廣告廣告
  加入我的最愛 設為首頁 風格修改
首頁 首尾
 手機版   訂閱   地圖  簡體 
您是第 2617 個閱讀者
 
發表文章 發表投票 回覆文章
  可列印版   加為IE收藏   收藏主題   上一主題 | 下一主題   
upside 手機 葫蘆墩家族
個人頭像
個人文章 個人相簿 個人日記 個人地圖
特殊貢獻獎 社區建設獎 優秀管理員勳章
頭銜:反病毒 反詐騙 反虐犬   反病毒 反詐騙 反虐犬  
版主
分享: 轉寄此文章 Facebook Plurk Twitter 複製連結到剪貼簿 轉換為繁體 轉換為簡體 載入圖片
推文 x0
[資訊教學] 解讀 SREng 掃描報告
解讀 SREng 掃描報告

==================================
第一部分:
啓動項目:
這部分是系統登錄檔裡系統正常啓動時的加載項。
xp 系統 點開始-執行-輸入 msconfig 就可以看到下面的大部分內容。
傳統的病毒木馬會加載到這裡。我們設置爲自動啓動的一些軟體的啓動項也加載到這裡。
比如防火牆,防毒軟體,等等。這些軟體在安全模式不會被啓動。

登錄檔
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run]

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run]

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon]

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Windows]

……

==================================
第二部分:
啓動資料夾:
就是開始目錄裡的啓動下面的 東東,一般病毒和木馬很少加載到這裡,這裡一般是空的。
這些資料在安全模式不會被啓動。
N/A

==================================
第三部分:
服務:
就是我們在“管理-服務和應用程序”裏面能看到的加載的服務。
這些資料在安全模式不會被啓動。
現在病毒木馬流氓的首選隱藏之處。去年還不流行。
一般的使用者不會到這裏查看有什麽不對頭的地方。即使看到了也不敢懷疑,他們的描述有很大迷惑性,比如“爲系統啓動提供加速功能”就是最流行的流氓服務,以7255爲典型代表。
彈出網頁的一般就是這個。
病毒服務的特徵:
1·被 rundll32.exe、Svchost.exe 等系統進程使用;
2·【】內的前後兩項內容相同;
3·所屬公司爲<N/A>或假冒<Microsoft Corporation>
4·啓動文件指向系統目錄
凡是有以上特徵之一的 ,我們都要懷疑。
例:
[RestoreService / RestoreService]
<C:\WINDOWS\system32\Svchost.exe -k RestoreService-->C:\WINDOWS\system32\drivers\service.dll><N/A>
[Standard Update Net Service / stdupnet]
<C:\WINDOWS\system32\rundll32.exe C:\WINDOWS\system32\stdupnet.dll,Service -s><Microsoft Corporation>
[VisionService / VisionService]
<C:\WINDOWS\system32\rundll32.exe C:\PROGRA~1\vision\VISVER.DLL,Service><Microsoft Corporation>

==================================
第四部分:
驅動程序:
目前最流行的流氓行爲!allxun/piaoxue 等爲代表的流氓就加載到這裡。
在安全模式也會被啓動加載,並自我保護不被刪除。
病毒驅動的特徵:
1·名字隨機所以怪異,尤其是包含數字的要注意
2·一般在\SystemRoot\system32\drivers\目錄下
3·【】內的前後兩項內容相同;
4·所屬公司爲<>·<N/A>或假冒<Microsoft Corporation>,其他的一般不是(也有例外)
例:
[000057b3 / 000057b3]
<\SystemRoot\system32\drivers\000057b3.SYS><N/A>

[cdnprot / cdnprot]
<\SystemRoot\system32\drivers\cdnprot.sys><N/A>

[cdntran / cdntran]
<system32\drivers\cdntran.sys><CNNIC>

[npkycryp / npkycryp]
<\??\C:\Program Files\Tencent\qq\npkycryp.sys><N/A>

[vydozqfz / vydozqfz]
<\SystemRoot\system32\drivers\vydozqfz.sys><>

==================================
第五部分:
瀏覽器加載項:
這裏是加載的插件,有背景的大流氓軟件熱愛。
但打開IE瀏覽器後可以直接觀看到,小流氓和木馬病毒不敢也不願這麽明顯。
例:
[Cbho Object]
{352E3B3A-CAB5-4DBC-B940-C7F84D0447D8} <C:\PROGRA~1\CNNIC\Cdn\cdndrag.dll, CNNIC>
[用QQ彩信發送該圖片]
<C:\Program Files\Tencent\qq\SendMMS.htm, N/A>
[訪問通用網址]
<C:\Program Files\CNNIC\Cdn\cnnic.htm, N/A>

==================================
第六部分:
正在運行的進程:
這裏是很關鍵的部分,也是內容最多最亂的部分。凡是系統中正在運行的進程和使用的dll文件在這裏一覽無遺。3448的新變種只能在這裡才可以看到明顯的加載。我們掃描前要盡量關閉其他的一些正在運行的軟體,免得這部分內容太長,看著麻煩。
我們要特別注意以下進程調用的dll文件:
C:\WINDOWS\Explorer.EXE

如果一個dll文件注入這個進程,同時又注入其他進程,就要特別照顧他一下了 。
一般的流氓是一定要注入這個進程的。


[ 此文章被upside在2006-12-21 17:37重新編輯 ]



爸爸 你一路好走
獻花 x0 回到頂端 [樓 主] From:臺灣和信超媒體寬帶網 | Posted:2006-12-21 12:59 |

首頁  發表文章 發表投票 回覆文章
Powered by PHPWind v1.3.6
Copyright © 2003-04 PHPWind
Processed in 0.290675 second(s),query:15 Gzip disabled
本站由 瀛睿律師事務所 擔任常年法律顧問 | 免責聲明 | 本網站已依台灣網站內容分級規定處理 | 連絡我們 | 訪客留言