版權(quán)說明:本文檔由用戶提供并上傳,收益歸屬內(nèi)容提供方,若內(nèi)容存在侵權(quán),請進(jìn)行舉報或認(rèn)領(lǐng)
文檔簡介
學(xué)看SREng日志分析報告.<下>2008年09月05日星期五13:54學(xué)看SRE報告————第四講[折疊]
一。瀏覽器加載項結(jié)構(gòu)
還是以例子來說明:
[ThunderAtOnceClass]
{01443AEC-0FD1-40fd-9C87-E93D1494C233}<d:\ProgramFiles\Thunder\ComDlls\TDAtOnce_Now.dll,ThunderNetworkingTechnologies,LTD>
●[ThunderAtOnceClass]:該加載項名稱
●{01443AEC-0FD1-40fd-9C87-E93D1494C233}:在注冊表中的名稱
●<d:\ProgramFiles\Thunder\ComDlls\TDAtOnce_Now.dll,ThunderNetworkingTechnologies,LTD>:對應(yīng)文件的完整位置+公司簽名
二。判斷方法
很少有病毒會涉及到這個項目,倒是流氓軟件,100%絕對會在這里創(chuàng)建鍵值。
1.加載項名稱,這里。特別需要注意的是:如果有[],這樣的加載項,則代表該項鍵值有問題,當(dāng)然,不能就此斷定是病毒創(chuàng)建的。至少,有一點可以保證,對于IE瀏覽網(wǎng)頁,它是絕對沒用的。
2.公司簽名
這個說過很多次了,沒公司簽名的,或者為N/A的,需要仔細(xì)查驗其對應(yīng)文件的詳細(xì)路徑。一般通過路徑,就能判斷出是否是病毒文件。
[雅虎助手]
{5D73EE86-05F1-49ed-B850-E423120EC338}</start.htm?source=yzs_icon&btn=yassistnew,N/A>
萬人皆知的流氓了,自己都懶著給自己的文件,做公司簽名,要來有何用?
[使用迅雷下載]
<d:\ProgramFiles\Thunder\Program\geturl.htm,N/A>
連迅雷,都犯懶,不做簽名。。。。。。通過路徑,應(yīng)該能看出是迅雷吧?Thunder~引用:
這個說法有誤。瀏覽器加載項是一個很綜合的項目,包括BHO,ActiveX插件,瀏覽器工具欄等多個項目,在SREng的界面中可以看到明顯的說明。
這些項目中,不僅僅有dll類型的加載PE文件(BHO或ActiveX項目),也有工具欄附加按鈕,瀏覽器的右鍵菜單項目等等,特別是后兩者,經(jīng)常是一些網(wǎng)頁鏈接。
顯然這里就是兩個網(wǎng)頁鏈接,目標(biāo)是雅虎的一個網(wǎng)頁,以及迅雷保存在本機(jī)的一個網(wǎng)頁(作為迅雷的組件,當(dāng)你右鍵點“使用迅雷下載”時,瀏覽器后臺運(yùn)行了這個網(wǎng)頁)。網(wǎng)頁鏈接不是可執(zhí)行文件,當(dāng)然就沒有數(shù)字簽名,這不是人家公司不做簽名,而是壓根就不需要做,也沒法做得上去!
瀏覽器加載項這里,幾乎不會有什么問題,多看報告,積累總結(jié)出windows常見的,正常的瀏覽器加載項,就行了。除了windows自帶的,基本上95%都是流氓軟件的加載項了。流氓軟件,在手工殺毒的過程中,可以忽略不管。畢竟,它不算真正意義上的病毒。但是,如果作報告的電腦,出現(xiàn):某個網(wǎng)頁,無法訪問,或者修復(fù)了winsock后,仍不能訪問網(wǎng)頁,則需要從瀏覽器加載項入手考慮了。學(xué)看SRE報告————第五講[折疊]
一."正在運(yùn)行的進(jìn)程"結(jié)構(gòu)說明
這部分,在SRE報告中,比重是最大的,其實,說白了,就是列出電腦當(dāng)前運(yùn)行的所有程序的進(jìn)程信息,包括各自的模塊(包括哪些同時運(yùn)行,或者程序調(diào)用的DLL文件等)信息.
為了減少看報告的工作量,提高效率.我們建議,在做報告之前,應(yīng)該盡量關(guān)閉windows系統(tǒng)第三方的程序,比如QQ,IE,千千等等.盡量做到:只保留windows自身的進(jìn)程.這樣有助于我們更快速的判斷,大家不用擔(dān)心,關(guān)閉第三方程序,不會對查毒產(chǎn)生負(fù)面影響.
