學(xué)看-SREng-日志分析-報告下_第1頁
學(xué)看-SREng-日志分析-報告下_第2頁
學(xué)看-SREng-日志分析-報告下_第3頁
學(xué)看-SREng-日志分析-報告下_第4頁
學(xué)看-SREng-日志分析-報告下_第5頁
已閱讀5頁,還剩7頁未讀 繼續(xù)免費(fèi)閱讀

下載本文檔

版權(quán)說明:本文檔由用戶提供并上傳,收益歸屬內(nèi)容提供方,若內(nèi)容存在侵權(quán),請進(jìn)行舉報或認(rèn)領(lǐng)

文檔簡介

學(xué)看SREng日志分析報告.<下>2008年09月05日星期五13:54學(xué)看SRE報告————第四講[折疊]

一。瀏覽器加載項結(jié)構(gòu)

還是以例子來說明:

[ThunderAtOnceClass]

{01443AEC-0FD1-40fd-9C87-E93D1494C233}<d:\ProgramFiles\Thunder\ComDlls\TDAtOnce_Now.dll,ThunderNetworkingTechnologies,LTD>

●[ThunderAtOnceClass]:該加載項名稱

●{01443AEC-0FD1-40fd-9C87-E93D1494C233}:在注冊表中的名稱

●<d:\ProgramFiles\Thunder\ComDlls\TDAtOnce_Now.dll,ThunderNetworkingTechnologies,LTD>:對應(yīng)文件的完整位置+公司簽名

二。判斷方法

很少有病毒會涉及到這個項目,倒是流氓軟件,100%絕對會在這里創(chuàng)建鍵值。

1.加載項名稱,這里。特別需要注意的是:如果有[],這樣的加載項,則代表該項鍵值有問題,當(dāng)然,不能就此斷定是病毒創(chuàng)建的。至少,有一點可以保證,對于IE瀏覽網(wǎng)頁,它是絕對沒用的。

2.公司簽名

這個說過很多次了,沒公司簽名的,或者為N/A的,需要仔細(xì)查驗其對應(yīng)文件的詳細(xì)路徑。一般通過路徑,就能判斷出是否是病毒文件。

[雅虎助手]

{5D73EE86-05F1-49ed-B850-E423120EC338}</start.htm?source=yzs_icon&btn=yassistnew,N/A>

萬人皆知的流氓了,自己都懶著給自己的文件,做公司簽名,要來有何用?

[使用迅雷下載]

<d:\ProgramFiles\Thunder\Program\geturl.htm,N/A>

連迅雷,都犯懶,不做簽名。。。。。。通過路徑,應(yīng)該能看出是迅雷吧?Thunder~引用:

這個說法有誤。瀏覽器加載項是一個很綜合的項目,包括BHO,ActiveX插件,瀏覽器工具欄等多個項目,在SREng的界面中可以看到明顯的說明。

這些項目中,不僅僅有dll類型的加載PE文件(BHO或ActiveX項目),也有工具欄附加按鈕,瀏覽器的右鍵菜單項目等等,特別是后兩者,經(jīng)常是一些網(wǎng)頁鏈接。

顯然這里就是兩個網(wǎng)頁鏈接,目標(biāo)是雅虎的一個網(wǎng)頁,以及迅雷保存在本機(jī)的一個網(wǎng)頁(作為迅雷的組件,當(dāng)你右鍵點“使用迅雷下載”時,瀏覽器后臺運(yùn)行了這個網(wǎng)頁)。網(wǎng)頁鏈接不是可執(zhí)行文件,當(dāng)然就沒有數(shù)字簽名,這不是人家公司不做簽名,而是壓根就不需要做,也沒法做得上去!

瀏覽器加載項這里,幾乎不會有什么問題,多看報告,積累總結(jié)出windows常見的,正常的瀏覽器加載項,就行了。除了windows自帶的,基本上95%都是流氓軟件的加載項了。流氓軟件,在手工殺毒的過程中,可以忽略不管。畢竟,它不算真正意義上的病毒。但是,如果作報告的電腦,出現(xiàn):某個網(wǎng)頁,無法訪問,或者修復(fù)了winsock后,仍不能訪問網(wǎng)頁,則需要從瀏覽器加載項入手考慮了。學(xué)看SRE報告————第五講[折疊]

一."正在運(yùn)行的進(jìn)程"結(jié)構(gòu)說明

這部分,在SRE報告中,比重是最大的,其實,說白了,就是列出電腦當(dāng)前運(yùn)行的所有程序的進(jìn)程信息,包括各自的模塊(包括哪些同時運(yùn)行,或者程序調(diào)用的DLL文件等)信息.

