系统分析是一项纷繁复杂的工作,需要大胆和心细(例如注意数字 1 和字母l的微小的区别,字母o p q的o与数字0 1 2的0的区别等等),刚开始学习的朋友会感到有很多困难,要多借助搜索引擎(推荐google.com !!!baidu.com就算了。不要跟我争这个)

要随时关注目前流行病毒的行情(例如看到rundll32.exe 基本上就可以判定是威金等)刚开始的时候可能会有困难,应静下心来好好研究,等你练到一目N行的时候,基本上就略有小成了。经验的积累也十分的重要!

跟大家一起探讨。 (崔衍渠)

【主要链接】
SREng最新版用法 http://hi.baidu.com/teyqiu/blog/item/f706213fc52346ec54e72351.html
包括SRENG的软件下载、如果获得日志、如何删除问题项的图解。

一、SREng 启动项目 注册表 分析方法

对应的注册表位置在log中可以看到
熟悉常见项,主要包括输入法、音频视频应用程序、杀毒软件、安装的应用软件等
每个进程后有公司名属性,可以辅助辨别
对于不确认的进程 google

[HKEY_CURRENT_USER/Software/Microsoft/Windows/CurrentVersion/Run]
[HKEY_LOCAL_MACHINE/Software/Microsoft/Windows/CurrentVersion/Run]
[HKEY_CURRENT_USER/Software/Microsoft/Windows/CurrentVersion/RunOnce]
[HKEY_LOCAL_MACHINE/Software/Microsoft/Windows/CurrentVersion/RunOnce]
[HKEY_CURRENT_USER/Software/Microsoft/Windows/CurrentVersion/RunServices]
[HKEY_LOCAL_MACHINE/Software/Microsoft/Windows/CurrentVersion/RunServices]
[HKEY_CURRENT_USER/Software/Microsoft/Windows/CurrentVersion/RunServicesOnce]
[HKEY_LOCAL_MACHINE/Software/Microsoft/Windows/CurrentVersion/RunServicesOnce]
[HKEY_LOCAL_MACHINE/Software/Microsoft/Windows/CurrentVersion/RunOnceEx]
以上需要具体分析
[HKEY_CURRENT_USER/Software/Microsoft/Windows NT/CurrentVersion/Windows]
  <load><> []
  <run><> []
以上2个位置 如果加载了进程,通常是问题项
[HKEY_CURRENT_USER/Software/Microsoft/Windows/CurrentVersion/Policies/Explorer/Run]
[HKEY_LOCAL_MACHINE/Software/Microsoft/Windows/CurrentVersion/Policies/Explorer
/Run]
以上2个位置 如果加载了进程,通常是问题项
[HKEY_LOCAL_MACHINE/Software/Microsoft/Windows NT/CurrentVersion/Winlogon]
  <shell><Explorer.exe> [Microsoft Corporation]
  <Userinit><C:/WINDOWS/system32/userinit.exe> [Microsoft Corporation]
[HKEY_LOCAL_MACHINE/Software/Microsoft/Windows NT/CurrentVersion/Windows]
  <AppInit_DLLs><> []
[HKEY_LOCAL_MACHINE/Software/Microsoft/Windows NT/CurrentVersion/Winlogon]
  <UIHost><logonui.exe> [Microsoft Corporation]
以上4个位置如果和默认的有区别,通常是可疑项
[HKEY_LOCAL_MACHINE/SOFTWARE/Microsoft/Windows/CurrentVersion/ShellServiceObjectDelayLoad]
[HKEY_LOCAL_MACHINE/SOFTWARE/Microsoft/Windows/CurrentVersion/Explorer/ShellExec
uteHooks]
[HKEY_LOCAL_MACHINE/SOFTWARE/Microsoft/Windows/CurrentVersion/Explorer/SharedTas
kScheduler]
以上3个位置如果有加载项(除了第二个位置加载瑞星防病毒软件),通常是问题项

二、 SREng --- 启动文件夹

对应以下2个位置
Startup: c:/documents and settings/USERNAME/「开始」菜单/程序/启动

(Username为具体的用户名,例如 teyqiu, 王小丫 之类的)

Global Startup: c:/documents and settings/All Users/「开始」菜单/程序/启动

常见问题项:
[IE-Bar]
<C:/Documents and Settings/All Users/Start Menu/Programs/Startup/IE-Bar.lnk>
<N>