還是拿例子說明:
[PID:664/Administrator][C:\KAV2007\KAVStart.exe][KingsoftCorporation,2007,9,28,295]
[C:\windows\system32\MFC71.DLL][MicrosoftCorporation,7.10.3077.0]
[C:\windows\system32\MSVCR71.dll][MicrosoftCorporation,7.10.3052.4]
[C:\windows\system32\MSVCP71.dll][MicrosoftCorporation,7.10.3077.0]
[C:\windows\system32\MFC71CHS.DLL][MicrosoftCorporation,7.10.3077.0]
[C:\KAV2007\KMailOEBand.DLL][KingsoftCorporation,2006,12,1,139]
[C:\KAV2007\SvcTimer.DLL][KingsoftCorporation,2004]
[C:\KAV2007\KAVPassp.dll][KingsoftCorporation,2006,12,30,271]
[C:\KAV2007\PopSprt3.dll][KingsoftCorporation,2007,3,20,48]
[C:\KAV2007\KASocket.dll][KingsoftCorporation,2007,3,18,241]
第一行分三部分:
1.[PID:664/Administrator]:PID值是指此進(jìn)程在系統(tǒng)中的"數(shù)字標(biāo)識",它是唯一的.這個項目對于我們查毒殺毒沒什么意義,大家知道就行了.后面,是創(chuàng)建此進(jìn)程的用戶名.
2.[C:\KAV2007\KAVStart.exe]:這個是該進(jìn)程所運(yùn)行的文件的詳細(xì)位置.
3.[KingsoftCorporation,2007,9,28,295]:該進(jìn)程對應(yīng)文件的公司簽名,文件的版本信息.
下面的"相對第一行有縮進(jìn)"行,是逐行列出了該進(jìn)程,同時調(diào)用了哪些文件,也就是專業(yè)術(shù)語上稱的:模塊信息.我隨便挑取一行說明:
[C:\KAV2007\SvcTimer.DLL]
1.[C:\KAV2007\SvcTimer.DLL]:該模塊對應(yīng)文件的詳細(xì)路徑及名稱
2.[KingsoftCorporation,2004]:模塊的公司名稱,文件的版本信息
當(dāng)然,也存在只有一個運(yùn)行文件,而沒有"模塊"信息的進(jìn)程存在,例如:
[PID:1468/SYSTEM][C:\windows\system32\spoolsv.exe][MicrosoftCorporation,5.1.2600.2696(xpsp_sp2_gdr.050610-1519)]
和上面的例子相比,最后多了一部分:(xpsp_sp2_gdr.050610-1519)
SRE對于windows自身的部分程序,在檢測的時候,都會附帶出"XP系統(tǒng)的版本信息",比如我們上面的:spoolsv.exe(打印機(jī)服務(wù)),Explorer.EXE,services.exe等.
和以前的各塊內(nèi)容不同,在"正在運(yùn)行的進(jìn)程"這部分,SRE加入了"文件版本信息"的內(nèi)容,這個信息,對于我們判斷病毒,起到了很大的作用.一定不能忽略它!
二.判斷方法
1.優(yōu)先注意,公司前面為:N/A的文件
這部分不解釋了,只給出一個例外:[C:\ProgramFiles\WinRAR\rarext.dll][N/A,]
大家最常用的WinRAR的文件,無公司前面,連文件版本信息都沒有^^^^夠郁悶的..........但是是正常的喔!
2.看進(jìn)程文件的版本,模塊文件的版本
目前大部分病毒,雖然會偽造公司前面,但無一例外的,在文件版本上,都沒有"下功夫",所以,我們在判斷的時候,可以優(yōu)先注意:無文件/模塊,版本信息的文件.
3.凡是標(biāo)有XP版本信息的文件,一律為正常的系統(tǒng)文件.如:
[C:\windows\system32\msacm32.drv][MicrosoftCorporation,5.1.2600.0(xpclient.010817-1148)]
4.注意報告的整體"聯(lián)系"
其實,70%的SRE報告,在"注冊表啟動信息","服務(wù)",里面,就基本能挑出90%的病毒文件了.所以到了進(jìn)程這里,要善于查看"上下文"關(guān)系.一般在注冊表啟動項目里面,羅列出的病毒文件.都會在進(jìn)程中有所反映(做為模塊反映出來的,比較多).