為了減少看報告的工作量,提高效率.我們建議,在做報告之前,應(yīng)該盡量關(guān)閉windows系統(tǒng)第三方的程序,比如QQ,IE,千千等等.盡量做到:只保留windows自身的進(jìn)程.這樣有助于我們更快速的判斷,大家不用擔(dān)心,關(guān)閉第三方程序,不會對查毒產(chǎn)生負(fù)面影響.

還是拿例子說明:

[PID:664/Administrator][C:\KAV2007\KAVStart.exe][KingsoftCorporation,2007,9,28,295]

[C:\windows\system32\MFC71.DLL][MicrosoftCorporation,7.10.3077.0]

[C:\windows\system32\MSVCR71.dll][MicrosoftCorporation,7.10.3052.4]

[C:\windows\system32\MSVCP71.dll][MicrosoftCorporation,7.10.3077.0]

[C:\windows\system32\MFC71CHS.DLL][MicrosoftCorporation,7.10.3077.0]

[C:\KAV2007\KMailOEBand.DLL][KingsoftCorporation,2006,12,1,139]

[C:\KAV2007\SvcTimer.DLL][KingsoftCorporation,2004]

[C:\KAV2007\KAVPassp.dll][KingsoftCorporation,2006,12,30,271]

[C:\KAV2007\PopSprt3.dll][KingsoftCorporation,2007,3,20,48]

[C:\KAV2007\KASocket.dll][KingsoftCorporation,2007,3,18,241]

第一行分三部分:

1.[PID:664/Administrator]:PID值是指此進(jìn)程在系統(tǒng)中的"數(shù)字標(biāo)識",它是唯一的.這個項目對于我們查毒殺毒沒什么意義,大家知道就行了.后面,是創(chuàng)建此進(jìn)程的用戶名.

2.[C:\KAV2007\KAVStart.exe]:這個是該進(jìn)程所運(yùn)行的文件的詳細(xì)位置.

3.[KingsoftCorporation,2007,9,28,295]:該進(jìn)程對應(yīng)文件的公司簽名,文件的版本信息.

下面的"相對第一行有縮進(jìn)"行,是逐行列出了該進(jìn)程,同時調(diào)用了哪些文件,也就是專業(yè)術(shù)語上稱的:模塊信息.我隨便挑取一行說明:

[C:\KAV2007\SvcTimer.DLL]

1.[C:\KAV2007\SvcTimer.DLL]:該模塊對應(yīng)文件的詳細(xì)路徑及名稱

2.[KingsoftCorporation,2004]:模塊的公司名稱,文件的版本信息

當(dāng)然,也存在只有一個運(yùn)行文件,而沒有"模塊"信息的進(jìn)程存在,例如:

[PID:1468/SYSTEM][C:\windows\system32\spoolsv.exe][MicrosoftCorporation,5.1.2600.2696(xpsp_sp2_gdr.050610-1519)]

和上面的例子相比,最后多了一部分:(xpsp_sp2_gdr.050610-1519)

SRE對于windows自身的部分程序,在檢測的時候,都會附帶出"XP系統(tǒng)的版本信息",比如我們上面的:spoolsv.exe(打印機(jī)服務(wù)),Explorer.EXE,services.exe等.

和以前的各塊內(nèi)容不同,在"正在運(yùn)行的進(jìn)程"這部分,SRE加入了"文件版本信息"的內(nèi)容,這個信息,對于我們判斷病毒,起到了很大的作用.一定不能忽略它!

二.判斷方法

1.優(yōu)先注意,公司前面為:N/A的文件

這部分不解釋了,只給出一個例外:[C:\ProgramFiles\WinRAR\rarext.dll][N/A,]

大家最常用的WinRAR的文件,無公司前面,連文件版本信息都沒有^^^^夠郁悶的..........但是是正常的喔!

2.看進(jìn)程文件的版本,模塊文件的版本

目前大部分病毒,雖然會偽造公司前面,但無一例外的,在文件版本上,都沒有"下功夫",所以,我們在判斷的時候,可以優(yōu)先注意:無文件/模塊,版本信息的文件.