三、SREng服务的分析方法

对应注册表位置如下:
HKEY_LOCAL_MACHINE/SYSTEM/CurrentControlSet/Services

服务后有公司属性,辅助分析,有假冒公司属性的服务需要注意
服务对应的文件位于windows下的要注意
不确认的google

不过有些没公司属性的也没问题 常见的有 要强记!别误删。

[Secdrv / Secdrv]
<system32/DRIVERS/secdrv.sys><N/A>

[TSP / TSP]
</??/C:/WINDOWS/system32/drivers/klif.sys><N/A> 卡巴斯基

常见的问题项:
灰鸽子
[Performance Moniter / BARCASE]
<C:/WINDOWS/SYSTEM32/RUNDLL32.EXE C:/WINDOWS/SYSTEM32/WBEM/IRJIT.DLL,Export
1087><N/A>
[JMediaService / JMediaService]
<C:/WINNT/system32/rundll32.exe C:/PROGRA~1/MMSASS~1/MMSSVER.DLL,Service><N/A>
[StdService / StdService]
<C:/WINNT/system32/rundll32.exe C:/WINNT/System32/STDSVER.DLL,Service><N/A>
[VIPTray / VIPTray]
<C:/WINDOWS/System32/VIPTray.exe><N/A>
[WinWrCup / WinWrCup]
<C:/WINNT/wincup/wincup.exe -R><MsWinCup>
[WinKld / WinKld]
<C:/WINDOWS/System32/RunDLL32.exe "C:/PROGRA~1/winkld/winkld.dll",Run -r><N/A>
[wint / wint]
<C:/WINDOWS/System32/RunDLL32.exe "C:/PROGRA~1/wint/wint.dll",Run -r><N/A>
[WinkldUP / WinkldUP]
<C:/DOCUME~1/wq/LOCALS~1/Temp/wz/wz.exe -R><N/A>
[XDownloadService / XDownloadService]
<C:/WINDOWS/system32/Rundll32.exe "C:/WINDOWS/Downloader.dll",Run><N/A>

四、 SREng 浏览器加载项 分析方法

对应hijackhtis的02、03、08、09、016项,可以用hijackthis辅助分析
最近出现假冒microsoft和macromedia的项

五、SREng 正在运行的进程 分析方法

注意没有公司名字属性【显示为 N/A 】的exe文件,不确认的 google
没公司属性(或者说显示不出来)但是却是正常文件的也有 例如
  [C:/WINDOWS/system32/msdmo.dll] [N/A, N/A] 要强记!

注意exe文件调用的dll文件,对于不确认的dll文件 google

有公司属性的也要注意分析是否是冒牌货,如最近的飘雪等动不动就冒充Microsoft Corporation。。。。

六、SREng 文件关联     分析方法

SREng提示的error项,通常需要修复
例外:关联的应用程序是自己安装的

七、SREng Winsock 提供者 分析方法

用检测到的文件google
修复方法及常见的问题文件参考《hijackthis的010项修复方法》

附:《hijackthis的010项修复方法》

HijackThis日志细解正文(十四):组别——O10

www.rising.com.cn 2004-8-5 15:09:00 信息源:瑞星社区 作者:风之咏者

1. 项目说明

O10项提示Winsock LSP(Layered Service Provider)“浏览器劫持”。某些间谍软件会修改Winsock 2的设置,进行LSP“浏览器劫持”,所有与网络交换的信息都要通过这些间谍软件,从而使得它们可以监控使用者的信息。著名的如New.Net插件或WebHancer组件,它们是安装一些软件时带来的你不想要的东西。相关的中文信息可参考——
http://tech.sina.com.cn/c/2001-11-19/7274.html

2. 举例

O10 - Hijacked Internet access by New.Net
  这是被广告程序New.Net劫持的症状(可以通过“控制面板——添加删除”来卸载)。
O10 - Broken Internet access because of LSP provider `c:/progra~1/common~2/toolbar/cnmib.dll` missing
  这一般出现在已清除间谍软件但没有恢复LSP正常状态的情况下。此时,网络连接可能丢失。
O10 - Unknown file in Winsock LSP: c:/program files/newton knows/vmain.dll
  这是被广告程序newtonknows劫持的症状,相关信息可参考 http://www.pestpatrol.com/PestInfo/n/newtonknows.asp

3. 一般建议

一定要注意,由于LSP的特殊性,单单清除间谍软件而不恢复LSP的正常状态很可能会导致无法连通网络!如果您使用杀毒软件清除间谍程序,可能遇到如上面第二个例子的情况,此时可能无法上网。有时HijackThis在O10项报告网络连接破坏,但其实仍旧可以连通,不过无论如何,修复O10项时一定要小心。

遇到O10项需要修复时,建议使用专门工具修复。

(1)LSPFix http://www.cexx.org/lspfix.htm

(2)Spybot-Search&Destroy(上面提到过,但一定要使用最新版)

这两个工具都可以修复此问题,请进一步参考相关教程。

4. 疑难解析

某些正常合法程序(特别是一些杀毒软件)也会在Winsock水平工作。比如
O10 - Unknown file in Winsock LSP: c:/windows/system32/kvwsp.dll

这一项就属于国产杀毒软件KV。所以,在O10项遇到“Unknown file in Winsock LSP”一定要先查询一下,不要一概修复。

[转]SReng分析方法相关推荐

  1. 面向过程(或者叫结构化)分析方法与面向对象分析方法到底区别在哪里?

    AutoSAR入门到精通系列讲解 将从2019年开始更新关于AutoSAR的知识,从入门到精通,博主xyfx和大家一起进步 雪云飞星 ¥29.90 去订阅 简单地说结构化分析方法主要用来分析系统的功能 ...