5.同一個DLL類型文件,同時做為模塊,插入大部分進(jìn)程,且,該DLL文件,無公司前面,或者有簽名,沒文件版本信息.例如:
[PID:560/SYSTEM][C:\WINDOWS\system32\services.exe][MicrosoftCorporation,5.1.2600.0(xpclient.010817-1148)]
[C:\WINDOWS\system32\sidjezy.dll][N/A,]
[PID:572/SYSTEM][C:\WINDOWS\system32\lsass.exe][MicrosoftCorporation,5.1.2600.1106(xpsp1.020828-1920)]
[C:\WINDOWS\system32\sidjezy.dll][N/A,]
[PID:748/SYSTEM][C:\WINDOWS\system32\svchost.exe][MicrosoftCorporation,5.1.2600.0(xpclient.010817-1148)]
[C:\WINDOWS\system32\sidjezy.dll][N/A,]
三.關(guān)于AppInit_DLLs
這個東西,我們第一講就著重提到了,我在這里再說一次.
前面說過,此鍵值如果不為空,則分為"美化和病毒"兩種情況.美化不說了,我說病毒的情況
如果在"注冊表啟動信息"中,AppInit_DLLs得值,是一個DLL類型文件,而且,此文件,插入了多個"正在運(yùn)行的進(jìn)程"中.則此文件99%為病毒文件!例子:
上面,注冊表啟動信息:
[HKEY_LOCAL_MACHINE\Software\Microsoft\WindowsNT\CurrentVersion\Windows]
<AppInit_DLLs><kvdxsjma.dll>[]
下面,正在運(yùn)行的進(jìn)程:
[PID:1744/GOKU][C:\WINDOWS\SOUNDMAN.EXE][RealtekSemiconductorCorp.,4]
[C:\WINDOWS\System32\kvdxsjma.dll][N/A,]
看清楚上面2行噢!C:\WINDOWS\SOUNDMAN.EXE,是正常的聲卡文件.但下面的模塊,可是被"病毒文件:kvdxsjma.dll"插入了.同樣的:
[PID:1948/GOKU][C:\WINDOWS\System32\RUNDLL32.EXE][MicrosoftCorporation,5.1.2600.0(xpclient.010817-1148)]
[C:\WINDOWS\System32\kvdxsjma.dll][N/A,]
這樣的結(jié)構(gòu).......毫無疑問了,100%是病毒了.同時出現(xiàn)在Appinit和進(jìn)程模塊里面,而且無公司前面,無文件版本.引用:
這個說法有點“循環(huán)論證”的感覺。
實際上,由于此項的功能(上面已經(jīng)加了評論說明),在此項的dll文件幾乎注定被大部分進(jìn)程所加載(沒有看到在其模塊列表中的那些進(jìn)程,并一定不是啟動時不加載,而可能是加載之后該dll判斷自身加載環(huán)境,對不需要加載的進(jìn)程,則自動卸載了)因此,這個現(xiàn)象嚴(yán)格來說并不能更加佐證該dll是病毒的推論,還是應(yīng)該依照文件路徑、數(shù)字簽名信息等諸多方面綜合判斷。
四.總結(jié)
因為這部分是報告中,容量最大的部分,所以看起來確實需要花一段時間.一般就從公司簽名,文件簽名入手即可.大部分文件,只要看到公司簽名和文件版本信息,就可以略過了.這樣能節(jié)省時間.即便有漏掉的,只要前面,注冊表,服務(wù),驅(qū)動,3個項目清理的徹底.漏掉的文件,也成了"死的了".學(xué)看SRE報告————第六講[折疊]
還剩下幾個有共性的小項目.我一起寫了,對于這幾個項目,都是有普遍規(guī)律的.
一.文件關(guān)聯(lián)
90%的病毒,都必定會修改系統(tǒng)默認(rèn)的文件關(guān)聯(lián).我們這里不需要理會.看都不用看.在手工殺毒最后,我們可以用SRE,修復(fù)一下就是了.