3.凡是標(biāo)有XP版本信息的文件,一律為正常的系統(tǒng)文件.如:

[C:\windows\system32\msacm32.drv][MicrosoftCorporation,5.1.2600.0(xpclient.010817-1148)]

4.注意報告的整體"聯(lián)系"

其實,70%的SRE報告,在"注冊表啟動信息","服務(wù)",里面,就基本能挑出90%的病毒文件了.所以到了進(jìn)程這里,要善于查看"上下文"關(guān)系.一般在注冊表啟動項目里面,羅列出的病毒文件.都會在進(jìn)程中有所反映(做為模塊反映出來的,比較多).

5.同一個DLL類型文件,同時做為模塊,插入大部分進(jìn)程,且,該DLL文件,無公司前面,或者有簽名,沒文件版本信息.例如:

[PID:560/SYSTEM][C:\WINDOWS\system32\services.exe][MicrosoftCorporation,5.1.2600.0(xpclient.010817-1148)]

[C:\WINDOWS\system32\sidjezy.dll][N/A,]

[PID:572/SYSTEM][C:\WINDOWS\system32\lsass.exe][MicrosoftCorporation,5.1.2600.1106(xpsp1.020828-1920)]

[C:\WINDOWS\system32\sidjezy.dll][N/A,]

[PID:748/SYSTEM][C:\WINDOWS\system32\svchost.exe][MicrosoftCorporation,5.1.2600.0(xpclient.010817-1148)]

[C:\WINDOWS\system32\sidjezy.dll][N/A,]

三.關(guān)于AppInit_DLLs

這個東西,我們第一講就著重提到了,我在這里再說一次.

前面說過,此鍵值如果不為空,則分為"美化和病毒"兩種情況.美化不說了,我說病毒的情況

如果在"注冊表啟動信息"中,AppInit_DLLs得值,是一個DLL類型文件,而且,此文件,插入了多個"正在運(yùn)行的進(jìn)程"中.則此文件99%為病毒文件!例子:

上面,注冊表啟動信息:

[HKEY_LOCAL_MACHINE\Software\Microsoft\WindowsNT\CurrentVersion\Windows]

<AppInit_DLLs><kvdxsjma.dll>[]

下面,正在運(yùn)行的進(jìn)程:

[PID:1744/GOKU][C:\WINDOWS\SOUNDMAN.EXE][RealtekSemiconductorCorp.,4]

[C:\WINDOWS\System32\kvdxsjma.dll][N/A,]

看清楚上面2行噢!C:\WINDOWS\SOUNDMAN.EXE,是正常的聲卡文件.但下面的模塊,可是被"病毒文件:kvdxsjma.dll"插入了.同樣的:

[PID:1948/GOKU][C:\WINDOWS\System32\RUNDLL32.EXE][MicrosoftCorporation,5.1.2600.0(xpclient.010817-1148)]

[C:\WINDOWS\System32\kvdxsjma.dll][N/A,]

這樣的結(jié)構(gòu).......毫無疑問了,100%是病毒了.同時出現(xiàn)在Appinit和進(jìn)程模塊里面,而且無公司前面,無文件版本.引用:

這個說法有點“循環(huán)論證”的感覺。

實際上,由于此項的功能(上面已經(jīng)加了評論說明),在此項的dll文件幾乎注定被大部分進(jìn)程所加載(沒有看到在其模塊列表中的那些進(jìn)程,并一定不是啟動時不加載,而可能是加載之后該dll判斷自身加載環(huán)境,對不需要加載的進(jìn)程,則自動卸載了)因此,這個現(xiàn)象嚴(yán)格來說并不能更加佐證該dll是病毒的推論,還是應(yīng)該依照文件路徑、數(shù)字簽名信息等諸多方面綜合判斷。

四.總結(jié)

因為這部分是報告中,容量最大的部分,所以看起來確實需要花一段時間.一般就從公司簽名,文件簽名入手即可.大部分文件,只要看到公司簽名和文件版本信息,就可以略過了.這樣能節(jié)省時間.即便有漏掉的,只要前面,注冊表,服務(wù),驅(qū)動,3個項目清理的徹底.漏掉的文件,也成了"死的了".學(xué)看SRE報告————第六講[折疊]

還剩下幾個有共性的小項目.我一起寫了,對于這幾個項目,都是有普遍規(guī)律的.

