|
| SREng日志分析详解 |
| 作者 depressedboy 查看 265 发表时间 2008/7/5 12:58 【论坛浏览】 |
|
vvsycv http://xmtrabbit.blog.163.com/blog/static/1613871320073140628562/vvsycv 资料来源:李牧原 《[参赛作品]教你分析SREng日志【附扫描方法】》vvsycv http://bbs.pep.com.cn/thread-303935-1-4.htmlvvsycv 近日,读了上面两位的文章后,受益良多,下面把两位高手的文章小结一下,希望对SREng日志分析的初学者有所帮助。vvsycv =========================================================================================vvsycv (注:转载请注明出处)vvsycv =========================================================================================vvsycv 我们首先来看日志的开头部分:vvsycv [CODE]vvsycv 2007-07-07,22:56:31vvsycv System Repair Engineer 2.5.16.900vvsycv Smallfrogs (http://www.KZTechs.com)vvsycv Windows XP Professional Service Pack 2 (Build 2600) - 管理权限用户 - 完整功能vvsycv 以下内容被选中:vvsycv 所有的启动项目(包括注册表、启动文件夹、服务等)vvsycv 浏览器加载项vvsycv 正在运行的进程(包括进程模块信息)vvsycv 文件关联vvsycv Winsock 提供者vvsycv Autorun.infvvsycv HOSTS 文件vvsycv 进程特权扫描vvsycv ==========================================================================================vvsycv 启动项目vvsycv 注册表:vvsycv [HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run]--------注册表项vvsycv <ctfmon.exe> <C:\windows\system32\ctfmon.exe> [(Verified)Microsoft Windows Publisher]vvsycv |____键的名称 |______键的值 |____这个文件的版权信息vvsycv vvsycv 注册表键的名称后面的是键值。再后面是程序的公司版本信息。如果通过了数字签名验证,会有(Verified) 的字样。vvsycv %systemroot%是系统安装目录,如果是Win98或者XP之类的,对应目录一般为C:\WINDOWS\;如果为WinNT或者2000,对应目录一般为C:\WINNT。vvsycv vvsycv 一般的启动程序都是在下面这些项里面了,要好好分析哦~~对于不确定的进程,到www.google.cn里面查。vvsycv [HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run]vvsycv [HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run]vvsycv [HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\RunOnce]vvsycv [HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunOnce]vvsycv [HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\RunServices]vvsycv [HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunServices]vvsycv [HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\RunServicesOnce]vvsycv [HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunServicesOnce]vvsycv [HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunOnceEx]vvsycv vvsycv 下面这四项要注意,如果日志里面的和这四个不一样,那么很可能就有问题vvsycv [HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon]vvsycv [HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Windows]vvsycv [HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon]vvsycv vvsycv 如果有下面的这两项,“<>”里面有进程,很可能有问题vvsycv [HKEY_CURRENT_USER\Software\Microsoft\Windows NT\CurrentVersion\Windows]vvsycv vvsycv 下面这两项下面如果有键,也可能有问题vvsycv [HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run]vvsycv [HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run]vvsycv vvsycv 下面的三项如果有除了杀毒软件之外的键,很可能有问题vvsycv [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ShellServiceObjectDelayLoad]vvsycv [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks]vvsycv [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\SharedTaskScheduler]vvsycv vvsycv 可信项目(即有N/A,但可以确定没问题的项目):vvsycv [HKEY_CURRENT_USER\Software\Microsoft\Windows NT\CurrentVersion\Windows]vvsycv [HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Windows]vvsycv 如果“<>”里面没有东西,以上几项可以排除vvsycv 这一项也可以排除vvsycv vvsycv ==========================================================================================vvsycv 启动文件夹:vvsycv [WNSO]vvsycv 这个相对简单些.