学看 SREng 日志分析 报告

学看SREng日志分析报告.上2008年09月05日星期五13:29学看SRE报告————第一讲很早就想写，关于如何看SRE报告的文章。只是这东西，我觉得不是用文字，就能完全表达清楚的。做为教程的第一帖，我先讲一下SRE报告的“结构”。掌握了结构，大家就不会对满屏的英文，感到头疼了。一。SRE报告整体结构说明一份完整的SRE报告，分为如下13部分：1.注册表启动项目2.启动文件夹3.系统服务项目4.系统驱动文件5.浏览器加载项6.正在运行的进程（包括进程模块信息）7.文件关联8.Winsock提供者9.Autorun.inf10.HOSTS文件11.进程特权扫描12.APIHOOK13.隐藏进程其中，判断一台电脑，是否存在异常，主要是查看：1.注册表启动项目3.系统服务项目4.系统驱动文件6.正在运行的进程8.Winsock提供者9.Autorun.inf10.进程特权扫描在这次的教程中，我先讲解第一项：注册表启动项目，的结构看法。二。SRE报告——注册表启动项目，结构讲解在任何一份SRE报告中，注册表启动项目，都有相同的结构，我下面随便举个例子：[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run]SynchronizationManagermobsync.exe/logon[(Verified)MicrosoftWindows2000Publisher]第一行：[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run]，代表的是：这个启动项目，在注册表中的详细位置。第二行：SynchronizationManagermobsync.exe/logon[(Verified)MicrosoftWindows2000Publisher]，由三部分组成：1.SynchronizationManager，这个项目，是指该启动项，在注册表中的名称。不同的启动项目，自然名称也不会相同。2.mobsync.exe/logon，这个项目，分两种情况：⑴对于（经过验证的）系统关键文件，SRE则直接列出该项目的文件名称，而不给出相应的详细路径。这种文件，一般在后面都会标有“(Verified)”，我后面解释。⑵对于普通文件，则会在这个项目中，给出详细的文件路径和名称，比如：c:\windows\system32\abc.exe在我们这次的例子中，是满足：⑴的。引用:说明：这个说法有误。其实在此处，显示的就是该注册表键完整的键值，无论其是否是正常的文件或经过验证的文件。对于键值为相对路径的情况（如Explorer.exe），系统自动遍历环境变量PATH中的文件夹列表，来查找文件。3.[(Verified)MicrosoftWindows2000Publisher]，这项代表：该文件，是否含有“公司签名认证”SRE这个软件，自身具备了对“系统关键文件”和一些“众所周知的软件的文件”（如：explorer.exe,winlogon.exe,userinit.exe等）的“验证检测”，凡是通过了检测的系统关键文件，SRE在公司名这里，都会标有：Verified，这个英文。换个角度来说：在SRE报告中，凡是出现“Verified”这个英文的启动项目，都100％是正常的启动项目。引用:100%这个说法太绝对了。其实看被机器狗修改的文件就知道，有这个字样，但是没有公司名称，也是有问题的。严格意义上来说，这叫“数字签名验证”，使用的是一定的对称散列算法。总结一下，在SRE报告的：注册表启动项目中，虽然条目有很多，但是，全部都遵守这个结构：【启动项目的详细注册表位置】【启动项目的名称】【启动项目对应的文件的详细路径】【公司签名】我们再来看个例子，大家对照着，看一下：[HKEY_LOCAL_MACHINE\Software\Microsoft\WindowsNT\CurrentVersion\Winlogon]shellExplorer.exe[(Verified)MicrosoftWindows2000Publisher]看完这两行，大家应该得到如下结论：●此启动项目名称：Shell●此启动项目对应文件：Explorer.exe●此启动项目在注册表中对应的位置：HKEY_LOCAL_MACHINE\Software\Microsoft\WindowsNT\CurrentVersion\Winlogon●公司签名：MicrosoftWindows2000Publisher●是否经过SRE“验证”：是（因为有Verified）引用:MicrosoftWindows2000Publisher在这里不止是公司的名称。系统文件的版本信息中可见的公司名称，其实是MicrosoftCorporation然而对于系统文件，SREng可以显示更具体的细节，因此这里显示的是这样一个结果。可以发现，SREng2.5和2.6在这个地方显示的结果不同。三。启动项目的“特例”1.咱们上面讲的，是标准的启动项目信息，有些文件的启动项目，稍微“拐了一个弯”，我们来看个例子，我再讲解：[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run]NvMediaCenterRUNDLL32.EXEC:\WINNT\system32\NvMcTray.dll,NvTaskbarInit[NVIDIACorporation]这个启动项目，算是比较复杂的了，但还算是够常见，第一行，不解释了。。。。。。。主要解释第二行的中间：RUNDLL32.EXEC:\WINNT\system32\NvMcTray.dll,NvTaskbarInit和我们上面讲解的结构不同。这个启动项目，具有一层隐含意思。在windows中，DLL类型的文件（动态数据库链接文件），是不能自己独立运行的。它必须找“载体”来运行。