SREng日志全分析(一)
SREng日志全分析!
我们先来了解下SREng日志的结构:
【注:以System Repair Engineer (SREng) 2.81 版本扫出来的日志为标准】
完整的SREng日志,是由以下部分组成的:所有的启动项目(包括注册表、启动文件夹、服务等)
系统驱动文件
浏览器加载项
正在运行的进程(包括进程模块信息)
文件关联
Winsock 提供者
Autorun.inf
HOSTS 文件
进程特权扫描
计划任务
Windows 安全更新检查
API HOOK
隐藏进程
Ⅰ,首先我们来研究:所有的启动项目(包括注册表、启动文件夹、服务等)
一.注册表启动项目分支:
1.在SREng日志中,注册表的结构如下:
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run]
<avgnt><"C:\Program Files\Avira\AntiVir Desktop\avgnt.exe" /min /nosplash> [(Verified)Avira GmbH]
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run] 代表这个启动项目,在注册表中的详细位置。
<avgnt><"C:\Program Files\Avira\AntiVir Desktop\avgnt.exe" /min /nosplash> [(Verified)Avira GmbH]
<avgnt>代表指该启动项在注册表中的名称。不同的启动项目,名称是不同的。
<"C:\Program Files\Avira\AntiVir Desktop\avgnt.exe" /min /nosplash>,这个项目代表的是:在此处,显示的是该注册表键完整的键值。对于键值为相对路径的情况(如Explorer.exe),系统自动遍历环境变量PATH中的文件夹列表,来查找文件。
[(Verified)Avira GmbH]代表的是:(Verified)表示该文件已经通过“数字签名验证”。但要注意的是,有些文件(Verified),但是没有公司名称(例如Avira GmbH),也是要留心的。
特例!:
1.
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run]
<NvMediaCenter><RUNDLL32.EXE C:\WINNT\system32\NvMcTray.dll,NvTaskbarInit>
[NVIDIA Corporation]
在windows中,DLL文件(动态数据库链接文件)是不能自己独立运行的。它其实是启动Rundll32.exe,把NvMcTray.dll和其他相应参数作为命令行(CommandLine)参数传递的。
键值所显示的,是系统按此项启动时,执行的命令行。所以这里实际上是命令行的构成。
另外,在windows中,不止包括:rundll32.exe,常见的还包括:svchost.exe等。
2. 在windows系统中,有一项很特殊的启动项目,其名称为:AppInit_dlls
对于这个键值,正常的情况是:该项目的值为空。也就是说,在正常的电脑中,这个启动项目,如下所示:
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Windows]
<AppInit_DLLs><> [N/A]
这个键值的作用,是每一个进程启动加载user32.dll的时候,会自动加载这个键值中保存的所有dll。
如果在一份报告中,此项的“文件信息”出现键值(SREng会提示的,注:SREng对于此项非空的提示,并不表示一定是病毒造成的问题,应谨慎判断。),则分几种情况考虑:
1.被一些优化软件所修改(作用大致是对所有使用图形界面的程序的窗口进行改造等。)
2.被杀毒软件所修改,例如卡巴斯基等
3.被病毒修改
如果在此项的键值中出现很可疑的文件的话(如12343.dll、wkefu.dll等),那就要小心了例如下:
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Windows]
<AppInit_DLLs><lalala.dll> [N/A]
如果这个启动项目出现在报告中,那么必须得引起你的高度重视,你必须看清是空值(即正常值),还是有其他信息。
判断方法: 看这个文件(例如:lalala.dll),是不是在报告的“正在运行的系统进程”,插入了大部分进程。如果有,则要杀毒了。
番外:关于IFEO在日志中的反应:
什么?你居然不知道IFEO?好吧,建议你去百度一下,你就知道了~
在日志注册表项目中,如出现:
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\]
这就表明你中了IFEO的劫持了。
例如:
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\360safe.exe]
<IFEO[360safe.exe]><ntsd -d> [N/A]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\360safebox.exe]
<IFEO[360safebox.exe]><ntsd -d> [N/A]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\360tray.exe]
<IFEO[360tray.exe]><ntsd -d> [N/A]
<IFEO[360safe.exe]>的意思是利用IFEO技术,劫持正常的文件名为:autoruns.exe 的文件。