一.文件關(guān)聯(lián)

90%的病毒,都必定會修改系統(tǒng)默認(rèn)的文件關(guān)聯(lián).我們這里不需要理會.看都不用看.在手工殺毒最后,我們可以用SRE,修復(fù)一下就是了.

這部分不需要重視.引用:

90%太多了,其實沒有那么多。而真正被病毒修改的文件關(guān)聯(lián),恰恰不是不需要理會,而是很需要理會。

如果病毒修改的是可執(zhí)行文件如.exe、.scr、.com的文件關(guān)聯(lián),指向病毒程序本身,則當(dāng)你打開任何一個以此為后綴的可執(zhí)行文件,都會先運(yùn)行病毒程序。

在刪除的病毒程序之后,又沒有恢復(fù)此鍵值的話,相應(yīng)后綴的可執(zhí)行文件將會打不開!或者,當(dāng)你刪完了病毒的其他注冊表啟動項,卻沒有注意這一項,你得意洋洋地準(zhǔn)備刪除病毒文件,然而這時你雙擊打開任意一個相應(yīng)后綴名的文件,則病毒再度被執(zhí)行,你就前功盡棄了。遇到這種情況,如.exe文件關(guān)聯(lián)被劫持,可以把SREng的主程序后綴改為.scr或.com甚至.bat再運(yùn)行。由于系統(tǒng)加載PE文件只看其PE結(jié)構(gòu),而不是文件名,因此以上關(guān)聯(lián)只要有一個正常,改為相應(yīng)后綴,就可以正常運(yùn)行SREng,之后再修復(fù)文件關(guān)聯(lián)。所以文件關(guān)聯(lián)并不能最后看,而往往要最先考慮!

二.Winsock提供者

這部分有自身的判斷標(biāo)準(zhǔn),分兩種情況.但有個總體的前提:

SRE在做報告的時候,是默認(rèn)只列出"第三方"的winsock提供者.意思就是,凡是在報告中列出的,都不是windows自帶的.

所以,一臺干凈的,正常的電腦,在SRE報告中,這部分應(yīng)該是如下顯示的:

==================================

Winsock提供者

N/A

==================================

也就是"無(第三方)Winsock提供者".

我前面說的2種情況,正常的"無",是第一種.第二種是:安全類防御軟件,會添加winsock,說實話,我現(xiàn)在都不明白,這些軟件添加winsock干什么.最常見的,是:NOD32,這個殺毒軟件添加的.這樣:

NOD32protected[MSAFDTcpip[TCP/IP]]

F:\WINDOWS\system32\imon.dll(Eset,NOD32IMON-Internetscanningsupport)

NOD32protected[MSAFDTcpip[UDP/IP]]

F:\WINDOWS\system32\imon.dll(Eset,NOD32IMON-Internetscanningsupport)

NOD32protected[MSAFDTcpip[RAW/IP]]

F:\WINDOWS\system32\imon.dll(Eset,NOD32IMON-Internetscanningsupport)

NOD32protected[RSVPUDPServiceProvider]

F:\WINDOWS\system32\imon.dll(Eset,NOD32IMON-Internetscanningsupport)

NOD32protected[RSVPTCPServiceProvider]

F:\WINDOWS\system32\imon.dll(Eset,NOD32IMON-Internetscanningsupport)

對于這種情況,我個人建議,刪除這些winsock項目,大家可以放心,即便刪除它們,對瀏覽網(wǎng)頁等操作,也是毫無影響的.類似的由安全軟件添加的,還有:

DrwebSP.MSAFDTcpip[TCP/IP]

F:\WINDOWS\system32\DRWEBSP.DLL(DoctorWeb,Ltd.,Dr.WebWinsockProviderHook)

DrwebSP.MSAFDTcpip[UDP/IP]

F:\WINDOWS\system32\DRWEBSP.DLL(DoctorWeb,Ltd.,Dr.WebWinsockProviderHook)

DrwebSP.RSVPTCPServiceProvider

F:\WINDOWS\system32\DRWEBSP.DLL(DoctorWeb,Ltd.,Dr.WebWinsockProviderHook)

DrwebSP.RSVPUDPServiceProvider

F:\WINDOWS\system32\DRWEBSP.DLL(DoctorWeb,Ltd.,Dr.WebWinsockProviderHook)

