对如何分析SREng扫描报告的个人见解(2007.7.1更新)
解读报告的判断要点:PS:下面的X是指盘符
1.熟悉各个正常的系统进程以及DLL文件(包括字母的顺序),需要强记于心。依据文件名判断
a.系统进程:
X:\WINDOWS\System32\smss.exe
X:\WINDOWS\system32\csrss.exe-----注意此项是否出现多余的字母
X:\WINDOWS\system32\winlogon.exe
X:\WINDOWS\system32\services.exe-----注意此进程的最后个字母是“S”
X:\WINDOWS\system32\lsass.exe
X:\WINDOWS\System32\svchost.exe-----此项进程尤为重要,但可能被病毒文件调用或者感染.
例:病毒进程X:\WINDOWS\System32\svchosts.exe 注意后面多了个“S”
X:\WINDOWS\System32\alg.exe
X:\WINDOWS\Explorer.EXE
X:\WINDOWS\system32\spoolsv.exe
X:\WINDOWS\system32\ctfmon.exe-----此项进程应该注意字母的顺序,发现有病毒进程伪装此进程.
例:病毒进程X:\WINDOWS\system32\ctfnom.exe 注意M和N的顺序
X:\WINDOWS\system32\nvsvc32.exe
X:\WINDOWS\system32\rundll32.exe---此项进程最易被病毒调用,但其也是一个很重要的进程很多程序都需要调用这个进程。
例:病毒进程X:\WINDOWS\system32\rundl132.exe----注意1和L的区别
X:\WINDOWS\system32\wdfmgr.exe----任务管理器的进程
X:\WINDOWS\system32\wuauclt.exe----系统自动升级的进程
X:\Program Files\Internet Explorer\iexplore.exe
此进程经常被病毒伪装
例:X:\Program Files\Internet Explorer\iexp1ore.exe 注意L和1的区别
X:\Program Files\Internet Explorer\webm\iexplore.exe文件夹都变了,肯定有问题!
X:\WINDOWS\system32\wbem\wmiprvse.exe--用于通过WinMgmt.exe程序处理WMI操作
b.正常的文件:
X:\Program Files\Unlocker\UnlockerAssistant.exe----强制删除工具UNLOCKER的程序
X:\WINDOWS\system32\drivers\klif.sys
X:\WINDOWS\system32\drivers\kl1.sys----上面2项是卡巴的文件
X:\WINDOWS\system32\drivers\EagleNT.sys----安博士驱动文件
X:\WINDOWS\system32\klogon.dll><Intel Corporation>----卡巴的文件
X:\WINDOWS\system32\userinit.exe,----注意后面一定有逗号.
X:\WINDOWS\System32\hidserv.dll><N/A>----重要的系统文件
X:\WINDOWS\system32\drivers\klif.sys
X:\系统应用\瑞星杀毒\ExpScan.sys>----瑞星的文件
X:\WINDOWS\system32\shdocvw.dll----重要的系统文件
X:\系统应用\瑞星杀毒\HookReg.sys>----瑞星正常的文件
rpcapd.exe----联网的程序之一
X:\WINDOWS\System32\Drivers\sptd.sys><N/A>
X:\WINDOWS\system32\Mshtml.dll
X:\Program Files\Common Files\System\msadc\msadco.dll
X:\WINDOWS\system32\wmpdxm.dll
X:\WINDOWS\system32\wmp.dll
X:\WINDOWS\system32\Macromed\Flash\Flash9b.ocx----Flash按钮文件
<system32DRIVERSWudfPf.sys><Microsoft Corporation>----运行的库文件,用于支持ASP.NET
<system32DRIVERSwudfrd.sys><Microsoft Corporation>----运行的库文件,用于支持ASP.NET
X:\WINDOWS\System32\Drivers\Wsdrv.sys
X:\Program Files\Wopti\GWIOPM.sys--优化大师里面的文件
X:\Program Files\SogouInput\Plugin\SgImeWord.dll
X:\soft\GMon.exe--Eyou上网计费客户端,用于局域网的用户登录收费网关访问公网。
X:\virus\Vcrmon.exe----(驱逐舰)杀毒软件监控程序。
X:\WINDOWS\System32\drivers\kmsinput.sys---QQ游戏的反外挂相关程序
X:\WINDOWS\system32\SYNCOR11.DLL
X:\WINDOWS\System32\Drivers\dtscsi.sys
