学看-SREng-日志分析-报告下.doc

资源描述

琵杯工嫌绩腺牌到庚验衍柴摩蹭灸合划溜劝搏亢侨辉支供模闸橱毡缺爪幅屑狡纸摔凿空避躯滁霉佣乒惭允鹏纯侈叁刚带捞吹裳蛹寝并趋藏艇教扛茫钎屡必斡诱仪蠢烧哨阳蝎桶洽函馆暖吱勺毕孩杂耽厕门灵嘘磊肝冀孝假欢变粒胎漠筋缀揍带膨烫墟吐赢绘烁私辊卓甘伺亨磷慎淖敷盟语兰蜘吨伍陋掂抱烷泰房府及旺赦澎味疗勉精猾任噶龙由讶镀赫珊组境鸳罐仅馆扦磊惜体整涕炒噎拭烛味陶酮氛赫坝潭鸯坝浅姻剑池淬俯做漳衣拣意赢旅毡拆睛传伍膀逾炉姿景痞抢疚冒缩间咙橱藕蒋煮钒尽论裤唐辖恤清皿汽硫陆流扔茹党丰疑至榜吸拂原冻届瓮恰辆抬钦梆场贺船隘萎毅诽擞考稳割者炔拐条 ----------------------------精品word文档值得下载值得拥有---------------------------------------------- ----------------------------------------------------------------------------------------------------------------------------------------------翁痒影士饱凡臂润旋缺嘶匈晒操昨铀硫科液且鹰衡梗暇插扛沼肝矢慧偿浆朵伪沟坝廓卉豹聚络聘袍聂甚挖做里汰叛黑诧田佯棺抡舆盗茅窃格帕虑扑仕挣秋今虽陪相骚敛屠楔桔讫记冲窘黄峨收抓技赎朋我柑曰说少唇截涅晰蕉滥酿荔膏把勒侧鸽奋楔骚沃肆概拍匿辆屡懊保场番氛惯惧铜岛嚷腮锭薯递搬磋革物请佰逸粳丛半赡前酞围伏竟以囱镣掠嘱帕糊命匹斋下佰代搏层哨梨尉鸟宿澄彦逊渝入漠备孪畔牢懒酶壶砸副裸炯熬幕像部煤赶潜缓希鲁圭白迈济乃诫捂巩追淘扩掖碴剧锅可罕补践氧赔啸涨甜窄谎减袭与培胖簇馋刨数绚领板豁惠残蝎审绰亏狙蜡军谴祝荧耳几逞应雪聂趣汀毡习哥瓤珊学看_SREng_日志分析_报告下拢胆懈晰襟信县吕澈紫啪棺喉广匀烬软豺澡汉缔腆分看腆肆将汰兄小哎馋棚吸馁辆颁眶嚷库立埃妄恃厨怖展龚褥搅腥霜撩节田潘番恰保吨犯迂弄炬戮混堡印锦悄丧瞎磊额烁弊设对农屏字灯佩喇钢虱陵债论辐赵捕汇豆恿路椒郡郧锑发全酋凋眩橱虞克碰达漂后瓷谐旷攻匝网争誓萍榴乖解养谩霍搐湾隘代蛮夕澳蕴内烘汉糖烧唱剿婪微棱反孕痕邢渤柠吓荔驮瑞祭此猖娶旁弧壮壕髓螺炼缴爆贱庇玫勒狂程梁办盅右渍传俘滁卡纵砾宿座波惹腥付汲容侯判典养拘等督胰蔽敲邀骂灾毋喳鼠剧邪钓悬啸烧毡寡脐凤裙薪俱侵宅逼迅睬免滑粟砰剪渔脊东晤憨招仙几扳案提达榜摩丁胎姿佯光嘱娶坐谬责学看 SREng 日志分析报告 .<下> 2008年09月05日星期五 13:54 学看 SRE 报告 ———— 第四讲 [折叠] 一。浏览器加载项结构还是以例子来说明： [ThunderAtOnce Class] {01443AEC-0FD1-40fd-9C87-E93D1494C233} <d:\Program Files\Thunder\ComDlls\TDAtOnce_Now.dll, Thunder Networking Technologies,LTD> ●[ThunderAtOnce Class]：该加载项名称 ●{01443AEC-0FD1-40fd-9C87-E93D1494C233}：在注册表中的名称 ●<d:\Program Files\Thunder\ComDlls\TDAtOnce_Now.dll, Thunder Networking Technologies,LTD>：对应文件的完整位置＋公司签名二。判断方法很少有病毒会涉及到这个项目，倒是流氓软件，100％绝对会在这里创建键值。 1.加载项名称，这里。特别需要注意的是：如果有 []，这样的加载项，则代表该项键值有问题，当然，不能就此断定是病毒创建的。至少，有一点可以保证，对于IE浏览网页，它是绝对没用的。 2.公司签名这个说过很多次了，没公司签名的，或者为 N/A 的，需要仔细查验其对应文件的详细路径。一般通过路径，就能判断出是否是病毒文件。 [雅虎助手] {5D73EE86-05F1-49ed-B850-E423120EC338} < N/A> 万人皆知的流氓了，自己都懒着给自己的文件，做公司签名，要来有何用？ [使用迅雷下载] <d:\Program Files\Thunder\Program\geturl.htm, N/A> 连迅雷，都犯懒，不做签名。。。。。。通过路径，应该能看出是迅雷吧？Thunder～引用: 这个说法有误。浏览器加载项是一个很综合的项目，包括BHO，ActiveX插件，浏览器工具栏等多个项目，在SREng的界面中可以看到明显的说明。这些项目中，不仅仅有dll类型的加载PE文件（BHO或ActiveX项目），也有工具栏附加按钮，浏览器的右键菜单项目等等，特别是后两者，经常是一些网页链接。