不用管是什么軟件添加的,如果電腦出現(xiàn)"能上QQ,不能開網(wǎng)頁",或者二者都不行的情況,統(tǒng)一刪除這些項目!對于殺毒軟件添加的Winsock,其對應(yīng)的DLL文件,不需要理會,刪除項目就行了.引用:

還原被正常應(yīng)用軟件修改的winsock供應(yīng)者項目,或許不會導(dǎo)致上網(wǎng)不正常,但是會影響軟件的功能。

安全軟件這么做,是因為這一項是負(fù)責(zé)網(wǎng)絡(luò)協(xié)議的,用自己的組件守住了這一項,有利于監(jiān)控網(wǎng)絡(luò)數(shù)據(jù)流。

第二種情況,則是上網(wǎng)驗證的客戶端,如TcpipDog.dll,如果恢復(fù)了那一項,那真的是用不了這個客戶端,也就不能正常上網(wǎng)了。因此,對于是正常軟件占據(jù)此項的情況,恢復(fù)還是要謹(jǐn)慎。

三.Autorun.inf

這個沒什么好解釋的,必須為空,也就是:

==========================

Autorun.inf

[N/A]

=========================

如果下面有東西,100%為病毒.

對于autorun.inf,以及病毒文件判斷的方法,我簡單說一下.典型的例子,是這樣:

==================================

Autorun.inf

[C:\]

[AuToRuN]

open=soS.Exe

shell\open=打開(&O)

shelL\open\ComMand=soS.Exe

[D:\]

[AuToRuN]

open=soS.Exe

shell\open=打開(&O)

shelL\open\ComMand=soS.Exe

[E:\]

[AuToRuN]

open=soS.Exe

shell\open=打開(&O)

shelL\open\ComMand=soS.Exe

===============================

判斷,大家可以照貓畫虎,其實,不同的病毒,凡是創(chuàng)建autorun.inf的,只是最后那個"="后面的exe(或者其他的)文件名稱不同.這里,從上面的例子中,可以得出如下結(jié)論:

該病毒在[C:\],[D:\],[E:\],即C,D,E,這3個分區(qū)下面,分別創(chuàng)建了:

1.Autorun.inf

2.soS.Exe

這2個文件.至于清理方法,分三種,

◆利用DOS命令行刪除:

,大家可以參考這里:/xiang007/blog/item/77221a55ee5d61c2b745ae3a.html

◆利用批處理文件刪除:

批處理,

_________________________________________________________________________________________

cd\

c:

attrib-a-s-h-r*.inf

attrib-a-s-h-rsnow.exe

del*.inf

delsnow.exe

d:

attrib-a-s-h-r*.inf

attrib-a-s-h-rsnow.exe

del*.inf

delsnow.exe

e:

attrib-a-s-h-r*.inf

attrib-a-s-h-rsnow.exe

del*.inf

delsnow.exe

f:

attrib-a-s-h-r*.inf

attrib-a-s-h-rsnow.exe

del*.inf

delsnow.exe

h:

attrib-a-s-h-r*.inf

attrib-a-s-h-rsnow.exe

del*.inf

delsnow.exe

echo如果至此未出現(xiàn):找不到文件……則證明其他分區(qū)下病毒已經(jīng)刪除,請重啟電腦,再次執(zhí)行此程序,如果全是“找不到文件”,就證明徹底刪除了。

pause

_________________________________________________________________________________________

就是2條橫線中間的紅色部分了,復(fù)制下來,然后把里面的snow.exe,改為你判斷出來的exe,或者其他文件,比如,根據(jù)我上面的例子,就應(yīng)該改為:soS.Exe,然后保存為bat格式,雙擊運(yùn)行就可以了.◆利用雨林木風(fēng)PE系統(tǒng),刪除2個病毒文件

這個簡單了,進(jìn)入PE系統(tǒng),就像XP下刪文件一樣簡單...................

四.HOST文件

HOST文件的作用,我這里不想解釋了,網(wǎng)上解釋太多了,不知道的,自己搜索一下就行了.