<IFEO[360safe.exe]><ntsd -d>准确的说:是当被IFEO劫持的程序执行时,系统转而调用目标程序,并把被IFEO劫持程序执行时的完整命令行作为命令行参数加在后面进行传递,使360Safe.exe 进行调试,随后退出。
<ntsd -d>:
-d是这个工具的一个参数,指定ntsd -d的命令可以使程序即使成功进行调试,也会随着它的退出而一起退出。
二.如何区分正常和不正常的启动项目:
1.一个看上去正常的系统文件,在不正常的文件位置。(比如应该在windows\system32文件夹下的一个系统文件,却跑到了windows目录下)
这个,就需要自己去掌握了,并要时刻牢记:windows常见进程,对应的文件名称,位置。
例如:
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run]
<svchost><C:\windows\system32\drivers\svchost.exe> [Microsoft Corporation]
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run]
<svhcost><C:\windows\system32\svhcost.exe> [Microsoft Corporation]
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run]
<svchost><C:\windows\system32\windows\svchost.exe> [Microsoft Corporation]
这三个启动项目明显是不正常的,第一个和第三个明显文件摆放的路径不同,正常的svchost.exe在C:\windows\system32\下,第二个路径对了,但你仔细观察下它的文件名:svhcost.exe…………
2.数字签名验证
80%的正常文件都会有[(Verified)(公司)](当然,还有一些正常文件会没有,这就要借助那伟大的搜索引擎和你那同伟大的大脑了!)所以,在SRE报告中,我们对于没有数字签名验证的文件,其数字签名验证处显示为:[],或[N/A]时,在看报告的时候,要特别小心。例如:
<WoShiBingDu><C:\WINDOWS\sae13424.exe> [N/A]
<lalala><C:\WINDOWS\lalala.exe> []
这就是典型的病毒啊!
3.善于利用搜索引擎
有些正常的文件,但没有数字签名验证。在这种情况时,我们就要用到搜索引擎了。因此,一定要善用搜索引擎!我们可以直接搜索文件名,比如 abc.exe, abc.dll,abc.sys等。
三.启动文件夹分支:
启动文件夹是指开始——程序——启动。在Windows中,启动文件夹分作公用启动文件夹和私有启动文件夹。公用启动文件夹里面的启动快捷方式对所有用户均有效,而私有启动文件夹里面的快捷方式仅对当前用户有效。SREng 能够同时支持共有启动文件夹和私有启动文件夹的信息的获取并在日志中将相关信息予以反馈。
一般来说,日志中的这项内容会很少,分析日志者可以根据自己的判断或结合用搜索引擎很快地判断该启动项是否正常。小编我的启动文件里就没有东东~
例如:
==================================
启动文件夹
N/A
==================================
或:
==================================
启动文件夹
[IE-Bar]
<C:\Documents and Settings\All Users\Start Menu\Programs\Startup\IE-Bar.lnk>
<N/A, >
==================================
这个,就是恶意软件所生成的东西,要删除……
四.服务分支:
1.在SREng日志中,服务的结构如下:
[Avira AntiVir Guard / AntiVirService][Running/Auto Start]
<"C:\Program Files\Avira\AntiVir Desktop\avguard.exe"><Avira GmbH>
AntiVirService代表该服务的服务名(注册表中该服务项的真正名称)
Avira AntiVir Guard代表该服务的显示名(该服务项的DisplayName键值)
[Running/Auto Start]代表:该服务的运行状态
注:一些其他的状态的中文名:
Running:正在运行
Auto Start:自动启动
Manual Start:手动启动
Disable:禁用
Stopped:目前处于停止
<"C:\Program Files\Avira\AntiVir Desktop\avguard.exe">代表映像路径,即ImagePath键值,其与启动项类似,仍然是服务启动时执行的命令行
<Avira GmbH>代表服务的公司名称
2.正常、非正常服务的判断方法和依据:
1.根据数字签名验证
这条很上文的【注册表启动项目】的判断方法没啥两样,在这就不再啰嗦了~
2.分析在SRE报告中出现的非已经验证过的微软服务和其他服务
日志中只显示非已经验证过的微软服务(已经验证过的微软服务sreng将自动隐藏)
例如:
[woshibingdu / wsbd][Running/Auto Start]
<C:\WINDOWS\system32\wsbd.exe -k><>
这种服务……典型的该删!没有数字签名,名称又乱七八糟(wsbd=我是病毒,(*^__^*) 嘻嘻,小编的恶趣味哦~)