這部分不需要重視.引用:
90%太多了,其實沒有那么多。而真正被病毒修改的文件關(guān)聯(lián),恰恰不是不需要理會,而是很需要理會。
如果病毒修改的是可執(zhí)行文件如.exe、.scr、.com的文件關(guān)聯(lián),指向病毒程序本身,則當(dāng)你打開任何一個以此為后綴的可執(zhí)行文件,都會先運(yùn)行病毒程序。
在刪除的病毒程序之后,又沒有恢復(fù)此鍵值的話,相應(yīng)后綴的可執(zhí)行文件將會打不開!或者,當(dāng)你刪完了病毒的其他注冊表啟動項,卻沒有注意這一項,你得意洋洋地準(zhǔn)備刪除病毒文件,然而這時你雙擊打開任意一個相應(yīng)后綴名的文件,則病毒再度被執(zhí)行,你就前功盡棄了。遇到這種情況,如.exe文件關(guān)聯(lián)被劫持,可以把SREng的主程序后綴改為.scr或.com甚至.bat再運(yùn)行。由于系統(tǒng)加載PE文件只看其PE結(jié)構(gòu),而不是文件名,因此以上關(guān)聯(lián)只要有一個正常,改為相應(yīng)后綴,就可以正常運(yùn)行SREng,之后再修復(fù)文件關(guān)聯(lián)。所以文件關(guān)聯(lián)并不能最后看,而往往要最先考慮!
二.Winsock提供者
這部分有自身的判斷標(biāo)準(zhǔn),分兩種情況.但有個總體的前提:
SRE在做報告的時候,是默認(rèn)只列出"第三方"的winsock提供者.意思就是,凡是在報告中列出的,都不是windows自帶的.
所以,一臺干凈的,正常的電腦,在SRE報告中,這部分應(yīng)該是如下顯示的:
==================================
Winsock提供者
N/A
==================================
也就是"無(第三方)Winsock提供者".
我前面說的2種情況,正常的"無",是第一種.第二種是:安全類防御軟件,會添加winsock,說實話,我現(xiàn)在都不明白,這些軟件添加winsock干什么.最常見的,是:NOD32,這個殺毒軟件添加的.這樣:
NOD32protected[MSAFDTcpip[TCP/IP]]
F:\WINDOWS\system32\imon.dll(Eset,NOD32IMON-Internetscanningsupport)
NOD32protected[MSAFDTcpip[UDP/IP]]
F:\WINDOWS\system32\imon.dll(Eset,NOD32IMON-Internetscanningsupport)
NOD32protected[MSAFDTcpip[RAW/IP]]
F:\WINDOWS\system32\imon.dll(Eset,NOD32IMON-Internetscanningsupport)
NOD32protected[RSVPUDPServiceProvider]
F:\WINDOWS\system32\imon.dll(Eset,NOD32IMON-Internetscanningsupport)
NOD32protected[RSVPTCPServiceProvider]
F:\WINDOWS\system32\imon.dll(Eset,NOD32IMON-Internetscanningsupport)
對于這種情況,我個人建議,刪除這些winsock項目,大家可以放心,即便刪除它們,對瀏覽網(wǎng)頁等操作,也是毫無影響的.類似的由安全軟件添加的,還有:
DrwebSP.MSAFDTcpip[TCP/IP]
F:\WINDOWS\system32\DRWEBSP.DLL(DoctorWeb,Ltd.,Dr.WebWinsockProviderHook)
DrwebSP.MSAFDTcpip[UDP/IP]
F:\WINDOWS\system32\DRWEBSP.DLL(DoctorWeb,Ltd.,Dr.WebWinsockProviderHook)
DrwebSP.RSVPTCPServiceProvider
F:\WINDOWS\system32\DRWEBSP.DLL(DoctorWeb,Ltd.,Dr.WebWinsockProviderHook)
DrwebSP.RSVPUDPServiceProvider
F:\WINDOWS\system32\DRWEBSP.DLL(DoctorWeb,Ltd.,Dr.WebWinsockProviderHook)
不用管是什么軟件添加的,如果電腦出現(xiàn)"能上QQ,不能開網(wǎng)頁",或者二者都不行的情況,統(tǒng)一刪除這些項目!對于殺毒軟件添加的Winsock,其對應(yīng)的DLL文件,不需要理會,刪除項目就行了.引用:
還原被正常應(yīng)用軟件修改的winsock供應(yīng)者項目,或許不會導(dǎo)致上網(wǎng)不正常,但是會影響軟件的功能。
安全軟件這么做,是因為這一項是負(fù)責(zé)網(wǎng)絡(luò)協(xié)議的,用自己的組件守住了這一項,有利于監(jiān)控網(wǎng)絡(luò)數(shù)據(jù)流。
第二種情況,則是上網(wǎng)驗證的客戶端,如TcpipDog.dll,如果恢復(fù)了那一項,那真的是用不了這個客戶端,也就不能正常上網(wǎng)了。因此,對于是正常軟件占據(jù)此項的情況,恢復(fù)還是要謹(jǐn)慎。
三.Autorun.inf
這個沒什么好解釋的,必須為空,也就是:
==========================
Autorun.inf
[N/A]
=========================
如果下面有東西,100%為病毒.
