SREng日志全分析(二)

Ⅳ,正在运行的进程(包括进程模块信息):

1.在SREng日志中,正在运行的进程(包括进程模块信息)的结构如下:

[PID: 632][\??\C:\WINDOWS\system32\winlogon.exe]  [(Verified) Microsoft Corporation, 5.1.2600.2180 (xpsp_sp2_rtm.040803-2158)]

    [C:\WINDOWS\system32\AUTHZ.dll]  [Microsoft Corporation, 5.1.2600.2622 (xpsp_sp2_gdr.050301-1519)]

    [C:\WINDOWS\system32\COMCTL32.dll]  [Microsoft Corporation, 5.82 (xpsp.060825-0040)]

    [C:\WINDOWS\WinSxS\x86_Microsoft.Windows.Common-Controls_6595b64144ccf1df_6.0.2600.2982_x-ww_ac3f9c03\comctl32.dll]  [Microsoft Corporation, 6.0 (xpsp.060825-0040)]

    [C:\WINDOWS\system32\sfc_os.dll]  [Microsoft Corporation, 5.1.2600.2180 (xpsp_sp2_rtm.040803-2158)]

    [C:\WINDOWS\system32\ole32.dll]  [Microsoft Corporation, 5.1.2600.2726 (xpsp_sp2_gdr.050725-1528)]

    [C:\WINDOWS\system32\sxs.dll]  [Microsoft Corporation, 5.1.2600.3019 (xpsp_sp2_gdr.061019-0414)]

    [C:\WINDOWS\system32\uxtheme.dll]  [Microsoft Corporation, 6.00.2900.2180 (xpsp_sp2_rtm.040803-2158)]

    [C:\WINDOWS\system32\xpsp2res.dll]  [Microsoft Corporation, 5.1.2600.2180 (xpsp_sp2_rtm.040803-2158)]

[C:\WINDOWS\system32\iphlpapi.dll]  [Microsoft Corporation, 5.1.2600.2912 (xpsp_sp2_gdr.060519-0003)]


[PID: 416 / SYSTEM][\SystemRoot\System32\smss.exe]  [(Verified) Microsoft Corporation, 6.0.6002.18005 (lh_sp2rtm.090410-1830)]           

[PID: 632][\??\C:\WINDOWS\system32\winlogon.exe]:

   

PID:指此进程在系统中的“数字标识”,在系统中,每个进程有且仅有一个PID,所以说,它是唯一的。

[\??\C:\WINDOWS\system32\winlogon.exe]代表在系统中,该进程对应文件的详细位置。

[(Verified) Microsoft Corporation, 5.1.2600.2180 (xpsp_sp2_rtm.040803-2158)]代表该进程对应文件的数字签名和文件的版本信息。

[PID: 416 / SYSTEM]:SYSTEM代表的是创建此进程的用户名。

   

[C:\WINDOWS\system32\AUTHZ.dll]  [Microsoft Corporation, 5.1.2600.2622 (xpsp_sp2_gdr.050301-1519)]

    [C:\WINDOWS\system32\COMCTL32.dll]  [Microsoft Corporation, 5.82 (xpsp.060825-0040)]

    [C:\WINDOWS\WinSxS\x86_Microsoft.Windows.Common-Controls_6595b64144ccf1df_6.0.2600.2982_x-ww_ac3f9c03\comctl32.dll]  [Microsoft Corporation, 6.0 (xpsp.060825-0040)]

    [C:\WINDOWS\system32\sfc_os.dll]  [Microsoft Corporation, 5.1.2600.2180 (xpsp_sp2_rtm.040803-2158)]

    [C:\WINDOWS\system32\ole32.dll]  [Microsoft Corporation, 5.1.2600.2726 (xpsp_sp2_gdr.050725-1528)]

    [C:\WINDOWS\system32\sxs.dll]  [Microsoft Corporation, 5.1.2600.3019 (xpsp_sp2_gdr.061019-0414)]

    [C:\WINDOWS\system32\uxtheme.dll]  [Microsoft Corporation, 6.00.2900.2180 (xpsp_sp2_rtm.040803-2158)]

    [C:\WINDOWS\system32\xpsp2res.dll]  [Microsoft Corporation, 5.1.2600.2180 (xpsp_sp2_rtm.040803-2158)]

[C:\WINDOWS\system32\iphlpapi.dll]  [Microsoft Corporation, 5.1.2600.2912 (xpsp_sp2_gdr.060519-0003)]


  

以上这些,是表示该进程(winlogon.exe)的模块信息。

  

例如:

[C:\WINDOWS\system32\ole32.dll]  [Microsoft Corporation, 5.1.2600.2726 (xpsp_sp2_gdr.050725-1528)]


[C:\WINDOWS\system32\ole32.dll]代表该模块对应文件的详细路径和名称。

[Microsoft Corporation, 5.1.2600.2726 (xpsp_sp2_gdr.050725-1528)]代表模块的公司名称和文件的版本信息。

(xpsp_sp2_gdr.050725-1528)代表XP系统的版本信息,这个很重要哦~!

