SREng日志全分析(二)
Ⅳ,正在运行的进程(包括进程模块信息):
1.在SREng日志中,正在运行的进程(包括进程模块信息)的结构如下:
[PID: 632][\??\C:\WINDOWS\system32\winlogon.exe] [(Verified) Microsoft Corporation, 5.1.2600.2180 (xpsp_sp2_rtm.040803-2158)]
[C:\WINDOWS\system32\AUTHZ.dll] [Microsoft Corporation, 5.1.2600.2622 (xpsp_sp2_gdr.050301-1519)]
[C:\WINDOWS\system32\COMCTL32.dll] [Microsoft Corporation, 5.82 (xpsp.060825-0040)]
[C:\WINDOWS\WinSxS\x86_Microsoft.Windows.Common-Controls_6595b64144ccf1df_6.0.2600.2982_x-ww_ac3f9c03\comctl32.dll] [Microsoft Corporation, 6.0 (xpsp.060825-0040)]
[C:\WINDOWS\system32\sfc_os.dll] [Microsoft Corporation, 5.1.2600.2180 (xpsp_sp2_rtm.040803-2158)]
[C:\WINDOWS\system32\ole32.dll] [Microsoft Corporation, 5.1.2600.2726 (xpsp_sp2_gdr.050725-1528)]
[C:\WINDOWS\system32\sxs.dll] [Microsoft Corporation, 5.1.2600.3019 (xpsp_sp2_gdr.061019-0414)]
[C:\WINDOWS\system32\uxtheme.dll] [Microsoft Corporation, 6.00.2900.2180 (xpsp_sp2_rtm.040803-2158)]
[C:\WINDOWS\system32\xpsp2res.dll] [Microsoft Corporation, 5.1.2600.2180 (xpsp_sp2_rtm.040803-2158)]
[C:\WINDOWS\system32\iphlpapi.dll] [Microsoft Corporation, 5.1.2600.2912 (xpsp_sp2_gdr.060519-0003)]
[PID: 416 / SYSTEM][\SystemRoot\System32\smss.exe] [(Verified) Microsoft Corporation, 6.0.6002.18005 (lh_sp2rtm.090410-1830)]
[PID: 632][\??\C:\WINDOWS\system32\winlogon.exe]:
PID:指此进程在系统中的“数字标识”,在系统中,每个进程有且仅有一个PID,所以说,它是唯一的。
[\??\C:\WINDOWS\system32\winlogon.exe]代表在系统中,该进程对应文件的详细位置。
[(Verified) Microsoft Corporation, 5.1.2600.2180 (xpsp_sp2_rtm.040803-2158)]代表该进程对应文件的数字签名和文件的版本信息。
[PID: 416 / SYSTEM]:SYSTEM代表的是创建此进程的用户名。
[C:\WINDOWS\system32\AUTHZ.dll] [Microsoft Corporation, 5.1.2600.2622 (xpsp_sp2_gdr.050301-1519)]
[C:\WINDOWS\system32\COMCTL32.dll] [Microsoft Corporation, 5.82 (xpsp.060825-0040)]
[C:\WINDOWS\WinSxS\x86_Microsoft.Windows.Common-Controls_6595b64144ccf1df_6.0.2600.2982_x-ww_ac3f9c03\comctl32.dll] [Microsoft Corporation, 6.0 (xpsp.060825-0040)]
[C:\WINDOWS\system32\sfc_os.dll] [Microsoft Corporation, 5.1.2600.2180 (xpsp_sp2_rtm.040803-2158)]
[C:\WINDOWS\system32\ole32.dll] [Microsoft Corporation, 5.1.2600.2726 (xpsp_sp2_gdr.050725-1528)]
[C:\WINDOWS\system32\sxs.dll] [Microsoft Corporation, 5.1.2600.3019 (xpsp_sp2_gdr.061019-0414)]
[C:\WINDOWS\system32\uxtheme.dll] [Microsoft Corporation, 6.00.2900.2180 (xpsp_sp2_rtm.040803-2158)]
[C:\WINDOWS\system32\xpsp2res.dll] [Microsoft Corporation, 5.1.2600.2180 (xpsp_sp2_rtm.040803-2158)]
[C:\WINDOWS\system32\iphlpapi.dll] [Microsoft Corporation, 5.1.2600.2912 (xpsp_sp2_gdr.060519-0003)]
以上这些,是表示该进程(winlogon.exe)的模块信息。
例如:
[C:\WINDOWS\system32\ole32.dll] [Microsoft Corporation, 5.1.2600.2726 (xpsp_sp2_gdr.050725-1528)]
[C:\WINDOWS\system32\ole32.dll]代表该模块对应文件的详细路径和名称。
[Microsoft Corporation, 5.1.2600.2726 (xpsp_sp2_gdr.050725-1528)]代表模块的公司名称和文件的版本信息。
(xpsp_sp2_gdr.050725-1528)代表XP系统的版本信息,这个很重要哦~!
