广告广告
  加入我的最爱 设为首页 风格修改
首页 首尾
 手机版   订阅   地图  繁体 
您是第 2609 个阅读者
 
发表文章 发表投票 回覆文章
  可列印版   加为IE收藏   收藏主题   上一主题 | 下一主题   
upside 手机 葫芦墩家族
个人头像
个人文章 个人相簿 个人日记 个人地图
特殊贡献奖 社区建设奖 优秀管理员勋章
头衔:反病毒 反诈骗 反虐犬   反病毒 反诈骗 反虐犬  
版主
分享: 转寄此文章 Facebook Plurk Twitter 复制连结到剪贴簿 转换为繁体 转换为简体 载入图片
推文 x0
[资讯教学] 解读 SREng 扫描报告
解读 SREng 扫描报告

==================================
第一部分:
启动项目:
这部分是系统登录档里系统正常启动时的加载项。
xp 系统 点开始-执行-输入 msconfig 就可以看到下面的大部分内容。
传统的病毒木马会加载到这里。我们设置为自动启动的一些软体的启动项也加载到这里。
比如防火墙,防毒软体,等等。这些软体在安全模式不会被启动。

登录档
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run]

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run]

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon]

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Windows]

……

==================================
第二部分:
启动资料夹:
就是开始目录里的启动下面的 东东,一般病毒和木马很少加载到这里,这里一般是空的。
这些资料在安全模式不会被启动。
N/A

==================================
第三部分:
服务:
就是我们在“管理-服务和应用程序”里面能看到的加载的服务。
这些资料在安全模式不会被启动。
现在病毒木马流氓的首选隐藏之处。去年还不流行。
一般的使用者不会到这里查看有什么不对头的地方。即使看到了也不敢怀疑,他们的描述有很大迷惑性,比如“为系统启动提供加速功能”就是最流行的流氓服务,以7255为典型代表。
弹出网页的一般就是这个。
病毒服务的特征:
1·被 rundll32.exe、Svchost.exe 等系统进程使用;
2·【】内的前后两项内容相同;
3·所属公司为<N/A>或假冒<Microsoft Corporation>
4·启动文件指向系统目录
凡是有以上特征之一的 ,我们都要怀疑。
例:
[RestoreService / RestoreService]
<C:\WINDOWS\system32\Svchost.exe -k RestoreService-->C:\WINDOWS\system32\drivers\service.dll><N/A>
[Standard Update Net Service / stdupnet]
<C:\WINDOWS\system32\rundll32.exe C:\WINDOWS\system32\stdupnet.dll,Service -s><Microsoft Corporation>
[VisionService / VisionService]
<C:\WINDOWS\system32\rundll32.exe C:\PROGRA~1\vision\VISVER.DLL,Service><Microsoft Corporation>

==================================
第四部分:
驱动程序:
目前最流行的流氓行为!allxun/piaoxue 等为代表的流氓就加载到这里。
在安全模式也会被启动加载,并自我保护不被删除。
病毒驱动的特征:
1·名字随机所以怪异,尤其是包含数字的要注意
2·一般在\SystemRoot\system32\drivers\目录下
3·【】内的前后两项内容相同;
4·所属公司为<>·<N/A>或假冒<Microsoft Corporation>,其他的一般不是(也有例外)
例:
[000057b3 / 000057b3]
<\SystemRoot\system32\drivers\000057b3.SYS><N/A>

[cdnprot / cdnprot]
<\SystemRoot\system32\drivers\cdnprot.sys><N/A>

[cdntran / cdntran]
<system32\drivers\cdntran.sys><CNNIC>

[npkycryp / npkycryp]
<\??\C:\Program Files\Tencent\qq\npkycryp.sys><N/A>

[vydozqfz / vydozqfz]
<\SystemRoot\system32\drivers\vydozqfz.sys><>

==================================
第五部分:
浏览器加载项:
这里是加载的插件,有背景的大流氓软件热爱。
但打开IE浏览器后可以直接观看到,小流氓和木马病毒不敢也不愿这么明显。
例:
[Cbho Object]
{352E3B3A-CAB5-4DBC-B940-C7F84D0447D8} <C:\PROGRA~1\CNNIC\Cdn\cdndrag.dll, CNNIC>
[用QQ彩信发送该图片]
<C:\Program Files\Tencent\qq\SendMMS.htm, N/A>
[访问通用网址]
<C:\Program Files\CNNIC\Cdn\cnnic.htm, N/A>

==================================
第六部分:
正在运行的进程:
这里是很关键的部分,也是内容最多最乱的部分。凡是系统中正在运行的进程和使用的dll文件在这里一览无遗。3448的新变种只能在这里才可以看到明显的加载。我们扫描前要尽量关闭其他的一些正在运行的软体,免得这部分内容太长,看着麻烦。
我们要特别注意以下进程调用的dll文件:
C:\WINDOWS\Explorer.EXE

如果一个dll文件注入这个进程,同时又注入其他进程,就要特别照顾他一下了 。
一般的流氓是一定要注入这个进程的。


[ 此文章被upside在2006-12-21 17:37重新编辑 ]



爸爸 你一路好走
献花 x0 回到顶端 [楼 主] From:台湾和信超媒体宽带网 | Posted:2006-12-21 12:59 |

首页  发表文章 发表投票 回覆文章
Powered by PHPWind v1.3.6
Copyright © 2003-04 PHPWind
Processed in 0.013411 second(s),query:15 Gzip disabled
本站由 瀛睿律师事务所 担任常年法律顾问 | 免责声明 | 本网站已依台湾网站内容分级规定处理 | 连络我们 | 访客留言