[svchost / svchost][Stopped/Auto Start]
<C:\WINDOWS\system32\windows\svchost.exe -g><Microsoft Corporation>
这个,什么?看上去不错?!恩,有微软签名。再仔细看看~咦,正常的svchost.exe不是在
C:\windows\system32\下面吗?怎么这个~~~~~懂的人都懂了……
3.善于使用搜索引擎
你可以直接用服务的服务名和显示名来搜索。
4.谨防冒充“微软签名的”
目前有些病毒,开始伪造微软签名了,公司名是:<Microsoft Corporation>,所以,提醒大家,不要看到是MS的签名,就跳过去了,我们要从名称,映像路径等来综合判断~
特例!:
1.例如:
[Shell Hardware Detection / ShellHWDetection][Running/Auto Start]
<C:\Windows\System32\svchost.exe -k netsvcs-->%SystemRoot%\System32\shsvcs.dll><Microsoft Corporation>
上文已经提到过了
【在windows中,DLL文件(动态数据库链接文件)是不能自己独立运行的。它其实是启动Rundll32.exe,把NvMcTray.dll和其他相应参数作为命令行(CommandLine)参数传递的。
键值所显示的,是系统按此项启动时,执行的命令行。所以这里实际上是命令行的构成。】
在这里,shsvcs.dll启动svchost.exe,把shsvcs.dll和其他相应参数作为命令行(CommandLine)参数传递。所以,在这我们不是主要判断\svchost.exe -k netsvcs,而是要重点判断shsvcs.dll是否为正常文件。
2.例如:
[Human Interface Device Access / HidServ][Stopped/Disabled]
<C:\WINDOWS\System32\svchost.exe -k netsvcs-->%SystemRoot%\System32\hidserv.dll><N/A>
[Help and Support / helpsvc][Stopped/Disabled]
<C:\windows\System32\svchost.exe -k netsvcs-->%WINDIR%\PCHealth\HelpCtr\Binaries\pchsvc.dll><N/A>
这两个是很常见的正常项,尽管没有数字签名……
Ⅱ,系统驱动文件
windows正常的驱动文件,为:*.sys,类型的文件,位于:c:\windows\system32\drivers ,这个文件夹下面。
谨记:要删除驱动的时候,一定要先备份,后删除!
1.在SREng日志中,驱动程序的结构如下:
[Microsoft Kernel Acoustic Echo Canceller / aec][Stopped/Manual Start]
<system32\drivers\aec.sys><Microsoft Corporation>
其结构和【服务】的结构没有太大区别,在这不累述了。
正常、非正常驱动程序的判断方法和依据:
1.看数字签名(见上文)
2.文件名称乱七八糟的= =,例如:
[hswgajeg/ rekng][Running/Manual Start]
<system32\drivers\66542gvi.sys><sfjsfg>
[skjd / skjd][Stopped/Manual Start]
<\??\C:\DOCUME~1\hopesky~1\LOCALS~1\Temp\skjd.sys><N/A>
……别废话了,先备份,后删除吧~
3.搜索引擎上明摆着是病毒的
4.由某种病毒衍生出来的驱动
多多积累,才能多多收获,就这样~~
Ⅲ,浏览器加载项
浏览器加载项是一个综合的项目,其中包括了BHO,ActiveX等插件,浏览器工具栏等多个项目,这些项目中,不仅仅有dll类型的加载PE文件(BHO或ActiveX项目),也有工具栏附加按钮,浏览器的右键菜单项目等。
1.在SREng日志中,浏览器加载项的结构如下:
[Thunder Browser Helper]
{889D2FEB-5411-4565-8998-1DD2C5261283} <D:\Program Files\Thunder\ComDlls\xunleiBHO_Now.dll, (Signed) Thunder Networking Technologies,LTD>
[Thunder Browser Helper]代表该加载项的名称
{889D2FEB-5411-4565-8998-1DD2C5261283}代表在注册表中的名称
<D:\Program Files\Thunder\ComDlls\xunleiBHO_Now.dll代表映像路径
(Signed) Thunder Networking Technologies,LTD>代表数字签名(有些没有也是正常的!)
2.正常、非正常浏览器加载项的判断方法和依据:
那啥,很少有病毒会很无聊的涉及到这个项目,一般都是恶意软件等去涉及的……在这个项目中,基本上出不了大问题,自己多多积累一些windows自带的浏览器加载项和常见的浏览器加载项就行了~
转载于:https://blog.51cto.com/erican/344712
SREng日志全分析(一)相关推荐
- AV终结者技术大曝光(另附AV终结者10大死法)
最近"帕虫"(瑞星),AV终结者(金山命名)蛮流行的,其实就是7.8位字符病毒.我们民间的菜鸟管它叫"随机字母.数字病毒".貌似反病毒论坛每天都有人因为这个病毒 ...