對于autorun.inf,以及病毒文件判斷的方法,我簡單說一下.典型的例子,是這樣:
==================================
Autorun.inf
[C:\]
[AuToRuN]
open=soS.Exe
shell\open=打開(&O)
shelL\open\ComMand=soS.Exe
[D:\]
[AuToRuN]
open=soS.Exe
shell\open=打開(&O)
shelL\open\ComMand=soS.Exe
[E:\]
[AuToRuN]
open=soS.Exe
shell\open=打開(&O)
shelL\open\ComMand=soS.Exe
===============================
判斷,大家可以照貓畫虎,其實,不同的病毒,凡是創(chuàng)建autorun.inf的,只是最后那個"="后面的exe(或者其他的)文件名稱不同.這里,從上面的例子中,可以得出如下結(jié)論:
該病毒在[C:\],[D:\],[E:\],即C,D,E,這3個分區(qū)下面,分別創(chuàng)建了:
1.Autorun.inf
2.soS.Exe
這2個文件.至于清理方法,分三種,
◆利用DOS命令行刪除:
,大家可以參考這里:/xiang007/blog/item/77221a55ee5d61c2b745ae3a.html
◆利用批處理文件刪除:
批處理,
_________________________________________________________________________________________
cd\
c:
attrib-a-s-h-r*.inf
attrib-a-s-h-rsnow.exe
del*.inf
delsnow.exe
d:
attrib-a-s-h-r*.inf
attrib-a-s-h-rsnow.exe
del*.inf
delsnow.exe
e:
attrib-a-s-h-r*.inf
attrib-a-s-h-rsnow.exe
del*.inf
delsnow.exe
f:
attrib-a-s-h-r*.inf
attrib-a-s-h-rsnow.exe
del*.inf
delsnow.exe
h:
attrib-a-s-h-r*.inf
attrib-a-s-h-rsnow.exe
del*.inf
delsnow.exe
echo如果至此未出現(xiàn):找不到文件……則證明其他分區(qū)下病毒已經(jīng)刪除,請重啟電腦,再次執(zhí)行此程序,如果全是“找不到文件”,就證明徹底刪除了。
pause
_________________________________________________________________________________________
就是2條橫線中間的紅色部分了,復(fù)制下來,然后把里面的snow.exe,改為你判斷出來的exe,或者其他文件,比如,根據(jù)我上面的例子,就應(yīng)該改為:soS.Exe,然后保存為bat格式,雙擊運(yùn)行就可以了.◆利用雨林木風(fēng)PE系統(tǒng),刪除2個病毒文件
這個簡單了,進(jìn)入PE系統(tǒng),就像XP下刪文件一樣簡單...................
四.HOST文件
HOST文件的作用,我這里不想解釋了,網(wǎng)上解釋太多了,不知道的,自己搜索一下就行了.
和winsock類似的,分2中情況:
1.正常情況
正常情況下,該部分只有一行:
==================================
HOSTS文件
localhost
==================================
2.目前,網(wǎng)上流傳有一些工具,聲稱可以通過添加,修改HOSTS文件,來實現(xiàn)屏蔽惡意網(wǎng)站.因此,會添加些HOSTS項目.例如:
HOSTS文件
***********************************
《電腦報》黑榜(R)惡意網(wǎng)址屏蔽文件
版本號:2007.11.12
***********************************
localhost
37698.com
2345.com
上門就是典型的例子了,是用來屏蔽惡意網(wǎng)站的,寫在HOST文件里面,意思就是“讓電腦禁止訪問那些網(wǎng)站”,不過我個人倒是覺得沒什么用。呵呵,這個自己看著辦了。
對于HOSTS這個項目,無論一臺電腦是什么情況,裝的什么系統(tǒng),都應(yīng)該盡量保證其只有"默認(rèn)的
localhost"一行.剩下的,如果大家不知道怎么判斷,都可以隨意大膽的刪除!學(xué)看SRE報告————第七講[折疊]
最后剩下幾項了.
一.進(jìn)程特權(quán)掃描
在windows系統(tǒng)中,有些軟件,比如驅(qū)動程序,殺毒軟件.需要"時時刻刻"運(yùn)行.所以,它們對于其他普通軟件,比如聽歌的,QQ什么的(這些都隨時會被關(guān)閉).具有更高的進(jìn)程特權(quán).