2.正常、非正常进程的判断方法和依据:
1.要着重注意进程公司名称处为[N/A, ]的文件,但要注意的是,winrar里有个进程是例外的,如:
[C:\Program Files\WinRAR\rarext.dll] [N/A, ]
这个文件是winrar的,是正常文件哦~
2. 注意进程文件的版本,模块文件的版本
这一步,我们可以优先着重注意看有没有进程是没有模块信息的,没有版本信息的文件进程。
3.一般标有系统版本(如XP)信息的文件,都是正常的,我们可以快速的扫过,不必花大工夫去研究。
如:
[C:\Windows\system32\SHSVCS.dll] [Microsoft Corporation, 6.0.6000.16386 (vista_rtm.061101-2205)]
[C:\WINDOWS\system32\ole32.dll] [Microsoft Corporation, 5.1.2600.2726 (xpsp_sp2_gdr.050725-1528)]
4.在查看进程(模块信息)的同时,我们也要结合前面的一些内容,比如启动项目的分析,服务、驱动程序的分析等,因为一般在注册表启动项目里面非正常的文件.都会在进程活模块中有所反映。所以,将他们放着一起,做一个对比,往往会事半功倍哦~
5.我们要注意,同一个DLL类型文件,同时做为模块,同时插入大部分进程,而且该DLL文件无公司名称,无数字签名,无版本信息等,那么就要特别小心了哦~
例如:
[PID: 1846][C:\WINDOWS\system32\services.exe] [Microsoft Corporation, 5.1.2600.0 (xpclient.010817-1148)]
[C:\WINDOWS\system32\lalalala.dll] [N/A, ]
[PID: 846 / SYSTEM][C:\WINDOWS\system32\lsass.exe] [Microsoft Corporation, 5.1.2600.1106 (xpsp1.020828-1920)]
[C:\WINDOWS\system32\ lalalala.dll] [N/A, ]
[PID: 748 / SYSTEM][C:\WINDOWS\system32\svchost.exe] [Microsoft Corporation, 5.1.2600.0 (xpclient.010817-1148)]
[C:\WINDOWS\system32\ lalalala.dll] [N/A, ]
6.自我总结、归纳。刚刚开始学,慢慢的来,然后再一步步深入探究。脚踏实地者,方能成大事也。
Ⅴ,文件关联:
很多病毒,都会修改系统默认的文件关联。我们可以用SREng修复。
例如:
.TXT Error. [C:\WINDOWS\notepad.exe %1]
.EXE OK. ["%1" %*]
.COM OK. ["%1" %*]
.PIF OK. ["%1" %*]
.REG OK. [regedit.exe "%1"]
.BAT OK. ["%1" %*]
.SCR OK. ["%1" /S]
.CHM Error. ["hh.exe" %1]
.HLP OK. [%SystemRoot%\System32\winhlp32.exe %1]
.INI Error. [C:\WINDOWS\System32\NOTEPAD.EXE %1]
.INF OK. [%SystemRoot%\system32\NOTEPAD.EXE %1]
.VBS OK. [%SystemRoot%\System32\WScript.exe "%1" %*]
.JS OK. [%SystemRoot%\System32\WScript.exe "%1" %*]
.LNK OK. [{00021401-0000-0000-C000-000000000046}]
我们只需注意ERROR部分,如有出现,我们必须建议提供日志者第一时间去使用sreng去修复!
