关于在SREng 2.6 里面出现的“部分文件厂商只显示为Verified字样”的调查说明
【现象】
在SREng 2.6 及其以前版本里面,部分文件显示为Verified字样,但是没有发行厂商名字或者签署者的名字。
【原因】
当情况都满足的时候,会出现上述的现象:
1、存在一个感染型的计算机病毒,该病毒感染了系统文件,而且每个文件的感染方式都一样。被感染的系统文件被SREng检查,针对启动项的检测规则里面,会检查下面的一些信息:
× 数字签名
× SFC状态
× 版本信息
× Microsoft文件的一些其他特征
2、当通过SFC 且 通过数字签名,该文件的安全级别是 SECURITY_LEVEL_SAFE(绝对安全)
3、当通过SFC 且 没有通过数字签名的时候,同时其他规则检查符合Microsoft文件特征的情况下,该文件的安全级别为 SECURITY_LEVEL_LOW(基本安全)
4、由于文件被感染型病毒感染,且同时感染了DLLCACHE下的文件、原始文件,且用户忽略了Windows 的安全提示,在这种情况下,SFC检查会被告知文件被SFC保护。虽然这个文件没法通过数字签名检查,但是由于通过了SFC检查和其他的 Microsoft文件特征检查,因此SREng报告该文件为 Verified。但是由于数字签名检查失败,无法获取数字签名签署者信息,因此导致厂商名字里面只有 Verified 字样显示。
【缓解方法】
当发现一个文件被报告为 Verified 的时候,请检查这个文件是否已经被计算机病毒所感染。
【解决方法】
在 System Repair Engineer
2.7 版本里面,Smallfrogs 会调整内置的检测逻辑,并高度警示这种风险。
————————————————————————————————————
关于这个的详细情况,请去SRENG工具的主人那里看看:
http://hi.baidu.com/smallfrogs/blog/item/f6f8b03589bb368da71e126a.html用户系统信息:Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.0)