說白了,它們更占CPU,為的是時刻監(jiān)控等等功能.對于這些時時刻刻都需要運(yùn)行的項目,SRE在報告中,稱做:進(jìn)程特權(quán)掃描
例子:
==================================
進(jìn)程特權(quán)掃描
特殊特權(quán)被允許:SeDebugPrivilege[PID=1744,C:\WINDOWS\SOUNDMAN.EXE]
特殊特權(quán)被允許:SeLoadDriverPrivilege[PID=1744,C:\WINDOWS\SOUNDMAN.EXE]
特殊特權(quán)被允許:SeDebugPrivilege[PID=1988,C:\WINDOWS\SYSTEM32\TXHMOU.EXE]
特殊特權(quán)被允許:SeLoadDriverPrivilege[PID=1988,C:\WINDOWS\SYSTEM32\TXHMOU.EXE]
特殊特權(quán)被允許:SeLoadDriverPrivilege[PID=1888,C:\WINDOWS\SYSTEM32\NVSVC32.EXE]
特殊特權(quán)被允許:SeDebugPrivilege[PID=2156,C:\WINDOWS\SYSTEM32\1SVTH.EXE]
特殊特權(quán)被允許:SeLoadDriverPrivilege[PID=2156,C:\WINDOWS\SYSTEM32\1SVTH.EXE]
特殊特權(quán)被允許:SeDebugPrivilege[PID=3976,D:\聊天工具\(yùn)TENCENT\QQ\QQ.EXE]
特殊特權(quán)被允許:SeLoadDriverPrivilege[PID=3976,D:\聊天工具\(yùn)TENCENT\QQ\QQ.EXE]
==================================
這里沒什么好解釋的,結(jié)構(gòu)我不想說了,我們在判斷的時候,只能是根據(jù)列出的文件的詳細(xì)路徑和名稱.來判斷是否正常.
可以結(jié)合前面判斷出來的病毒文件來判斷.大家想想就能明白,病毒,它也是要時時刻刻運(yùn)行的,所以,肯定會在"進(jìn)程特權(quán)"里面出現(xiàn).如果這里出現(xiàn)了,你前面判斷出的病毒,那么,無疑堅定了你的判斷.比如上面的例子,有問題的:
C:\WINDOWS\SYSTEM32\TXHMOU.EXE
C:\WINDOWS\SYSTEM32\1SVTH.EXE
具體這兩個是什么,就得從前面去判斷了,凡是在這里出現(xiàn)的,肯定在"正在運(yùn)行的服務(wù)"里面有反映.去那里找吧,看看公司簽名,版本.引用:
原作者應(yīng)該好好看看Privilege到底是什么。權(quán)限令牌是程序執(zhí)行相應(yīng)操作所需要的。如對系統(tǒng)進(jìn)程進(jìn)行內(nèi)存讀取(有時僅僅是為了遍歷進(jìn)程,得到其映像文件名,要對目標(biāo)進(jìn)程的PEB進(jìn)行讀?。┬枰猄eDebugPrivilege權(quán)限,用程序調(diào)用ExitWindowsEx關(guān)閉或重啟計算機(jī)需要SeShutdownPrivilege等等,如果沒有相應(yīng)權(quán)限,相應(yīng)操作就會被系統(tǒng)阻止。二.APIHOOK
HOOK,意思為"掛鉤,劫持".但它不一定是惡意的.相反,現(xiàn)在的病毒,惡意的進(jìn)行:APTHOOK,倒是很少.
在這個項目里面,最容易出現(xiàn)的,是殺毒軟件,殺毒軟件為了從更深的層次監(jiān)控電腦,保護(hù)電腦,就會修改此處.目的,大家應(yīng)該明白了.
對于一臺正常的電腦,這項應(yīng)該是N/A,如果有值,可以根據(jù)路徑判斷,一般,95%的情況,都是殺毒軟件搞的"鬼",比如:
APIHOOK
入口點錯誤:LoadLibraryExW(危險等級:高,被下面模塊所HOOK:C:\KAV2007\KASocket.dll)
金山2007的HOOK了~其實這個沒什么的,大家不必大驚小怪.被殺毒軟件HOOK,是最正常的事情了,我們不必理會.特例:
APIHOOK
RVA錯誤:LoadLibraryA(危險等級:高,被下面模塊所HOOK:\??\C:\WINDOWS\system32\drivers\klif.sys)
RVA錯誤:LoadLibraryExA(危險等級:高,被下面模塊所HOOK:\??\C:\WINDOWS\system32\drivers\klif.sys)
RVA錯誤:LoadLibraryExW(危險等級:高,被下面模塊所HOOK:\??\C:\WINDOWS\system32\drivers\klif.sys)
RVA錯誤:LoadLibraryW(危險等級:高,被下面模塊所HOOK:\??\C:\WINDOWS\system32\drivers\klif.sys)
RVA錯誤:GetProcAddress(危險等級:高,被下面模塊所HOOK:\??\C:\WINDOWS\system32\drivers\klif.sys)
C:\WINDOWS\system32\drivers\klif.sys為卡巴斯基殺毒軟件,用于HOOK的文件!大家記住就行了.