  

  

2.正常、非正常进程的判断方法和依据:

1.要着重注意进程公司名称处为[N/A, ]的文件,但要注意的是,winrar里有个进程是例外的,如:

[C:\Program Files\WinRAR\rarext.dll]  [N/A, ]

这个文件是winrar的,是正常文件哦~

  

2. 注意进程文件的版本,模块文件的版本

这一步,我们可以优先着重注意看有没有进程是没有模块信息的,没有版本信息的文件进程。

     

3.一般标有系统版本(如XP)信息的文件,都是正常的,我们可以快速的扫过,不必花大工夫去研究。

如:

[C:\Windows\system32\SHSVCS.dll]  [Microsoft Corporation, 6.0.6000.16386 (vista_rtm.061101-2205)]

[C:\WINDOWS\system32\ole32.dll]  [Microsoft Corporation, 5.1.2600.2726 (xpsp_sp2_gdr.050725-1528)]


     

4.在查看进程(模块信息)的同时,我们也要结合前面的一些内容,比如启动项目的分析,服务、驱动程序的分析等,因为一般在注册表启动项目里面非正常的文件.都会在进程活模块中有所反映。所以,将他们放着一起,做一个对比,往往会事半功倍哦~

        

5.我们要注意,同一个DLL类型文件,同时做为模块,同时插入大部分进程,而且该DLL文件无公司名称,无数字签名,无版本信息等,那么就要特别小心了哦~

例如:

[PID: 1846][C:\WINDOWS\system32\services.exe]  [Microsoft Corporation, 5.1.2600.0 (xpclient.010817-1148)]

    [C:\WINDOWS\system32\lalalala.dll]  [N/A, ]

[PID: 846 / SYSTEM][C:\WINDOWS\system32\lsass.exe]  [Microsoft Corporation, 5.1.2600.1106 (xpsp1.020828-1920)]

    [C:\WINDOWS\system32\ lalalala.dll]  [N/A, ]

[PID: 748 / SYSTEM][C:\WINDOWS\system32\svchost.exe]  [Microsoft Corporation, 5.1.2600.0 (xpclient.010817-1148)]

    [C:\WINDOWS\system32\ lalalala.dll]  [N/A, ]



6.自我总结、归纳。刚刚开始学,慢慢的来,然后再一步步深入探究。脚踏实地者,方能成大事也。

  

  

Ⅴ,文件关联:

很多病毒,都会修改系统默认的文件关联。我们可以用SREng修复。

例如:

.TXT  Error. [C:\WINDOWS\notepad.exe %1]

.EXE  OK. ["%1" %*]

.COM  OK. ["%1" %*]

.PIF  OK. ["%1" %*]

.REG  OK. [regedit.exe "%1"]

.BAT  OK. ["%1" %*]

.SCR  OK. ["%1" /S]

.CHM  Error. ["hh.exe" %1]

.HLP  OK. [%SystemRoot%\System32\winhlp32.exe %1]

.INI  Error. [C:\WINDOWS\System32\NOTEPAD.EXE %1]

.INF  OK. [%SystemRoot%\system32\NOTEPAD.EXE %1]

.VBS  OK. [%SystemRoot%\System32\WScript.exe "%1" %*]

.JS   OK. [%SystemRoot%\System32\WScript.exe "%1" %*]

.LNK  OK. [{00021401-0000-0000-C000-000000000046}]


我们只需注意ERROR部分,如有出现,我们必须建议提供日志者第一时间去使用sreng去修复!


Ⅵ,Winsock 提供者

SREng日志中,默认只列出“第三方”的winsock提供者。

小编的电脑是正常的,so:

==================================

Winsock 提供者

N/A


===================================

  

还有一种可能就是杀毒软件[目的是因为这一项是负责网络协议的,杀软用自己的组件守住了这一项,更有利于监控网络数据流。](或一些其他正常软件)所添加的,比如nod32,大蜘蛛,和一些上网验证的客户端等。所以,对于【重置winsock】要谨慎使用,一般情况下,不必刻意的去理会他。

  

  

Ⅶ,Autorun.inf

正常情况下,Autorun.inf应为空,如:

==================================

Autorun.inf

N/A


==================================


如果出现了东西,那么就是病毒了,如:

==================================

Autorun.inf

[C:\]

[AuToRuN]

open=XXX.EXE

shell\open=打开(&O)

shelL\open\ComMand= XXX.EXE

[D:\]

[AuToRuN]

open= XXX.EXE

shell\open=打开(&O)

shelL\open\ComMand= XXX.EXE

===============================

这个表明该病毒在C、D分区下建立了Autorun.inf和XXX.EXE,我们可以这样做:

开始――运行――cmd――C:――attrib -a -s -h -r autorun.inf――del autorun.inf

开始――运行――cmd――D:――attrib -a -s -h -r autorun.inf――del autorun.inf

有几个分区感染了,那就重复几次,最后重启机器。

  

  

Ⅷ,HOSTS文件

一般情况下,应该为空或如下:

==================================

HOSTS 文件

127.0.0.1       localhost


=================================

  