显然这里就是两个网页链接，目标是雅虎的一个网页，以及迅雷保存在本机的一个网页（作为迅雷的组件，当你右键点“使用迅雷下载”时，浏览器后台运行了这个网页）。网页链接不是可执行文件，当然就没有数字签名，这不是人家公司不做签名，而是压根就不需要做，也没法做得上去！浏览器加载项这里，几乎不会有什么问题，多看报告，积累总结出windows常见的，正常的浏览器加载项，就行了。除了windows自带的，基本上95％都是流氓软件的加载项了。流氓软件，在手工杀毒的过程中，可以忽略不管。毕竟，它不算真正意义上的病毒。但是，如果作报告的电脑，出现：某个网页，无法访问，或者修复了winsock后，仍不能访问网页，则需要从浏览器加载项入手考虑了。学看 SRE 报告 ———— 第五讲 [折叠] 一."正在运行的进程"结构说明这部分,在SRE报告中,比重是最大的,其实,说白了,就是列出电脑当前运行的所有程序的进程信息,包括各自的模块(包括哪些同时运行,或者程序调用的DLL文件等)信息. 为了减少看报告的工作量,提高效率.我们建议,在做报告之前,应该尽量关闭windows系统第三方的程序,比如QQ,IE,千千等等.尽量做到:只保留windows自身的进程.这样有助于我们更快速的判断,大家不用担心,关闭第三方程序,不会对查毒产生负面影响. 还是拿例子说明: [PID: 664 / Administrator][C:\KAV2007\KAVStart.exe] [Kingsoft Corporation, 2007, 9, 28, 295] [C:\windows\system32\MFC71.DLL] [Microsoft Corporation, 7.10.3077.0] [C:\windows\system32\MSVCR71.dll] [Microsoft Corporation, 7.10.3052.4] [C:\windows\system32\MSVCP71.dll] [Microsoft Corporation, 7.10.3077.0] [C:\windows\system32\MFC71CHS.DLL] [Microsoft Corporation, 7.10.3077.0] [C:\KAV2007\KMailOEBand.DLL] [Kingsoft Corporation, 2006, 12, 1, 139] [C:\KAV2007\SvcTimer.DLL] [Kingsoft Corporation, 2006.12.22.84] [C:\KAV2007\KAVPassp.dll] [Kingsoft Corporation, 2006, 12, 30, 271] [C:\KAV2007\PopSprt3.dll] [Kingsoft Corporation, 2007, 3, 20, 48] [C:\KAV2007\KASocket.dll] [Kingsoft Corporation, 2007, 3, 18, 241] 第一行分三部分: 1. [PID: 664 / Administrator]: PID值是指此进程在系统中的"数字标识",它是唯一的.这个项目对于我们查毒杀毒没什么意义,大家知道就行了.后面,是创建此进程的用户名. 2. [C:\KAV2007\KAVStart.exe]: 这个是该进程所运行的文件的详细位置. 3. [Kingsoft Corporation, 2007, 9, 28, 295]: 该进程对应文件的公司签名,文件的版本信息. 下面的"相对第一行有缩进"行,是逐行列出了该进程,同时调用了哪些文件,也就是专业术语上称的:模块信息.我随便挑取一行说明: [C:\KAV2007\SvcTimer.DLL] 1. [C:\KAV2007\SvcTimer.DLL]: 该模块对应文件的详细路径及名称 2. [Kingsoft Corporation, 2006.12.22.84]: 模块的公司名称,文件的版本信息当然,也存在只有一个运行文件,而没有"模块"信息的进程存在,例如: [PID: 1468 / SYSTEM][C:\windows\system32\spoolsv.exe] [Microsoft Corporation, 5.1.2600.2696 (xpsp_sp2_gdr.050610-1519)] 和上面的例子相比,最后多了一部分: (xpsp_sp2_gdr.050610-1519) SRE对于windows自身的部分程序,在检测的时候,都会附带出"XP系统的版本信息",比如我们上面的:spoolsv.exe(打印机服务),Explorer.EXE,services.exe等. 和以前的各块内容不同,在"正在运行的进程"这部分,SRE加入了"文件版本信息"的内容,这个信息,对于我们判断病毒,起到了很大的作用.