X:\Program Files\WinPcap\rpcapd.exe----联网程序
Oreans32.sys----WindowsARP防火墙单机版的文件,这项极易造成误删,搜索得到的结果全是木马病毒,请注意
X:\program files\rising\rfw\rfwproxy.exe--瑞星防火墙程序,没通过数字验证的正常文件
X:\WINDOWS\SYSTEM32\DRIVERS\3WAREDRV.SYS
X:\WINDOWSSystem32\DRIVERS\3waregsm.sys
X:\WINDOWSSystem32\DRIVERS\3WDRV100.SYS
X:\WINDOWS\System32\ATSpy.sys----金山毒霸文件
X:\WINDOWS\system32\drivers\KRegEx.sys----金山毒霸文件
X:\WINDOWS\system32\DRIVERS\quakedrv.sys
X:\WINDOWS\system32\drivers\dump_wmimmc.sys
<slserv.exe>----调制解调器连接相关程序
X:\WINDOWS\fsp.exe>----联想系统中的文件
X:\WINDOWS\usblogon.exe----联想系统中的文件
X:\WINDOWS\system32\drivers\kmsinput.sys----腾迅反外挂相关程序
X:\WINDOWS\system32\drivers\PnpWmkDrv.sys----完美卸载相关驱动文件
X:\Program Files\Wom\gwiopm.sys----优化大师相关驱动文件
X:\WINDOWS\domino.exe----摄像头驱动文件
PS:system32\DRIVERS\npf.sys这项不要删除,删除之后可能无法上网
c.常出现的病毒文件:
npkcrypt.sys(病毒驱动:npkycryp.sys 多了个字母Y)
IEINFO5.sys----69262病毒中常出现的病毒驱动
isignup.sys---木马驱动
sbfyrn.exe----木马群中的主要程序
severe.exe----木马群中的主要程序
上面2项是顽固病毒文件,时常难以删除,并伴随劫持映像(劫持文件随机命名,大小31k。可能是exe或com文件.)
2.依据进程或者文件的公司名字进行判断
这个也是最快的办法,大多数报告依照这个方法进程判断。如瑞星等等的杀毒软件的文件都有
公司的标识,下面是常见的正常公司的名字(需要记忆):
[(Verified)Microsoft Corporation]--这种是通过数字签名的里面一般是正常文件,除了极个别的病毒文件也能通过数字验证.
[(Verified)N/A]----这种就有问题了,也许是正常文件但是没有公司属性,也有可能是病毒文件,需要自己判断.
正常的公司属性:
[北京紫光华宇软件股份有限公司, 5.0.0.5076]--紫光拼音的软件
[中文之星]
PS---常见的瑞星的目录\Rising\
<Autodesk, Inc.>
<Macrovision Corporation>
<Conexant>
<NVIDIA Corporation>--显卡驱动的公司
<Parallel Technologies, Inc.>
<Realtek Semiconductor Corporation>--声卡驱动的公司
<Adobe Systems Incorporated>
<VIA Technologies inc,.ltd>
----卡巴斯基
<CMD Technology, Inc.><Intel Corporation>----英特尔公司
<LSI Logic Corporation.>
<Silicon Integrated Systems Corp.>
[奇虎网]--360安全卫士的网站
----创新科技公司
<Jiangmin Co., Ltd.>--江民杀毒软件公司
<Protection Technology>
其实有些时候直接搜索文件不容易得到相关的信息,不过在搜索其公司之后会得出正确的判断。但是这样还有个弊端,有些病毒文件冒充<Macrovision Corporation>和Microsoft Corporation遇到这2个公司名的时候应百度下,不应该被伪装所麻痹!还有公司名是<N/A>的也需要仔细判断。
3.依据文件的路径进行判断
很多伪装的病毒文件和系统或者正常软件的名字是一样的,但是路径却不相同,如:
病毒文件路径:X:\Program FilesX:\Program Files\Internet\webm\iexplore.exe
本来正常的文件应该只在Internet下的但是却多了个webm的文件夹,所以肯定有问题。
4.依据文件夹判断
有些文件公司名是<N/A>或者没有的,应该根据其文件夹判断,象是瑞星的文件中就有这种,如
公司名字是没有的,只有通过文件夹判断!去搜索起文件夹即可。
补充:1.报告的开头有电脑系统的版本,如Windows XP Professional Service Pack 1 (Build 2600) 有些时候没解决问题 可要求其打SP2的补丁。
2.有些文件的是手工启动还是自动启动也是判断的方法之一。
3.有些文件经过以上的搜索之后没有得到相关的信息,如果看见崔老师的报告一定要进去看看
用来作为参考,并不一定要删除或者保留,要以自己的报告作为判断。
4.大多数病毒文件的公司都是<N/A>,应该引起注意!