Ⅵ,Winsock 提供者
SREng日志中,默认只列出“第三方”的winsock提供者。
小编的电脑是正常的,so:
==================================
Winsock 提供者
N/A
===================================
还有一种可能就是杀毒软件[目的是因为这一项是负责网络协议的,杀软用自己的组件守住了这一项,更有利于监控网络数据流。](或一些其他正常软件)所添加的,比如nod32,大蜘蛛,和一些上网验证的客户端等。所以,对于【重置winsock】要谨慎使用,一般情况下,不必刻意的去理会他。
Ⅶ,Autorun.inf
正常情况下,Autorun.inf应为空,如:
==================================
Autorun.inf
N/A
==================================
如果出现了东西,那么就是病毒了,如:
==================================
Autorun.inf
[C:\]
[AuToRuN]
open=XXX.EXE
shell\open=打开(&O)
shelL\open\ComMand= XXX.EXE
[D:\]
[AuToRuN]
open= XXX.EXE
shell\open=打开(&O)
shelL\open\ComMand= XXX.EXE
===============================
这个表明该病毒在C、D分区下建立了Autorun.inf和XXX.EXE,我们可以这样做:
开始——运行——cmd——C:——attrib -a -s -h -r autorun.inf——del autorun.inf
开始——运行——cmd——D:——attrib -a -s -h -r autorun.inf——del autorun.inf
有几个分区感染了,那就重复几次,最后重启机器。
Ⅷ,HOSTS文件
一般情况下,应该为空或如下:
==================================
HOSTS 文件
127.0.0.1 localhost
=================================
还有种可能就一些软件会修改HOSTS文件,添加一些项目,大都是让电脑禁止访问被添加HOSTS项目的网站,如:
127.0.0.1 localhost
127.0.0.1 www.jshdf.com
127.0.0.1 bbs.jrg.com.cn
我们视情况而定,如果被屏蔽的是一些主流杀毒软件、安全网站的话,我们就要建议日志提供者要重置HOSTS文件了。
Ⅸ,进程特权扫描
在windows系统, 进程特权是程序执行相应操作所需要的。如对系统进程进行内存读取(有时仅仅是为了遍历进程,得到其映像文件名,要对目标进程的PEB进行读取)需要SeDebugPrivilege权限,用程序调用ExitWindowsEx关闭或重启计算机需要SeShutdownPrivilege等等,如果没有相应权限,相应操作就会被系统阻止。
一些软件,比如杀毒软件等,它们因为需要一直监控运行,所以具有更高的进程特权。
例如:
==================================
进程特权扫描
特殊特权被允许: SeLoadDriverPrivilege [PID = 2016, C:\PROGRAM FILES\SHADOW DEFENDER\DEFENDERDAEMON.EXE]
特殊特权被允许: SeSystemtimePrivilege [PID = 2016, C:\PROGRAM FILES\SHADOW DEFENDER\DEFENDERDAEMON.EXE]
特殊特权被允许: SeDebugPrivilege [PID = 2016, C:\PROGRAM FILES\SHADOW DEFENDER\DEFENDERDAEMON.EXE]
特殊特权被允许: SeLoadDriverPrivilege [PID = 2492, F:\PROGRAM FILES\SANDBOXIE\SBIESVC.EXE]
特殊特权被允许: SeLoadDriverPrivilege [PID = 1632, F:\PROGRAM FILES\TENCENT\QQ2010精睿版\BIN\HKDLLS\KQADTRAY.EXE]
特殊特权被允许: SeSystemtimePrivilege [PID = 1632, F:\PROGRAM FILES\TENCENT\QQ2010精睿版\BIN\HKDLLS\KQADTRAY.EXE]
特殊特权被允许: SeDebugPrivilege [PID = 1632, F:\PROGRAM FILES\TENCENT\QQ2010精睿版\BIN\HKDLLS\KQADTRAY.EXE]