在windows系统中，运行DLL类型的文件的载体，就是：Rundll32.exe。所以，我们分析一下上面那行文件信息：RUNDLL32.EXEC:\WINNT\system32\NvMcTray.dll,NvTaskbarInit意思就是：C:\WINNT\system32\NvMcTray.dll，这个真正的启动文件，正在依靠RUNDLL32.EXE，这个程序，进行启动。对于这种启动项目，在文件详细信息这里，其结构就发生了变化，变为：载体主运行文件的详细位置。这个大家能理解就行了。在windows系统中，载体，不止包括：rundll32.exe，常见的，还包括：svchost.exe，大家照猫画虎，应该可以想到的。引用:在这里更加正确和根本的解释是：键值所显示的，是系统按此项启动时，执行的命令行。因此这里说的实际上是命令行的构成。这里其实是启动Rundll32.exe，把dll名和其他相应参数作为命令行（CommandLine）参数传递。2.在windows系统中，有一项及其特殊的启动项目，其名称为：AppInit_dlls对于这个键值，正常的情况是：该项目的值，为空。也就是说，正常的电脑，这个启动项目，应该是这样的：[HKEY_LOCAL_MACHINE\Software\Microsoft\WindowsNT\CurrentVersion\Windows]AppInit_DLLs[N/A]如果在一份报告中，此项的“文件信息”，这个位置，出现东西，则分两种情况考虑：★被美化软件，修改目前许多朋友，都喜欢通过美化软件，来美化系统。据我所知，有些高级美化软件，为了达到彻底美化系统的效果，会修改此键值，典型的软件：WindowsBlinds这款软件安装后，此项目的值被修改为：wbsys.sys。大家知道就行了。注意：此项注册表启动信息，绝对不能删除，只能在SRE中，双击－进入编辑模式，然后把里面的文件名称去掉，留为空值，就可以了。★被病毒修改。遇到上面的美化情况，可以问一下电脑的使用者，是否美化了系统，使用了什么美化软件。如果没有用，而且，此键值出现了文件信息，则中毒的几率非常大。比如下面的例子：[HKEY_LOCAL_MACHINE\Software\Microsoft\WindowsNT\CurrentVersion\Windows]AppInit_DLLskamabas.dll[N/A]如果这个启动项目，出现在报告中，必须要引起100000000000％的高度重视，必须看清是空值（即正常值），还是有其他信息。判断方法：看这个文件（如我的例子中的：kamabas.dll），是不是在报告的“正在运行的系统进程”，中，插入了大部分进程。如果是：则100％为病毒。（后面我会再次讲到的）引用:这里的说法比较笼统。实际上，这一个键值显然不是为了病毒而存在的^-^这个键值的作用，是每一个进程启动加载user32.dll的时候，会自动加载这个键值中保存的所有dll美化软件就是使用这样的功能，对所有使用图形界面的程序的窗口进行改造。只是为了能被所有加载user32.dll的进程加载，就可以使用这些项目，包括某些杀毒软件。SREng对于此项非空的提示，并不表示一定是病毒造成的问题，应谨慎判断。四。启动项目“通用正常启动信息”对于windowsXP系统，在任何一台电脑上，都有如下启动信息，这些信息都是正常信息，看到后无须判断，直接精简掉：1.[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\ActiveSetup\InstalledComponents\{26923b43-4d38-484f-9b9e-de460746276c}]InternetExplorer%systemroot%\system32\shmgrate.exeOCInstallUserConfigIE[N/A]2.[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\ActiveSetup\InstalledComponents\{881dd1c5-3dcf-431b-b061-f3f88e8be88a}]OutlookExpress%systemroot%\system32\shmgrate.exeOCInstallUserConfigOE[N/A]3.[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\ActiveSetup\InstalledComponents\{2C7339CF-2B09-4501-B3F3-F3508C9228ED}]ThemesSetup%SystemRoot%\system32\regsvr32.exe/s/n/i:/UserInstall%SystemRoot%\system32\themeui.dll[N/A]4.[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\ActiveSetup\InstalledComponents\{44BBA840-CC51-11CF-AAFA-00AA00B6015C}]MicrosoftOutlookExpress6%ProgramFiles%\OutlookExpress\setup50.exe/APP:OE/CALLER:WINNT/user/install[N/A]5.[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\ActiveSetup\InstalledComponents\{44BBA842-CC51-11CF-AAFA-00AA00B6015B}]NetMeeting3.01rundll32.exeadvpack.dll,LaunchINFSectionC:\WINDOWS\INF\msnetmtg.in