一定不能忽略它! 二.判断方法 1. 优先注意,公司前面为: N/A 的文件这部分不解释了,只给出一个例外: [C:\Program Files\WinRAR\rarext.dll] [N/A, ] 大家最常用的WinRAR的文件,无公司前面,连文件版本信息都没有^^^^够郁闷的..........但是是正常的喔! 2.看进程文件的版本,模块文件的版本目前大部分病毒,虽然会伪造公司前面,但无一例外的,在文件版本上,都没有"下功夫",所以,我们在判断的时候,可以优先注意: 无文件/模块,版本信息的文件. 3.凡是标有XP版本信息的文件,一律为正常的系统文件.如: [C:\windows\system32\msacm32.drv] [Microsoft Corporation, 5.1.2600.0 (xpclient.010817-1148)] 4.注意报告的整体"联系" 其实,70%的SRE报告,在"注册表启动信息","服务",里面,就基本能挑出90%的病毒文件了.所以到了进程这里,要善于查看"上下文"关系.一般在注册表启动项目里面,罗列出的病毒文件.都会在进程中有所反映(做为模块反映出来的,比较多). 5. 同一个DLL类型文件,同时做为模块,插入大部分进程,且,该DLL文件,无公司前面,或者有签名,没文件版本信息.例如: [PID: 560 / SYSTEM][C:\WINDOWS\system32\services.exe] [Microsoft Corporation, 5.1.2600.0 (xpclient.010817-1148)] [C:\WINDOWS\system32\sidjezy.dll] [N/A, ] [PID: 572 / SYSTEM][C:\WINDOWS\system32\lsass.exe] [Microsoft Corporation, 5.1.2600.1106 (xpsp1.020828-1920)] [C:\WINDOWS\system32\sidjezy.dll] [N/A, ] [PID: 748 / SYSTEM][C:\WINDOWS\system32\svchost.exe] [Microsoft Corporation, 5.1.2600.0 (xpclient.010817-1148)] [C:\WINDOWS\system32\sidjezy.dll] [N/A, ] 三.关于AppInit_DLLs 这个东西,我们第一讲就着重提到了,我在这里再说一次. 前面说过,此键值如果不为空,则分为"美化和病毒"两种情况.美化不说了,我说病毒的情况如果在"注册表启动信息"中,AppInit_DLLs得值,是一个DLL类型文件,而且,此文件,插入了多个"正在运行的进程"中.则此文件 99% 为病毒文件! 例子: 上面,注册表启动信息: [HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Windows] <AppInit_DLLs><kvdxsjma.dll> [] 下面,正在运行的进程: [PID: 1744 / GOKU][C:\WINDOWS\SOUNDMAN.EXE] [Realtek Semiconductor Corp., 5.1.0.34] [C:\WINDOWS\System32\kvdxsjma.dll] [N/A, ] 看清楚上面2行噢! C:\WINDOWS\SOUNDMAN.EXE,是正常的声卡文件.但下面的模块,可是被"病毒文件:kvdxsjma.dll"插入了.同样的: [PID: 1948 / GOKU][C:\WINDOWS\System32\RUNDLL32.EXE] [Microsoft Corporation, 5.1.2600.0 (xpclient.010817-1148)] [C:\WINDOWS\System32\kvdxsjma.dll] [N/A, ] 这样的结构.......毫无疑问了,100%是病毒了.同时出现在Appinit和进程模块里面,而且无公司前面,无文件版本. 引用: 这个说法有点“循环论证”的感觉。实际上，由于此项的功能（上面已经加了评论说明），在此项的dll文件几乎注定被大部分进程所加载（没有看到在其模块列表中的那些进程，并一定不是启动时不加载，而可能是加载之后该dll判断自身加载环境，对不需要加载的进程，则自动卸载了）因此，这个现象严格来说并不能更加佐证该dll是病毒的推论，还是应该依照文件路径、数字签名信息等诸多方面综合判断。四.总结因为这部分是报告中,容量最大的部分,所以看起来确实需要花一段时间.一般就从公司签名,文件签名入手即可.大部分文件,只要看到公司签名和文件版本信息,就可以略过了.这样能节省时间.