特殊特权被允许: SeLoadDriverPrivilege [PID = 4020, F:\USERS\LIUJIEHUA\APPDATA\ROAMING\CHROMEPLUS\CHROME.EXE]
特殊特权被允许: SeSystemtimePrivilege [PID = 4020, F:\USERS\LIUJIEHUA\APPDATA\ROAMING\CHROMEPLUS\CHROME.EXE]
==================================
在这里,我们可以根据映像路径和映像文件名来判断此文件的是否正常。
Ⅹ,计划任务
计划任务可以定义关机时间及开机启动,自定义时间启动某些程序和更新等,所以有些病毒往往会利用这个功能实现开机自动启动。
这个,我们也可以根据映像路径和映像文件名来判断这个人物是否正常。
例如:
==================================
计划任务
[已禁用] \\SogouImeMgr
f:\PROGRA~1\SOGOUI~1\500~1.381\SGTool.exe --appid=pinyinrepair /S
[已启用] \\{4731A4CA-7C6E-4AF6-AD5D-68EBE5309B9E}
C:\Windows\system32\pcalua.exe -a H:\笔记本电脑\必要安装程序\ha_regvac50126.exe -d H:\笔记本电脑\必要安装程序
[已禁用] \Microsoft\Windows\Active Directory Rights Management Services Client\AD RMS Rights Policy Template Management (Automated)
N/A
[已启用] \Microsoft\Windows\Active Directory Rights Management Services Client\AD RMS Rights Policy Template Management (Manual)
N/A
==================================
ⅰ,Windows 安全更新检查
System Repair Engineer (SREng) 2.81 版本增加了Windows 安全更新扫描功能,它能检查你系统还未打完的补,但不能自主修复。
ⅱ,API HOOK
这个……一般杀毒软件会很乐意进行挂钩~因为杀毒软件为了从更深的层次得监控保护电脑,从而就会修改此处。
一般为N/A,如:
==================================
API HOOK
N/A
==================================
或者为杀毒软件所修改的,如:
==================================
API HOOK
入口点错误:ShellExecuteExW (危险等级: 一般, 被下面模块所HOOK: d:\Program Files\Kingsoft\WebShield\kswebshield.dll)
==================================
同样,我们可以根据映像路径和映像文件名来判断此钩子的是否正常。
ⅲ,隐藏进程
一般情况下,是为N/A,如:
==================================
隐藏进程
N/A
==================================
或者是杀毒软件,一些安软,为了保护自身不被病毒干掉,所以创建了隐藏进程。
注意:如果在这里出现iexplore.exe,那么你就要小心了~!IE是不会自己创建隐藏进程的。这种情况,一般都是灰鸽子等。
转载于:https://blog.51cto.com/erican/344714
SREng日志全分析(二)相关推荐
- Android10.0 日志系统分析(二)-logd、logcat架构分析及日志系统初始化-[Android取经之路]
摘要:本节主要来讲解Android10.0 日志系统的架构分析,以及logd.logcat的初始化操作 阅读本文大约需要花费15分钟. 文章首发微信公众号:IngresGe 专注于Android系统级 ...
- 学习Coding-iOS开源项目日志(二)
继续前篇:<学习Coding-iOS开源项目日志(一)>,接着本第二篇<学习Coding-iOS开源项目日志(二)>讲解Coding-iOS开源项目. 前言:作为初级程序员,想 ...
- 黑马程序员——黑马学习日志之二十 Java高新技术(二)
------- android培训.java培训.期待与您交流! ---------- 黑马学习日志之二十 Java高新技术(二) 1枚举 问题:要定义星期几或性别的变量,该怎么定义? 假设用1-7分 ...