  2. java三维滑雪,第六章 三维数据空间分析方法.ppt

    第六章 三维数据空间分析方法 * * * * 可视性分析 * * 自然邻域法插值 基本思路: 利用输入点及邻近栅格单元进行插值生成栅格表面. 方法: 利用输入数据点(样本点)为节点,建立Delauna ...

  3. mysql慢查询开启及分析方法

    最近服务维护的公司的DB服务器,总是会出现问题,感觉需要优化一下了,登陆上去,发现慢查询日志都没有开,真是惭愧, 故果断加上慢查询日志,经过分析sql记录,发现问题很多,开发人员很多没有对sql优化, ...

  4. 图论分析方法gretna_基于磁共振的多模态分析对血管性认知障碍患者脑网络的研究...

    摘要:目的:1.通过对血管性认知障碍(VCI)患者的结构相及静息态磁共振数据进行采集和分析,运用图论的分析方法来研究VCI患者与正常者之间的脑网络差异,并将脑网络拓扑属性与临床认知评分进行相关性分析, ...

  5. Nature Microbiology: 微生物数据的系统发育分析方法

    本文转载自美格基因,己获授权. 佳作推荐 推荐指数:★★★★★ 阅读时间:4 分钟 文本字数:1800字 推荐理由: 这篇文章总结了对微生物组数据的系统发育进行分析的几种方法,举例说明不同方法适用的数 ...

  6. 什么是信度分析(Reliability)?有哪些信度分析方法?那什么又是效度?

    什么是信度分析(Reliability)?有哪些信度分析方法?那什么又是效度? 目录 什么是信度分析(Reliability)?有哪些信度分析方法?那什么又是效度? #常见信度分析方法

  7. R语言临床诊断试验的ROC分析方法示例

    R语言临床诊断试验的ROC分析方法示例 ROC(receiver operating characteristic curve)接收者操作特征曲线,是由二战中的电子工程师和雷达工程师发明用来侦测战场上 ...

  8. 分析方法升级三代测序辅助,优化无参转录组测序策略

    分析方法升级&三代测序辅助,优化无参转录组测序策略 无参转录组拼接升级 Corset 让"基因"概念更准确 在无参转录组项目中,利用主流软件 Trinity 进行 De n ...

  9. ​数据分析必读干货:简单而实用的3大分析方法

    来源:大数据DT 本文约3300字,建议阅读8分钟 数据分析师需要哪些"专业技能"?如果有人建议你去学习R语言.tableau.PowerBI,那么我建议你不如先从最基础也是最核心 ...

  10. gis快速接地开关_一种基于扫描电镜和能谱仪的GIS放电异物来源分析方法

    扫描电镜(SEM)及其附带的能谱仪(EDS)可以用来进行金属的组织形貌观察和微区成分分析.扫描电镜具有景深大.图像立体等优点,图像放大倍数范围为8~300000倍,试验人员可以通过调节扫描电镜的相关参 ...

最新文章

  1. 设计模式学习1:设计模式简述和设计模式原则
  2. 导出jar插件_利用类加载器解决不兼容的Jar包共存的问题
  3. [置顶] Linux协议栈代码阅读笔记(一)
  4. WebKit 内核源码分析 (二) FrameLoader
  5. 深度学习实践:计算机视觉_深度学习与传统计算机视觉技术:您应该选择哪个?
  6. 最难啃的《深度学习》圣经花书,居然新出版了视频课!
  7. mockito 多层调用_连续调用的Mockito迭代器样式存根
  8. Swift基本运算符详解
  9. Shell脚本学习(一)Shell命令基础
  10. 第一个小程序demo
  11. MIPS单周期CPU设计——lw和sw指令的设计
  12. 小学生python编程教程-python 小学生教程|怎么让一个小学生学会Python?
  13. 金山打字通计算机英语,关于英语打字的问题我现在在用金山
  14. 米家 智能 服务器,为什么一谈到智能家居 都是小米米家?
  15. WordPress主题的最佳市场:TemplateMonster还是ThemeForest?
  16. vimdiff 命令使用介绍
  17. Java岗面试:java技术面试问题
  18. python(2)兔子产子
  19. Android进程的五大等级
  20. 淘宝爬虫之强行登录如何解决Selenium被检测到的问题?

热门文章

  1. matlab临界转速教学,转子动力学求解转子临界转速与固有频率详解.ppt
  2. JPA是什么?怎样开发JPA应用?
  3. i7 9750h和i7 8750h参数对比差多少
  4. 蓝牙键鼠 HID Reports
  5. SPSS实现单样本t检验
  6. EasyClick易点云测 EC超级拓展插件laoleng.js
  7. hbase官方文档中文版0.97
  8. 《缠中说禅108课》60:图解分析示范五
  9. 电磁流量计流速信号特征
  10. 基于uniapp的QQ小程序开发(前端篇)