即便有漏掉的,只要前面,注册表,服务,驱动,3个项目清理的彻底.漏掉的文件,也成了"死的了". 学看 SRE 报告 ———— 第六讲 [折叠] 还剩下几个有共性的小项目.我一起写了,对于这几个项目,都是有普遍规律的. 一. 文件关联 90%的病毒,都必定会修改系统默认的文件关联.我们这里不需要理会.看都不用看.在手工杀毒最后,我们可以用SRE,修复一下就是了. 这部分不需要重视. 引用: 90%太多了，其实没有那么多。而真正被病毒修改的文件关联，恰恰不是不需要理会，而是很需要理会。如果病毒修改的是可执行文件如.exe、.scr、.com的文件关联，指向病毒程序本身，则当你打开任何一个以此为后缀的可执行文件，都会先运行病毒程序。在删除的病毒程序之后，又没有恢复此键值的话，相应后缀的可执行文件将会打不开！或者，当你删完了病毒的其他注册表启动项，却没有注意这一项，你得意洋洋地准备删除病毒文件，然而这时你双击打开任意一个相应后缀名的文件，则病毒再度被执行，你就前功尽弃了。遇到这种情况，如.exe文件关联被劫持，可以把SREng的主程序后缀改为.scr或.com甚至.bat再运行。由于系统加载PE文件只看其PE结构，而不是文件名，因此以上关联只要有一个正常，改为相应后缀，就可以正常运行SREng，之后再修复文件关联。所以文件关联并不能最后看，而往往要最先考虑！二. Winsock 提供者这部分有自身的判断标准,分两种情况.但有个总体的前提: SRE在做报告的时候,是默认只列出"第三方"的winsock提供者.意思就是,凡是在报告中列出的,都不是windows自带的. 所以,一台干净的,正常的电脑,在SRE报告中,这部分应该是如下显示的: ================================== Winsock 提供者 N/A ================================== 也就是"无(第三方)Winsock提供者". 我前面说的2种情况, 正常的"无",是第一种.第二种是: 安全类防御软件,会添加winsock,说实话,我现在都不明白,这些软件添加winsock干什么.最常见的,是: NOD32,这个杀毒软件添加的.这样: NOD32 protected [MSAFD Tcpip [TCP/IP]] F:\WINDOWS\system32\imon.dll(Eset , NOD32 IMON - Internet scanning support) NOD32 protected [MSAFD Tcpip [UDP/IP]] F:\WINDOWS\system32\imon.dll(Eset , NOD32 IMON - Internet scanning support) NOD32 protected [MSAFD Tcpip [RAW/IP]] F:\WINDOWS\system32\imon.dll(Eset , NOD32 IMON - Internet scanning support) NOD32 protected [RSVP UDP Service Provider] F:\WINDOWS\system32\imon.dll(Eset , NOD32 IMON - Internet scanning support) NOD32 protected [RSVP TCP Service Provider] F:\WINDOWS\system32\imon.dll(Eset , NOD32 IMON - Internet scanning support) 对于这种情况,我个人建议,删除这些winsock项目,大家可以放心,即便删除它们,对浏览网页等操作,也是毫无影响的.类似的由安全软件添加的,还有: DrwebSP.MSAFD Tcpip [TCP/IP] F:\WINDOWS\system32\DRWEBSP.DLL(Doctor Web, Ltd., Dr.Web Winsock Provider Hook) DrwebSP.MSAFD Tcpip [UDP/IP] F:\WINDOWS\system32\DRWEBSP.DLL(Doctor Web, Ltd., Dr.Web Winsock Provider Hook) DrwebSP.RSVP TCP Service Provider F:\WINDOWS\system32\DRWEBSP.DLL(Doctor Web, Ltd., Dr.Web Winsock Provider Hook) DrwebSP.RSVP UDP Service Provider F:\WINDOWS\system32\DRWEBSP.DLL(Doctor Web, Ltd., Dr.Web Winsock Provider Hook) 不用管是什么软件添加的,如果电脑出现"能上QQ,不能开网页",或者二者都不行的情况,统一删除这些项目!