00.dll,”这些字符串就是病毒添加的,表示开机器后系统自动调用c:\windows\system32目录下的msosdohs00.dll、msosmhfp00.dll这两个病毒文件并运行。
(五)[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon]<Userinit>
这个注册表值项是系统管理启动顺序的的关键注册表启动项,正常的计算机,该注册表项目SRENG扫描日志显示的是:
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon]
<Userinit><C:\WINDOWS\system32\userinit.exe,> [(Verified)Microsoft Windows Component Publisher]
被病毒感染后,该注册表值项将出现变化,与<AppInit_DLLs>这个值项类似,这里就不多讲了。
(六)[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options]著名的“映像劫持”(IFEO),除了以下这个外,其他的要么是病毒添加的,要么是安全工具防病毒添加的。
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\Your Image File Name Here without a path]
<IFEO[Your Image File Name Here without a path]><ntsd -d> [N/A]
如果被病毒利用的话,[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options]这个注册表项下会增加多个子项,SRENG扫描工具“启动项目/注册表”窗口中会出现多个红色的“IFEO[*.exe]”类的项目,下面的日志片段可见一斑:
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\360safe.exe]
<IFEO[360safe.exe]><ntsd -d> [N/A]
这里360安全卫士的主进程被劫持了,导致360安全卫士双击无反映,无法打开。
二、如何处理有问题的“启动项目/注册表”内容用SRENG扫描工具,或直接进入注册表编辑器,对有问题的注册表项目进行删除或修改。
这个不说了,大家自己摸索,这篇文章主要是分析病毒,而非解决病毒(实际上是我累了
)
用户系统信息:Mozilla/4.0 (compatible; MSIE 7.0; Windows NT 5.1; .NET CLR 1.1.4322)