- 计算机基础学习日志(二)sq函数
计算机基础学习日志(二)sq函数 代码功能 代脉内容 运行结果 结果分析 代码功能 模拟计算机内部进行乘法运算时发生溢出的情况,x*x(x被定义为int型)的结果不是永远大于零的. 代脉内容 #inc ...
- Qt5.8《网络版够级游戏》编写日志之二:界面设计
Qt5.8<网络版够级游戏>编写日志之二:界面设计 说干就干,按照之前的想法,我对服务器和客户端进行了项目创建,并开展了界面搭建,由于还不知道遇到什么问题,基本上想到哪儿做到哪儿,想把界面 ...
- 股票模拟交易日志(二)
股票模拟交易日志(二) 时间:2021年12月3日 主要活动:买入北巴传媒(600368)500股 买入价:4.816 投资思路:根据投资学课内所学知识,判断一家公司的好坏关键在于其市值是否被高估或低 ...
- 日志处理(二) 日志组件logback的介绍及配置使用方法(转)
本文转自:http://www.cnblogs.com/yuanermen/archive/2012/02/13/2348942.html http://www.cnblogs.com/yuanerm ...
- hive metastore mysql_Hive初步使用、安装MySQL 、Hive配置MetaStore、配置Hive日志《二》...
一.Hive的简单使用 基本的命令和MySQL的命令差不多 首先在 /opt/datas 下创建数据 students.txt 1001 zhangsan 1002 lisi 1003 wangwu ...
- asp.net core mcroservices 架构之 分布式日志(二)之自定义日志开发
netcore日志原理 netcore的日志是作为一个扩展库存在的,每个组件都有它的入口,那么作为研究这个组件的入口是最好的,首先看两种方式: 这个是源码例子提供的. 1 var loggingCon ...
- 基于WPF+XMPP的IM程序开发日志 之二 WPF线程模型
循例地在开始正文前说些废话.正如这篇博客的题目--开发日志,这系列的博客是我在编写这个IM的一些日志,或者另外一个说法:笔记.并不是一些系统的文章,例如"XX学习教程".这些博客里 ...
最新文章
- php实时股票,php获得股票数据
- Ubuntu16.04怎样安装Python3.6
- xaml修改后台代码的值_Django定制后台和修改模型
- bim 模型web页面展示_BIM+装配式建筑工程师2020年必须拿下的技能证书
- Eigen入门之密集矩阵 7 - Map class:连接Eigen与C++的数据
- 由于开发者通过接口修改了菜单配置_Android SDK开发艺术探索(四)个性化配置...
- junit:junit_简而言之,JUnit:另一个JUnit教程
- qt triggered信号_Qt之网络编程UDP通信
- LeetCode 53. 最大子序和(动态规划)
- 吴恩达深度学习 —— 2.11 向量化
- GCD异步加载网络图片
- 封装Js事件代理方法
- 报错Error configuring application listener of class jdbc.ContextListener 解决办法之一
- 已故女孩在微博“复生”追星,你的数据资产谁说了算?
- 小草手把手教你 LabVIEW 串口仪器控制——VISA 串口配置
- 使用 IDEA 翻译插件
- 看《流金岁月》杨珂带领销售团队成功之处
- 抽象工厂(代码实现)
- 游戏+区块链的进化三段论:从投机增值到生态意识
- 如何查看数据库版本-Mysql
热门文章
- Solidworks 2015 安装教程
- cad工具箱详细讲解_CAD贱人工具箱的使用教程详解
- armbian 斐讯n1_斐讯N1刷入Armbian(linux)或者电视盒子系统
- SPSS输出结果统计表与统计图的专业性编辑及三线表定制格式
- MEMS - 基础 - 悬臂梁的挠度
- solidworks有限元分析_新手学习心得体会
- Android 分贝测试仪功能,Android最新大厂面试真题总结
- 190825 reverse-ogeek初赛
- opencv之伪彩色处理
- 佳能mf4400打印机无线服务器,佳能mf4400打印机驱动最新版