还有种可能就一些软件会修改HOSTS文件,添加一些项目,大都是让电脑禁止访问被添加HOSTS项目的网站,如:

127.0.0.1       localhost

127.0.0.1       www.jshdf.com

127.0.0.1       bbs.jrg.com.cn

  

我们视情况而定,如果被屏蔽的是一些主流杀毒软件、安全网站的话,我们就要建议日志提供者要重置HOSTS文件了。


   

Ⅸ,进程特权扫描

在windows系统, 进程特权是程序执行相应操作所需要的。如对系统进程进行内存读取(有时仅仅是为了遍历进程,得到其映像文件名,要对目标进程的PEB进行读取)需要SeDebugPrivilege权限,用程序调用ExitWindowsEx关闭或重启计算机需要SeShutdownPrivilege等等,如果没有相应权限,相应操作就会被系统阻止。

一些软件,比如杀毒软件等,它们因为需要一直监控运行,所以具有更高的进程特权。

例如:

==================================

进程特权扫描

特殊特权被允许: SeLoadDriverPrivilege [PID = 2016, C:\PROGRAM FILES\SHADOW DEFENDER\DEFENDERDAEMON.EXE]

特殊特权被允许: SeSystemtimePrivilege [PID = 2016, C:\PROGRAM FILES\SHADOW DEFENDER\DEFENDERDAEMON.EXE]

特殊特权被允许: SeDebugPrivilege [PID = 2016, C:\PROGRAM FILES\SHADOW DEFENDER\DEFENDERDAEMON.EXE]

特殊特权被允许: SeLoadDriverPrivilege [PID = 2492, F:\PROGRAM FILES\SANDBOXIE\SBIESVC.EXE]

特殊特权被允许: SeLoadDriverPrivilege [PID = 1632, F:\PROGRAM FILES\TENCENT\QQ2010精睿版\BIN\HKDLLS\KQADTRAY.EXE]

特殊特权被允许: SeSystemtimePrivilege [PID = 1632, F:\PROGRAM FILES\TENCENT\QQ2010精睿版\BIN\HKDLLS\KQADTRAY.EXE]

特殊特权被允许: SeDebugPrivilege [PID = 1632, F:\PROGRAM FILES\TENCENT\QQ2010精睿版\BIN\HKDLLS\KQADTRAY.EXE]

特殊特权被允许: SeLoadDriverPrivilege [PID = 4020, F:\USERS\LIUJIEHUA\APPDATA\ROAMING\CHROMEPLUS\CHROME.EXE]

特殊特权被允许: SeSystemtimePrivilege [PID = 4020, F:\USERS\LIUJIEHUA\APPDATA\ROAMING\CHROMEPLUS\CHROME.EXE]


==================================

在这里,我们可以根据映像路径和映像文件名来判断此文件的是否正常。

   

   

Ⅹ,计划任务

计划任务可以定义关机时间及开机启动,自定义时间启动某些程序和更新等,所以有些病毒往往会利用这个功能实现开机自动启动。

这个,我们也可以根据映像路径和映像文件名来判断这个人物是否正常。

例如:

==================================

计划任务

[已禁用] \\SogouImeMgr

        f:\PROGRA~1\SOGOUI~1\500~1.381\SGTool.exe --appid=pinyinrepair /S

[已启用] \\{4731A4CA-7C6E-4AF6-AD5D-68EBE5309B9E}

        C:\Windows\system32\pcalua.exe -a H:\笔记本电脑\必要安装程序\ha_regvac50126.exe -d H:\笔记本电脑\必要安装程序

[已禁用] \Microsoft\Windows\Active Directory Rights Management Services Client\AD RMS Rights Policy Template Management (Automated)

        N/A 

[已启用] \Microsoft\Windows\Active Directory Rights Management Services Client\AD RMS Rights Policy Template Management (Manual)

        N/A

==================================

   

   

�。�Windows 安全更新检查

System Repair Engineer (SREng) 2.81 版本增加了Windows 安全更新扫描功能,它能检查你系统还未打完的补,但不能自主修复。

   

   

��,API HOOK

这个……一般杀毒软件会很乐意进行挂钩~因为杀毒软件为了从更深的层次得监控保护电脑,从而就会修改此处。

一般为N/A,如:

==================================

API HOOK

N/A

   

==================================

   

或者为杀毒软件所修改的,如:

==================================

API HOOK

入口点错误:ShellExecuteExW (危险等级: 一般,  被下面模块所HOOK: d:\Program Files\Kingsoft\WebShield\kswebshield.dll)

   

==================================

同样,我们可以根据映像路径和映像文件名来判断此钩子的是否正常。

   

    

�#�隐藏进程

一般情况下,是为N/A,如:

==================================

隐藏进程

N/A

    

==================================

或者是杀毒软件,一些安软,为了保护自身不被病毒干掉,所以创建了隐藏进程。

    

注意:如果在这里出现iexplore.exe,那么你就要小心了~!IE是不会自己创建隐藏进程的。这种情况,一般都是灰鸽子等。


你可能感兴趣的:(日志,职场,休闲,SRENG,全分析)