5.rundl132.exe logo1_.exe是威金病毒的典型进程!
6.如果确实无法判断的话,可以请他把样本发上来进行检测。
7.确实无法判断的另外中方法,如果在百度中有7.8页的相关信息,就应该是正常的。反之,只有2.3页则文件肯定有问题。
8.安装Dreamweaver后,JS文件默认便是Dreamweaver打开了。(这时JS文件的关联是错误,可 以不用修复,这个是正常现象)
9.卡巴的80端口是web服务器上打开的,不是在自己的电脑上打开。
10.出现<KernelFaultCheck><%systemroot%\system32\dumprep 0 -k>的时候证明系统出过问题,这个服务是
向微软报错误日志的进程。
----------------------------------------------------------------
更新部分:
某类病毒驱动文件的一些特征
1.都是加载在X:\windows\system32\drivers下
2.百度搜索不到
3.没有通过微软签名认证
具体案例
1:延续了my123随机文件的一贯算法:
6位随机英文字母+2位数字。新发现一例:1个数字+3个英文字母+1个数字+3个英文字母
2:全数字
例如X:\WINDOWS\System32\drivers\81562.sys
3:8位随机英文字母
例如X:\WINDOWS\system32\drivers\ccajcdhi.sys
4:四位随机英文字母+下划线+随机英文字母
例如X:\WINDOWS\system32\drivers\gwcd_l.sys
插入进程的良民文件:
X:\WINDOWS\system32\msdmo.dll <Microsoft>
X:\WINDOWS\system32\imon.dll <NOD32>
X:\WINDOWS\System32\SYNCOR11.DLL <SoundMAX>
X:\WINDOWS\system32\TcpIpDog.dll <Drcom>
X:\WINDOWS\system32\EntApi.dll - <Mcafee>
X:\WINDOWS\system32\uxtheme.dll <Microsoft>
X:\WINDOWSsystem32\drivers\ADProt.sys--TX公司的广告驱动
使时间出错,从而使杀软失效的病毒程序:
<X:\WINDOWS\system32\D97A73FB.EXE -g><Microsoft Corporation>
2007年7月1日更新:
引自崔老的文章:
病毒在注册驱动项的时候没有用常见的方式直接将文件名写入VALUE而是用%s变量传递的方法。观察SRENG的日志,也会让人迷惑这丫的到底藏身在哪里?例如:
<\SystemRoot\system32\\drivers\\system32\\drivers\\%s.sys.sys><N/A>
通过杀软的辅助提示信息,我们很容易就发现了真正的驱动文件还是在常见的 %systemroot%\system32\drivers 下,文件名为yeaupu10.sys。
文件关联
.TXTError.
.EXEOK. ["%1" %*]
.COMOK. ["%1" %*]
.PIFOK. ["%1" %*]
.REGOK.
.BATOK. ["%1" %*]
.SCROK. ["%1" /S]
.CHMError. ["hh.exe" %1]
.HLPError.
.INIError.
.INFOK. [%SystemRoot%\System32\NOTEPAD.EXE %1]
.VBSOK. [%SystemRoot%\System32\WScript.exe "%1" %*]
.JS OK. [%SystemRoot%\System32\WScript.exe "%1" %*]
.LNKOK. [{00021401-0000-0000-C000-000000000046}]
注意红色部分里面C:\WINDOWS\system32\notep.exe是病毒文件,造成文件关联错误,这类病毒极易看掉,请注意.
---===本帖最后由 败亦枭雄 于 2007-7-1 15:19 编辑===---
[ 本帖最后由 showmethemoney 于 2009-3-24 22:31 编辑 ] :em61: ............................
页:
[1]