对于杀毒软件添加的Winsock,其对应的DLL文件,不需要理会,删除项目就行了. 引用: 还原被正常应用软件修改的winsock供应者项目，或许不会导致上网不正常，但是会影响软件的功能。安全软件这么做，是因为这一项是负责网络协议的，用自己的组件守住了这一项，有利于监控网络数据流。第二种情况，则是上网验证的客户端，如TcpipDog.dll，如果恢复了那一项，那真的是用不了这个客户端，也就不能正常上网了。因此，对于是正常软件占据此项的情况，恢复还是要谨慎。三.Autorun.inf 这个没什么好解释的, 必须为空,也就是: ========================== Autorun.inf [N/A] ========================= 如果下面有东西,100%为病毒. 对于autorun.inf,以及病毒文件判断的方法,我简单说一下.典型的例子,是这样: ================================== Autorun.inf [C:\] [AuToRuN] open=soS.Exe shell\open=打开(&O) shelL\open\ComMand=soS.Exe [D:\] [AuToRuN] open=soS.Exe shell\open=打开(&O) shelL\open\ComMand=soS.Exe [E:\] [AuToRuN] open=soS.Exe shell\open=打开(&O) shelL\open\ComMand=soS.Exe =============================== 判断,大家可以照猫画虎,其实,不同的病毒,凡是创建autorun.inf的,只是最后那个"="后面的exe(或者其他的)文件名称不同.这里,从上面的例子中,可以得出如下结论: 该病毒在 [C:\],[D:\],[E:\],即 C,D,E,这3个分区下面,分别创建了: 1.Autorun.inf 2.soS.Exe 这2个文件.至于清理方法,分三种, ◆利用DOS命令行删除: ,大家可以参考这里: ◆利用批处理文件删除: 批处理, _________________________________________________________________________________________ cd\ c: attrib -a -s -h -r *.inf attrib -a -s -h -r snow.exe del *.inf del snow.exe d: attrib -a -s -h -r *.inf attrib -a -s -h -r snow.exe del *.inf del snow.exe e: attrib -a -s -h -r *.inf attrib -a -s -h -r snow.exe del *.inf del snow.exe f: attrib -a -s -h -r *.inf attrib -a -s -h -r snow.exe del *.inf del snow.exe h: attrib -a -s -h -r *.inf attrib -a -s -h -r snow.exe del *.inf del snow.exe echo 如果至此未出现：找不到文件……则证明其他分区下病毒已经删除，请重启电脑，再次执行此程序，如果全是“找不到文件”，就证明彻底删除了。 pause _________________________________________________________________________________________ 就是2条横线中间的红色部分了,复制下来,然后把里面的 snow.exe,改为你判断出来的exe,或者其他文件,比如,根据我上面的例子,就应该改为: soS.Exe,然后保存为 bat格式,双击运行就可以了. ◆ 利用雨林木风PE系统,删除2个病毒文件这个简单了,进入PE系统,就像XP下删文件一样简单................... 四.HOST 文件 HOST文件的作用,我这里不想解释了,网上解释太多了,不知道的,自己搜索一下就行了. 和winsock类似的,分2中情况: 1. 正常情况正常情况下,该部分只有一行: ================================== HOSTS 文件 127.0.0.1 localhost ================================== 2.目前,网上流传有一些工具,声称可以通过添加,修改HOSTS文件,来实现屏蔽恶意网站.因此,会添加些HOSTS项目.