三.隱藏進(jìn)程
一般情況下,都是N/A,如果有值,分兩種情況考慮:
1.殺毒軟件
有一部分殺毒軟件,為了保護(hù)自身不被病毒干掉,創(chuàng)建了隱藏進(jìn)程,典型的就是江民殺毒.如果一臺電腦裝有江民,在這里可能會出現(xiàn).根據(jù)路徑判斷就行了.比如C:\KV\..........類似的.
2.InternetExplorer.exe
如果出現(xiàn)此隱藏進(jìn)程,則必定電腦里面存在木馬!典型的灰鴿子,就是這樣,中毒后,創(chuàng)建隱藏的IE進(jìn)程.但是,這個項目里面,不會列出病毒文件.只能從上面去查.引用:
不是InternetExplorer.exe,而是iexplore.exeSRE已知不成文規(guī)律總結(jié)1.XP統(tǒng)一的啟動項目[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\ActiveSetup\InstalledComponents\>{26923b43-4d38-484f-9b9e-de460746276c}]
<InternetExplorer訪問><"C:\WINNT\system32\shmgrate.exe"OCInstallUserConfigIE>[N/A]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\ActiveSetup\InstalledComponents\>{881dd1c5-3dcf-431b-b061-f3f88e8be88a}]
<OutlookExpress訪問><"C:\WINNT\system32\shmgrate.exe"OCInstallUserConfigOE>[N/A]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\ActiveSetup\InstalledComponents\{44BBA840-CC51-11CF-AAFA-00AA00B6015C}]
<MicrosoftOutlookExpress6><"%ProgramFiles%\OutlookExpress\setup50.exe"/APP:OE/CALLER:WINNT/user/install>[N/A]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\ActiveSetup\InstalledComponents\{44BBA842-CC51-11CF-AAFA-00AA00B6015B}]
<NetMeeting3.01><rundll32.exeadvpack.dll,LaunchINFSectionC:\WINNT\INF\msnetmtg.inf,NetMtg.Install.PerUser.NT>[(Verified)MicrosoftWindows2000Publisher]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\ActiveSetup\InstalledComponents\{6BF52A52-394A-11d3-B153-00C04F79FAA6}]
<MicrosoftWindowsMediaPlayer><rundll32.exeadvpack.dll,LaunchINFSectionC:\WINNT\INF\wmp.inf,PerUserStub>[]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\ActiveSetup\InstalledComponents\{7790769C-0471-11d2-AF11-00C04FA35D02}]
<AddressBook5><"%ProgramFiles%\OutlookExpress\setup50.exe"/APP:WAB/CALLER:WINNT/user/install>[N/A]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\ActiveSetup\InstalledComponents\{9EF0045A-CDD9-438e-95E6-02B9AFEC8E11}]以上各注冊表啟動項目,為XP系統(tǒng)通用啟動項目,即:正常啟動項2.系統(tǒng)服務(wù)沒有什么特別的,只有一個服務(wù),值得注意:[HumanInterfaceDeviceAccess/HidServ][Stopped/Disabled]
<C:\WINDOWS\System32\svchost.exe-knetsvcs-->%SystemRoot%\System32\hidserv.dll><N/A>這項雖然沒經(jīng)過微軟簽名,但為正常的系統(tǒng)服務(wù)項目3.驅(qū)動程序和上面的一樣,已知的未經(jīng)過微軟簽名的,正常的驅(qū)動程序:⑴[Secdrv/Secdrv][Stopped/ManualStart]