和winsock類似的,分2中情況:

1.正常情況

正常情況下,該部分只有一行:

==================================

HOSTS文件

localhost

==================================

2.目前,網(wǎng)上流傳有一些工具,聲稱可以通過添加,修改HOSTS文件,來實現(xiàn)屏蔽惡意網(wǎng)站.因此,會添加些HOSTS項目.例如:

HOSTS文件

***********************************

《電腦報》黑榜(R)惡意網(wǎng)址屏蔽文件

版本號:2007.11.12

***********************************

localhost

37698.com

2345.com

上門就是典型的例子了,是用來屏蔽惡意網(wǎng)站的,寫在HOST文件里面,意思就是“讓電腦禁止訪問那些網(wǎng)站”,不過我個人倒是覺得沒什么用。呵呵,這個自己看著辦了。

對于HOSTS這個項目,無論一臺電腦是什么情況,裝的什么系統(tǒng),都應(yīng)該盡量保證其只有"默認(rèn)的

localhost"一行.剩下的,如果大家不知道怎么判斷,都可以隨意大膽的刪除!學(xué)看SRE報告————第七講[折疊]

最后剩下幾項了.

一.進(jìn)程特權(quán)掃描

在windows系統(tǒng)中,有些軟件,比如驅(qū)動程序,殺毒軟件.需要"時時刻刻"運(yùn)行.所以,它們對于其他普通軟件,比如聽歌的,QQ什么的(這些都隨時會被關(guān)閉).具有更高的進(jìn)程特權(quán).

說白了,它們更占CPU,為的是時刻監(jiān)控等等功能.對于這些時時刻刻都需要運(yùn)行的項目,SRE在報告中,稱做:進(jìn)程特權(quán)掃描

例子:

==================================

進(jìn)程特權(quán)掃描

特殊特權(quán)被允許:SeDebugPrivilege[PID=1744,C:\WINDOWS\SOUNDMAN.EXE]

特殊特權(quán)被允許:SeLoadDriverPrivilege[PID=1744,C:\WINDOWS\SOUNDMAN.EXE]

特殊特權(quán)被允許:SeDebugPrivilege[PID=1988,C:\WINDOWS\SYSTEM32\TXHMOU.EXE]

特殊特權(quán)被允許:SeLoadDriverPrivilege[PID=1988,C:\WINDOWS\SYSTEM32\TXHMOU.EXE]

特殊特權(quán)被允許:SeLoadDriverPrivilege[PID=1888,C:\WINDOWS\SYSTEM32\NVSVC32.EXE]

特殊特權(quán)被允許:SeDebugPrivilege[PID=2156,C:\WINDOWS\SYSTEM32\1SVTH.EXE]

特殊特權(quán)被允許:SeLoadDriverPrivilege[PID=2156,C:\WINDOWS\SYSTEM32\1SVTH.EXE]

特殊特權(quán)被允許:SeDebugPrivilege[PID=3976,D:\聊天工具\(yùn)TENCENT\QQ\QQ.EXE]

特殊特權(quán)被允許:SeLoadDriverPrivilege[PID=3976,D:\聊天工具\(yùn)TENCENT\QQ\QQ.EXE]

==================================

這里沒什么好解釋的,結(jié)構(gòu)我不想說了,我們在判斷的時候,只能是根據(jù)列出的文件的詳細(xì)路徑和名稱.來判斷是否正常.

可以結(jié)合前面判斷出來的病毒文件來判斷.大家想想就能明白,病毒,它也是要時時刻刻運(yùn)行的,所以,肯定會在"進(jìn)程特權(quán)"里面出現(xiàn).如果這里出現(xiàn)了,你前面判斷出的病毒,那么,無疑堅定了你的判斷.比如上面的例子,有問題的:

C:\WINDOWS\SYSTEM32\TXHMOU.EXE

C:\WINDOWS\SYSTEM32\1SVTH.EXE

具體這兩個是什么,就得從前面去判斷了,凡是在這里出現(xiàn)的,肯定在"正在運(yùn)行的服務(wù)"里面有反映.去那里找吧,看看公司簽名,版本.引用:

原作者應(yīng)該好好看看Privilege到底是什么。權(quán)限令牌是程序執(zhí)行相應(yīng)操作所需要的。如對系統(tǒng)進(jìn)程進(jìn)行內(nèi)存讀取(有時僅僅是為了遍歷進(jìn)程,得到其映像文件名,要對目標(biāo)進(jìn)程的PEB進(jìn)行讀?。┬枰猄eDebugPrivilege權(quán)限,用程序調(diào)用ExitWindowsEx關(guān)閉或重啟計算機(jī)需要SeShutdownPrivilege等等,如果沒有相應(yīng)權(quán)限,相應(yīng)操作就會被系統(tǒng)阻止。二.APIHOOK

HOOK,意思為"掛鉤,劫持".但它不一定是惡意的.相反,現(xiàn)在的病毒,惡意的進(jìn)行:APTHOOK,倒是很少.