就是在「开始」菜单\程序\启动里的快捷方式, 箭头所表达的是这个快捷方式的目标.vvsycv ==========================================================================================vvsycv 服务:(在运行中输入:services.msc可快速打开服务管理)vvsycv [SQLSERVERAGENT / SQLSERVERAGENT] [Stopped/Manual Start]vvsycv |_____显示名 |______服务名 |__状态 |___启动方式vvsycv <C:\PROGRA~1\MICROS~4\MSSQL\binn\sqlagent.exe><Microsoft Corporation>vvsycv |______是这个服务的文件. |__同上,文件的版权信息.vvsycv vvsycv ==========================================================================================vvsycv 驱动程序:vvsycv [Service for Realtek AC97 Audio (WDM) / ALCXWDM][Running/Manual Start]vvsycv 同服务的差不多,不再重复.vvsycv ==========================================================================================vvsycv 浏览器加载项:vvsycv [FGCatchUrl]--------加载项名(BHO)vvsycv {2F364306-AA45-47B5-9F9D-39A8B94E7EF7} <E:\Program XP\FlashGet\jccatch.dll, www.flashget.com>vvsycv |_____CLSID |___对应的文件 |__版权vvsycv ==========================================================================================vvsycv 正在运行的进程:vvsycv [PID: 1528]--------进程号 [C:\windows\Explorer.EXE]--------文件的位置 [Microsoft Corporation,-------文件的版权 6.00.2900.2180 (xpsp_sp2_rtm.040803-2158)]-------------文件的版本号vvsycv vvsycv -----------------这是一条进程vvsycv vvsycv [C:\windows\system32\Normaliz.dll]--------文件的位置 [Microsoft Corporation,-------文件的版权 6.0.5441.0 (winmain(wmbla).060628-1735)]-------------文件的版本号vvsycv ------------------这是EXPLORER的一个模块vvsycv vvsycv 一般来说,进程前面没有[PID:XXXX]的进程是安全的,不用去分析。vvsycv 我这个日志是用旧版的SREng扫描的,新版的SREng在进程前面的方括号[ ]里除了PID参数外,还有用户名。我的新版日志的方括号里面就是这样的:vvsycv [PID: 932 / SYSTEM][\SystemRoot\System32\smss.exe] [Microsoft Corporation, 5.1.2600.2180 (xpsp_sp2_rtm.040803-2158)]vvsycv [PID: 296vvsycv / 李牧原][C:\WINDOWS\Explorer.EXE] [Microsoft Corporation, 6.00.2900.2180 (xpsp_sp2_rtm.040803-2158)]vvsycv vvsycv “PID:XXX/ ”后面的SYSTEM和李牧原就是运行这项进程的用户名。SYSTEM说明这项进程为系统进程。vvsycv 进程名称的下几行(如果有的话)是进程加载的dll。一般来说,有[N/A]的就是有问题的。这时候应该用Google搜索一下这个dll,如果发现有问题或者根本搜索不到,就应该删除。有的dll名称是随机的n位字母数字,一般来说都是有问题的。如:vvsycv [C:\WINDOWS\system32\ldmedia4.dll] [N/A, ]vvsycv [C:\WINDOWS\system32\mppds.dll] [N/A, ]vvsycv [e:\program files\rising\rfw\zpkjuwgv.dll] [N/A, ]vvsycv vvsycv 对于Explorer.EXE加载的dll要格外注意!vvsycv ==========================================================================================vvsycv 文件关联:vvsycv .TXT OK.vvsycv [%SystemRoot%\system32\NOTEPAD.EXE %1]vvsycv |__文件类型 |__状态 |___用什么程序打开vvsycv vvsycv 一般来说,有Error的都是要修复的vvsycv ==========================================================================================vvsycv Winsock 提供者:vvsycv WINSOCK 是在Windows进行网络通信编程的API接口,也是Windws网络编程的事实标准.vvsycv 如果其出错了,则会无法上网.vvsycv vvsycv Winsock 提供者:默认为N/A,如果不是N/A,先搜索一下,如果有问题,就用在兔子,360修复一下Winsock。vvsycv ==========================================================================================vvsycv Autorun.inf:vvsycv 这个一般是中了U盘病毒才会出现,但不绝对.其格式如下:vvsycv [AutoRun] vvsycv OPEN=OSO.exe--------------用来指定自动运行后要运行的文件vvsycv shellexecute=OSO.exe------用来指定自动运行后要运行的文件(与OPENT不同的是可以使用文件关联信息打开文件vvsycv shell\Auto\command=OSO.exe---------用于将指定的要运行文件添加到右键菜单中.vvsycv vvsycv 默认也是空值,如果有程序,先搜索一下,如果有问题,删除该程序。vvsycv ==========================================================================================vvsycv HOSTS 文件:vvsycv HOSTS文件是一个主机到IP地址的映射列表(优化大师的快速域名解释功能应该是通过改这个文件).vvsycv 一般情况下只有一个:vvsycv 127.0.0.1 localhostvvsycv vvsycv 如果和默认值不符,一般需要用SREng修复HOSTS文件。vvsycv 注意:360安全卫士为了免疫机器狗木马可能会在里面添加一些内容。vvsycv ==========================================================================================vvsycv 进程特权扫描:vvsycv 搜索进程,如果是病毒,删除之。vvsycv ==========================================================================================vvsycv API HOOK:vvsycv 先搜索那几个文件,如果有问题,启动SREng时,右下角会出提示,先点击“查看详情”,点“修复入口点错误”即可。vvsycv ==========================================================================================vvsycv 隐藏进程:vvsycv 搜索进程,如果是病毒,删除之。vvsycv vvsycv 如果使用srenglog分析助手会相对方便很多 |
| 序号 | 评论者 | 共有评论 0 【论坛浏览】 【发表评论】 | 评论时间 |
| 当前无任何评论,或评论已被禁止显示 | |||
共有评论数 0 每页显示 10
|
|||
 |
紧急求救!!!!! |
| |
[图文] 反病毒木马辅助工具... |
 |
[求助] 无法进入系统 |
| |
[讨论] 为什么系统的时间老... |
| |
[求助]系统核心服务程序6和... |
| |
[求助] 开机后瑞星杀毒软件... |
| |
每次开机都弹出三个网页对... |
| |
[已解决] [求助]跪求如何清... |
| |
反病毒可能需要用到的方法... |
| |
[求助] 帮看下扫描 |