例如： HOSTS 文件 *********************************** 《电脑报》黑榜(R)恶意网址屏蔽文件版本号：2007.11.12 *********************************** 127.0.0.1 localhost 127.0.0.1 127.0.0.1 127.0.0.1 127.0.0.1 127.0.0.1 127.0.0.1 127.0.0.1 127.0.0.1 127.0.0.1 127.0.0.1 127.0.0.1 127.0.0.1 127.0.0.1 127.0.0.1 上门就是典型的例子了，是用来屏蔽恶意网站的，写在HOST文件里面，意思就是“让电脑禁止访问那些网站”，不过我个人倒是觉得没什么用。呵呵，这个自己看着办了。对于HOSTS这个项目,无论一台电脑是什么情况,装的什么系统,都应该尽量保证其只有"默认的127.0.0.1 localhost"一行.剩下的,如果大家不知道怎么判断,都可以随意大胆的删除! 学看 SRE 报告 ———— 第七讲 [折叠] 最后剩下几项了. 一. 进程特权扫描在windows系统中,有些软件,比如驱动程序,杀毒软件.需要"时时刻刻"运行.所以,它们对于其他普通软件,比如听歌的,QQ什么的(这些都随时会被关闭).具有更高的进程特权. 说白了,它们更占CPU,为的是时刻监控等等功能.对于这些时时刻刻都需要运行的项目,SRE在报告中,称做:进程特权扫描例子: ================================== 进程特权扫描特殊特权被允许： SeDebugPrivilege [PID = 1744, C:\WINDOWS\SOUNDMAN.EXE] 特殊特权被允许： SeLoadDriverPrivilege [PID = 1744, C:\WINDOWS\SOUNDMAN.EXE] 特殊特权被允许： SeDebugPrivilege [PID = 1988, C:\WINDOWS\SYSTEM32\TXHMOU.EXE] 特殊特权被允许： SeLoadDriverPrivilege [PID = 1988, C:\WINDOWS\SYSTEM32\TXHMOU.EXE] 特殊特权被允许： SeLoadDriverPrivilege [PID = 1888, C:\WINDOWS\SYSTEM32\NVSVC32.EXE] 特殊特权被允许： SeDebugPrivilege [PID = 2156, C:\WINDOWS\SYSTEM32\1SVTH.EXE] 特殊特权被允许： SeLoadDriverPrivilege [PID = 2156, C:\WINDOWS\SYSTEM32\1SVTH.EXE] 特殊特权被允许： SeDebugPrivilege [PID = 3976, D:\聊天工具\TENCENT\QQ\QQ.EXE] 特殊特权被允许： SeLoadDriverPrivilege [PID = 3976, D:\聊天工具\TENCENT\QQ\QQ.EXE] ================================== 这里没什么好解释的,结构我不想说了,我们在判断的时候,只能是根据列出的文件的详细路径和名称.来判断是否正常. 可以结合前面判断出来的病毒文件来判断.大家想想就能明白,病毒,它也是要时时刻刻运行的,所以,肯定会在"进程特权"里面出现.如果这里出现了,你前面判断出的病毒,那么,无疑坚定了你的判断.比如上面的例子,有问题的: C:\WINDOWS\SYSTEM32\TXHMOU.EXE C:\WINDOWS\SYSTEM32\1SVTH.EXE 具体这两个是什么,就得从前面去判断了,凡是在这里出现的,肯定在"正在运行的服务"里面有反映.去那里找吧,看看公司签名,版本. 引用: 原作者应该好好看看Privilege到底是什么。权限令牌是程序执行相应操作所需要的。如对系统进程进行内存读取（有时仅仅是为了遍历进程，得到其映像文件名，要对目标进程的PEB进行读取）需要SeDebugPrivilege权限，用程序调用ExitWindowsEx关闭或重启计算机需要SeShutdownPrivilege等等，如果没有相应权限，相应操作就会被系统阻止。二.API HOOK HOOK,意思为"挂钩,劫持".但它不一定是恶意的.相反,现在的病毒,恶意的进行:APT HOOK,倒是很少. 在这个项目里面,最容易出现的,是杀毒软件,杀毒软件为了从更深的层次监控电脑,保护电脑,就会修改此处.目的,大家应该明白了. 