在這個項目里面,最容易出現(xiàn)的,是殺毒軟件,殺毒軟件為了從更深的層次監(jiān)控電腦,保護(hù)電腦,就會修改此處.目的,大家應(yīng)該明白了.

對于一臺正常的電腦,這項應(yīng)該是N/A,如果有值,可以根據(jù)路徑判斷,一般,95%的情況,都是殺毒軟件搞的"鬼",比如:

APIHOOK

入口點錯誤:LoadLibraryExW(危險等級:高,被下面模塊所HOOK:C:\KAV2007\KASocket.dll)

金山2007的HOOK了~其實這個沒什么的,大家不必大驚小怪.被殺毒軟件HOOK,是最正常的事情了,我們不必理會.特例:

APIHOOK

RVA錯誤:LoadLibraryA(危險等級:高,被下面模塊所HOOK:\??\C:\WINDOWS\system32\drivers\klif.sys)

RVA錯誤:LoadLibraryExA(危險等級:高,被下面模塊所HOOK:\??\C:\WINDOWS\system32\drivers\klif.sys)

RVA錯誤:LoadLibraryExW(危險等級:高,被下面模塊所HOOK:\??\C:\WINDOWS\system32\drivers\klif.sys)

RVA錯誤:LoadLibraryW(危險等級:高,被下面模塊所HOOK:\??\C:\WINDOWS\system32\drivers\klif.sys)

RVA錯誤:GetProcAddress(危險等級:高,被下面模塊所HOOK:\??\C:\WINDOWS\system32\drivers\klif.sys)

C:\WINDOWS\system32\drivers\klif.sys為卡巴斯基殺毒軟件,用于HOOK的文件!大家記住就行了.

三.隱藏進(jìn)程

一般情況下,都是N/A,如果有值,分兩種情況考慮:

1.殺毒軟件

有一部分殺毒軟件,為了保護(hù)自身不被病毒干掉,創(chuàng)建了隱藏進(jìn)程,典型的就是江民殺毒.如果一臺電腦裝有江民,在這里可能會出現(xiàn).根據(jù)路徑判斷就行了.比如C:\KV\..........類似的.

2.InternetExplorer.exe

如果出現(xiàn)此隱藏進(jìn)程,則必定電腦里面存在木馬!典型的灰鴿子,就是這樣,中毒后,創(chuàng)建隱藏的IE進(jìn)程.但是,這個項目里面,不會列出病毒文件.只能從上面去查.引用:

不是InternetExplorer.exe,而是iexplore.exeSRE已知不成文規(guī)律總結(jié)1.XP統(tǒng)一的啟動項目[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\ActiveSetup\InstalledComponents\>{26923b43-4d38-484f-9b9e-de460746276c}]

<InternetExplorer訪問><"C:\WINNT\system32\shmgrate.exe"OCInstallUserConfigIE>[N/A]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\ActiveSetup\InstalledComponents\>{881dd1c5-3dcf-431b-b061-f3f88e8be88a}]

<OutlookExpress訪問><"C:\WINNT\system32\shmgrate.exe"OCInstallUserConfigOE>[N/A]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\ActiveSetup\InstalledComponents\{44BBA840-CC51-11CF-AAFA-00AA00B6015C}]

<MicrosoftOutlookExpress6><"%ProgramFiles%\OutlookExpress\setup50.exe"/APP:OE/CALLER:WINNT/user/install>[N/A]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\ActiveSetup\InstalledComponents\{44BBA842-CC51-11CF-AAFA-00AA00B6015B}]

<NetMeeting3.01><rundll32.exeadvpack.dll,LaunchINFSectionC:\WINNT\INF\msnetmtg.inf,NetMtg.Install.PerUser.NT>[(Verified)MicrosoftWindows2000Publisher]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\ActiveSetup\InstalledComponents\{6BF52A52-394A-11d3-B153-00C04F79FAA6}]

<MicrosoftWindowsMediaPlayer><rundll32.exeadvpack.dll,LaunchINFSectionC:\WINNT\INF\wmp.inf,PerUserStub>[]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\ActiveSetup\InstalledComponents\{7790769C-0471-11d2-AF11-00C04FA35D02}]