<system32\DRIVERS\secdrv.sys><N/A>⑵[d347bus/d347bus]和[d347prt/d347prt]
此程序,為虛擬光驅(qū)軟件:Daemontools這個軟件的第三方驅(qū)動4.關(guān)于AppInit這個項目,一般在sre報告里面分為2種,在報告中,它是如下樣子顯示:
[HKEY_LOCAL_MACHINE\Software\Microsoft\WindowsNT\CurrentVersion\Windows]
<AppInit_DLLs><>[N/A]注:此值不能刪除?。。。。。。。。。。?!只能在SRE里面,雙擊后編輯,設(shè)置為空即可!此值正常情況下,為空,在SRE報告中,也就是反應(yīng)為:[N/A]。如果出現(xiàn)值,則分兩種情況考慮:
⑴經(jīng)過美化的系統(tǒng),一些美化軟件,如:WindowsBlinds,美化系統(tǒng)后,會修改此鍵值,并把它的值改為:wbsys.sys,這個是正常的
⑵病毒文件。這種,就靠自己判斷了。一般都是無規(guī)則的字母、數(shù)字組成的DLL類型文件。5.關(guān)于APIHOOK
這個項目,目前大部分殺毒軟件,都會修改此鍵值,目的是為了從更深層次的角度,查殺病毒。大家判斷的時候,根據(jù)里面列出的文件路徑判斷就行了。常見的,大家經(jīng)常迷惑的,就是卡巴斯基,它的HOOK,在SRE報告中的反應(yīng)是這樣:
RVA錯誤:LoadLibraryA(危險等級:高,被下面模塊所HOOK:\??\C:\WINDOWS\system32\drivers\klif.sys)
RVA錯誤:LoadLibraryExA(危險等級:高,被下面模塊所HOOK:\??\C:\WINDOWS\system32\drivers\klif.sys)
R
溫馨提示
- 1. 本站所有資源如無特殊說明,都需要本地電腦安裝OFFICE2007和PDF閱讀器。圖紙軟件為CAD,CAXA,PROE,UG,SolidWorks等.壓縮文件請下載最新的WinRAR軟件解壓。
- 2. 本站的文檔不包含任何第三方提供的附件圖紙等,如果需要附件,請聯(lián)系上傳者。文件的所有權(quán)益歸上傳用戶所有。
- 3. 本站RAR壓縮包中若帶圖紙,網(wǎng)頁內(nèi)容里面會有圖紙預(yù)覽,若沒有圖紙預(yù)覽就沒有圖紙。
- 4. 未經(jīng)權(quán)益所有人同意不得將文件中的內(nèi)容挪作商業(yè)或盈利用途。
- 5. 人人文庫網(wǎng)僅提供信息存儲空間,僅對用戶上傳內(nèi)容的表現(xiàn)方式做保護(hù)處理,對用戶上傳分享的文檔內(nèi)容本身不做任何修改或編輯,并不能對任何下載內(nèi)容負(fù)責(zé)。
- 6. 下載文件中如有侵權(quán)或不適當(dāng)內(nèi)容,請與我們聯(lián)系,我們立即糾正。
- 7. 本站不保證下載資源的準(zhǔn)確性、安全性和完整性, 同時也不承擔(dān)用戶因使用這些下載資源對自己和他人造成任何形式的傷害或損失。
最新文檔
- 中國腎上腺皮質(zhì)激素類藥行業(yè)市場現(xiàn)狀分析及競爭格局與投資發(fā)展研究報告(2024-2030版)
- 2024年中國暗場顯微鏡市場調(diào)查研究報告
- 中國組合曲軸運(yùn)行業(yè)發(fā)展方向及投資規(guī)劃分析研究報告(2024-2030版)
- 中國糯米粉行業(yè)銷售態(tài)勢及消費(fèi)趨勢預(yù)測研究報告(2024-2030版)
- 中國疏水涂層行業(yè)競爭趨勢及供需形勢分析研究報告(2024-2030版)
- 2024年中國雙效快克市場調(diào)查研究報告
- 繼電保護(hù)課程設(shè)計山科大
- 燃?xì)馊紵龖?yīng)用課程設(shè)計
- 課程設(shè)計閥板圖
- 課程設(shè)計文件存儲格式
- 小學(xué)六年級數(shù)學(xué)上冊口算題300道(全)
- 《干粉滅火器檢查卡》
- 校園監(jiān)控值班記錄表(共2頁)
- 試樁施工方案 (完整版)
- 走中國工業(yè)化道路的思想及成就
- ESTIC-AU40使用說明書(中文100版)(共138頁)
- 河北省2012土建定額說明及計算規(guī)則(含定額總說明)解讀
- Prolog語言(耐心看完-你就入門了)
- 保霸線外加電流深井陽極地床陰極保護(hù)工程施工方案
- 藍(lán)色商務(wù)大氣感恩同行集團(tuán)公司20周年慶典PPT模板
- 恒溫箱PLC控制系統(tǒng)畢業(yè)設(shè)計
評論
0/150
提交評論