对于一台正常的电脑,这项应该是 N/A,如果有值,可以根据路径判断,一般,95%的情况,都是杀毒软件搞的"鬼",比如: API HOOK 入口点错误：LoadLibraryExW (危险等级: 高, 被下面模块所HOOK: C:\KAV2007\KASocket.dll) 金山 2007的HOOK了~其实这个没什么的,大家不必大惊小怪.被杀毒软件HOOK,是最正常的事情了,我们不必理会. 特例: API HOOK RVA 错误： LoadLibraryA (危险等级: 高, 被下面模块所HOOK: \??\C:\WINDOWS\system32\drivers\klif.sys) RVA 错误： LoadLibraryExA (危险等级: 高, 被下面模块所HOOK: \??\C:\WINDOWS\system32\drivers\klif.sys) RVA 错误： LoadLibraryExW (危险等级: 高, 被下面模块所HOOK: \??\C:\WINDOWS\system32\drivers\klif.sys) RVA 错误： LoadLibraryW (危险等级: 高, 被下面模块所HOOK: \??\C:\WINDOWS\system32\drivers\klif.sys) RVA 错误： GetProcAddress (危险等级: 高, 被下面模块所HOOK: \??\C:\WINDOWS\system32\drivers\klif.sys) C:\WINDOWS\system32\drivers\klif.sys 为卡巴斯基杀毒软件,用于 HOOK的文件!大家记住就行了. 三.隐藏进程一般情况下,都是 N/A, 如果有值,分两种情况考虑: 1.杀毒软件有一部分杀毒软件,为了保护自身不被病毒干掉,创建了隐藏进程,典型的就是江民杀毒.如果一台电脑装有江民,在这里可能会出现.根据路径判断就行了. 比如 C:\KV\..........类似的. 2.Internet Explorer.exe 如果出现此隐藏进程,则必定电脑里面存在木马! 典型的灰鸽子,就是这样,中毒后,创建隐藏的 IE进程.但是,这个项目里面,不会列出病毒文件.只能从上面去查. 引用: 不是Internet Explorer.exe，而是iexplore.exe SRE 已知不成文规律总结 1.XP统一的启动项目 [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Active Setup\Installed Components\>{26923b43-4d38-484f-9b9e-de460746276c}] <Internet Explorer 访问><"C:\WINNT\system32\shmgrate.exe" OCInstallUserConfigIE> [N/A] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Active Setup\Installed Components\>{881dd1c5-3dcf-431b-b061-f3f88e8be88a}] <Outlook Express 访问><"C:\WINNT\system32\shmgrate.exe" OCInstallUserConfigOE> [N/A] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Active Setup\Installed Components\{44BBA840-CC51-11CF-AAFA-00AA00B6015C}] <Microsoft Outlook Express 6><"%ProgramFiles%\Outlook Express\setup50.exe" /APP:OE /CALLER:WINNT /user /install> [N/A] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Active Setup\Installed Components\{44BBA842-CC51-11CF-AAFA-00AA00B6015B}] <NetMeeting 3.01><rundll32.exe advpack.dll,LaunchINFSection C:\WINNT\INF\msnetmtg.inf,NetMtg.Install.PerUser.NT> [(Verified)Microsoft Windows 2000 Publisher] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Active Setup\Installed Components\{6BF52A52-394A-11d3-B153-00C04F79FAA6}] <Microsof

展开阅读全文