- 类似AV终结者的病毒分析
昨天拿到一个病毒 据说类似AV终结者,测试了一下 结果如下: File: debug.exe Size: 46592 bytes MD5: 153D51C2BB487B1DFE9F40355C34BE ...
- 修复被劫持、篡改的IE主页
很久不用IE9,今天打开IE,发现IE主页被修改了,于是我打开"Internet选项",修改默认主页,再次点开,正常-- 后来,我偶然启动IE9,发现主页又被修改回来了,我很奇怪, ...
- chenzi.exe的分析及解决方法
File size: 18593 bytes MD5: c595bc161e1d64b4d8f4d84139ef02b0 SHA1: 100e8a9ae7034b41443e4ddaa46f175 ...
- Trojan.Win32.Agent.vti的查杀举例
作者:清新阳光 ( [url]http://hi.baidu.com/newcenturysun[/url] ) 这 ...
- 计算机windows7启动不了桌面,Win7启动后不显示桌面的解决方法
有时候我们启动电脑,桌面怎么样都出不来,等待很长时间无果.学习啦小编今天跟大家分享Win7启动后不显示桌面怎么办. Win7启动后不显示桌面解决方法 [一].如何恢复桌面? 在查杀病毒前,先将桌面恢复 ...
- 行为恶劣的U盘病毒OSO.exe分析与查杀
病毒名:Worm.Pabug.ck 大小:38,132 字节 MD5:2391109c40ccb0f982b86af86cfbc900 加壳方式:FSG2.0 编写语言:Delphi 传播方式:通过移 ...
- 复合型机器狗病毒的***(lssass.exe)
from: [url]http://hi.baidu.com/newcenturysun[/url]) 最近机器狗病毒盛行,而***为了进一步增强病毒的破坏能力,在机器狗病毒中加入了很多"新 ...
- 警惕恶性U盘病毒HDM.exe
作者:清新阳光 ([url]http://hi.[/url]baidu.com/newcenturysun) 日期:2007/12/01 ...
- 随机8位数字和字母组合的恶性U盘病毒的分析
由于病毒屏蔽 带有"病毒"字样的窗口 所以改一下帖子的名字 最近发现很多人出现了打不开杀毒软件 反病毒工具 甚至带有病毒字样的窗口 今天就接到了这样的一个样本 先前 我发的那个一个 ...
最新文章
- mysql分库分表分页查询语句_MySQL分库分表分库后的查询(8th)
- 揭秘2019双11背后的云网络 – 双11网络架构和洛神系统
- Windows删除删除文件提示无法读源文件或磁盘解决方法
- 汇编语言实现led灯的跑马灯
- 机器学习-线性回归scikit-learn
- 机器人走正方形c语言代码,张西臣---机器人走正方形
- 蓝桥杯c语言b组试题及答案,2014蓝桥杯C语言本科B组预赛试题
- JavaScript实现文件读取、文件导出
- Matlab 自定义imagesc彩色渲染
- 电子信息技术专业名词中英文对照(二)
- Xray扫描器SQL注入检测:sqldet
- Android实现边录音边播放
- 我的全栈之路-Java基础之Java企业级项目开发环境搭建
- java标签用setbounds,java-摆动setResizable和setBounds
- SpringBoot Banner 图片定制修改
- 英文破折号(em dash)、连接号(en dash)与连字符(hyphen)的区别及各自用法是什么?...
- muParser公式库使用简介( 转)
- 从零开始学R(三)——基本计算
- QTP10破解时,运行mgn-mqt82.exe 就提示已停止工作
- 计算机专业英语词组,《计算机专业英语词组.doc
热门文章
- 路由器当ap用虚拟服务器不能用,解决用TPLINK路由器配置模拟AP时Internet连接共享是空白的问题...
- 开源 cocos2dx 五彩连珠.
- SAR舰船检测数据集总结
- python傅里叶变换相位谱图_[转载]图像傅立叶变换及相位谱
- 城市公交类毕业论文文献都有哪些?
- 第一个Mac程序——倒计时v1v2
- python下载urllib3_使用urllib3下载网页
- 安信可nbiot模块_案例丨安信证券服务化平台实践
- Kali系统安装Visual Studio Code
- Android IPC —— AIDL的原理