<AddressBook5><"%ProgramFiles%\OutlookExpress\setup50.exe"/APP:WAB/CALLER:WINNT/user/install>[N/A]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\ActiveSetup\InstalledComponents\{9EF0045A-CDD9-438e-95E6-02B9AFEC8E11}]以上各注冊表啟動項目,為XP系統(tǒng)通用啟動項目,即:正常啟動項2.系統(tǒng)服務(wù)沒有什么特別的,只有一個服務(wù),值得注意:[HumanInterfaceDeviceAccess/HidServ][Stopped/Disabled]

<C:\WINDOWS\System32\svchost.exe-knetsvcs-->%SystemRoot%\System32\hidserv.dll><N/A>這項雖然沒經(jīng)過微軟簽名,但為正常的系統(tǒng)服務(wù)項目3.驅(qū)動程序和上面的一樣,已知的未經(jīng)過微軟簽名的,正常的驅(qū)動程序:⑴[Secdrv/Secdrv][Stopped/ManualStart]

<system32\DRIVERS\secdrv.sys><N/A>⑵[d347bus/d347bus]和[d347prt/d347prt]

此程序,為虛擬光驅(qū)軟件:Daemontools這個軟件的第三方驅(qū)動4.關(guān)于AppInit這個項目,一般在sre報告里面分為2種,在報告中,它是如下樣子顯示:

[HKEY_LOCAL_MACHINE\Software\Microsoft\WindowsNT\CurrentVersion\Windows]

<AppInit_DLLs><>[N/A]注:此值不能刪除?。。。。。。。。。。?!只能在SRE里面,雙擊后編輯,設(shè)置為空即可!此值正常情況下,為空,在SRE報告中,也就是反應(yīng)為:[N/A]。如果出現(xiàn)值,則分兩種情況考慮:

⑴經(jīng)過美化的系統(tǒng),一些美化軟件,如:WindowsBlinds,美化系統(tǒng)后,會修改此鍵值,并把它的值改為:wbsys.sys,這個是正常的

⑵病毒文件。這種,就靠自己判斷了。一般都是無規(guī)則的字母、數(shù)字組成的DLL類型文件。5.關(guān)于APIHOOK

這個項目,目前大部分殺毒軟件,都會修改此鍵值,目的是為了從更深層次的角度,查殺病毒。大家判斷的時候,根據(jù)里面列出的文件路徑判斷就行了。常見的,大家經(jīng)常迷惑的,就是卡巴斯基,它的HOOK,在SRE報告中的反應(yīng)是這樣:

RVA錯誤:LoadLibraryA(危險等級:高,被下面模塊所HOOK:\??\C:\WINDOWS\system32\drivers\klif.sys)

RVA錯誤:LoadLibraryExA(危險等級:高,被下面模塊所HOOK:\??\C:\WINDOWS\system32\drivers\klif.sys)

R

溫馨提示

  • 1. 本站所有資源如無特殊說明,都需要本地電腦安裝OFFICE2007和PDF閱讀器。圖紙軟件為CAD,CAXA,PROE,UG,SolidWorks等.壓縮文件請下載最新的WinRAR軟件解壓。
  • 2. 本站的文檔不包含任何第三方提供的附件圖紙等,如果需要附件,請聯(lián)系上傳者。文件的所有權(quán)益歸上傳用戶所有。
  • 3. 本站RAR壓縮包中若帶圖紙,網(wǎng)頁內(nèi)容里面會有圖紙預(yù)覽,若沒有圖紙預(yù)覽就沒有圖紙。
  • 4. 未經(jīng)權(quán)益所有人同意不得將文件中的內(nèi)容挪作商業(yè)或盈利用途。
  • 5. 人人文庫網(wǎng)僅提供信息存儲空間,僅對用戶上傳內(nèi)容的表現(xiàn)方式做保護(hù)處理,對用戶上傳分享的文檔內(nèi)容本身不做任何修改或編輯,并不能對任何下載內(nèi)容負(fù)責(zé)。
  • 6. 下載文件中如有侵權(quán)或不適當(dāng)內(nèi)容,請與我們聯(lián)系,我們立即糾正。
  • 7. 本站不保證下載資源的準(zhǔn)確性、安全性和完整性, 同時也不承擔(dān)用戶因使用這些下載資源對自己和他人造成任何形式的傷害或損失。

評論

0/150

提交評論