雷特反病毒教學(xué)第11課VIP

1、雷特反病毒教學(xué)第11課:sreng日志分析基礎(chǔ)第10課:雷特反病毒學(xué)員每次看帖后必須回復(fù)(無特殊情況連續(xù)三次不回復(fù)取消學(xué)員資格)回復(fù)格式如下(非學(xué)員可自由回復(fù)):ID:看帖日期:看帖前是否已掌握:看帖后是否已掌握:意見或建議:提問:其他:大家好,以前的是不是忘得差不多了,今天講下sreng日志的分析方法.如果對這一課的內(nèi)容有疑問的,請復(fù)習(xí)前面相關(guān)課程.與日志分析有關(guān)的我基本已經(jīng)全部講完了,接下來靠各位的努力了,也許一開始,分析一篇日志要花上你好幾個小時,請不要放棄,堅持半個月后,我相信,5分鐘就足夠了,經(jīng)驗來自于實踐.其實網(wǎng)上已經(jīng)有很多sreng日志分析教程了,只是可能因為你沒有基礎(chǔ)而看不懂,

2、不妨現(xiàn)在再去看看,只要你看完并掌握我的所有教程內(nèi)容,現(xiàn)在應(yīng)該可以看懂了.有了基礎(chǔ),分析日志并不難,但一定要有耐心.接下去的幾課教程是具體分析日志實踐,基本上不會再有理論性的東西,全部需要自己動手實踐,至少也得跟著教程做一遍.其中可能會穿插一些高級話題,等大部分學(xué)員會分析日志后,再講講處理病毒的一些技巧,特殊方法.接下來就是分析病毒了,了解它的運行機制,剖析其所用的技術(shù)手段.sreng可以在病毒救援板置頂帖中下載,或者直接點擊下面的地址:也可以到官方網(wǎng)站下載:一樣的,官網(wǎng)有時速度可能有些慢.打開后,如果右下角出現(xiàn)提示等,一般不用管,直接關(guān)閉即可,比如你開了EQ,它可能會提示你存在隱藏進程,開了卡

3、巴,它可能會提示你API hook等,這些都是正常的.有時可能還會有其他提示,一般直接關(guān)閉即可,不用去管,反正這些東西在掃出來的日志中都可以看到.至于新版本提示等,可以不管它.如果上一次sreng不是通過點擊關(guān)閉按鈕正常退出的,下次打開時會有提示,讓你選擇是否在后臺掃描日志.還記得第7課中的演示程序嗎?我們先拿它來試試,先運行下這個程序,然后掃日志(怎么掃日志?上面那個下載帖子中有),保存.打開日志文件,什么?雙擊沒反映!打不開!因為你中毒了,呵呵,別急,右擊,打開方式,選擇寫字板.下面一行行來分析: 復(fù)制內(nèi)容到剪貼板 代碼:CODE這只是一個DZ代碼(確切地說只有一半,另一半是最后的/COD

4、E),與日志無關(guān),關(guān)于代碼使用可參考這里:這個代碼的作用是使內(nèi)部的文字保持原樣,效果有點像"禁用URL識別","禁用表情","禁用Discuz!代碼"三者的綜合,經(jīng)常在論壇混的人應(yīng)該比較清楚大家有時會發(fā)現(xiàn),將日志全部粘貼到論壇帖子中發(fā)表后,無法顯示此標(biāo)記的內(nèi)容,這個應(yīng)該是DZ論壇的BUG,你可以修改帖子,將此標(biāo)記去掉后重新發(fā)表. 復(fù)制內(nèi)容到剪貼板 代碼:2008-08-29,15:39:47這是掃描日志時的時間,如果發(fā)現(xiàn)是好幾天前的,應(yīng)要求對方重新掃描日志. 復(fù)制內(nèi)容到剪貼板 代碼:System Repair Engineer 2.6

5、.12.1018Smallfrogs ()這是他所用的版本,2為主版本號,6為次版本號,018是作者2008/7/26發(fā)布的最新版本.后一行是作者及官方網(wǎng)站地址. 復(fù)制內(nèi)容到剪貼板 代碼:Windows XP Professional Service Pack 2 (Build 2600) - 管理權(quán)限用戶 - 完整功能這一行說明操作系統(tǒng),用戶組,權(quán)限.不同系統(tǒng)的文件及目錄結(jié)構(gòu)不太一樣,比如XP的安裝目錄為%systemdrive%windows,而2000的目錄為%systemdrive%winnt.在分析日志時這是需要注意的其中的%systemdrive%是指系統(tǒng)盤. 復(fù)制

6、內(nèi)容到剪貼板 代碼:以下內(nèi)容被選中：    所有的啟動項目（包括注冊表、啟動文件夾、服務(wù)等）    瀏覽器加載項    正在運行的進程（包括進程模塊信息）    文件關(guān)聯(lián)    Winsock 提供者    Autorun.inf    HOSTS 文件    進程特權(quán)掃描說明掃描了哪些項目,一般要求全部選擇(默認(rèn)),在讓對方掃描日志前一般還應(yīng)告訴他同時選中下面的"檢查進程模塊的數(shù)字簽名",否則會使日志很長,給分析帶

7、來麻煩.(掃描前最好把QQ等不必要的程序關(guān)閉)啟動項目注冊表 復(fù)制內(nèi)容到剪貼板 代碼:HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionRun    <swg><C:Program FilesGoogleGoogleToolbarNotifierGoogleToolbarNotifier.exe>  (Verified)Google Inc    <ctfmon.exe><C:WINDOWSsystem32ctfmon.exe>

8、  (Verified)Microsoft Windows PublisherHKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionRun    <AGRSMMSG>< AGRSMMSG.exe>  (Verified)Microsoft Windows Hardware Compatibility Publisher    <KernelFaultCheck>< %systemroot%system32dumpre

9、p 0 -k>   missing    <演示程序><C:WINDOWSsystem32anti3.exe>  雷特反病毒社區(qū)HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionRunOnce    <IE 3.0 RegSvr schannel.dll><C:WINDOWSsystem32regsvr32.exe /s C:WINDOWSsystem32schannel.dll> 

10、0; missingHKEY_LOCAL_MACHINESoftwareMicrosoftWindows NTCurrentVersionWinlogon    <shell><Explorer.exe>  (Verified)Microsoft Windows Component Publisher    <Userinit><C:WINDOWSsystem32userinit.exe,>  (Verified)Microsoft Windows Publisher

11、    <UIHost><logonui.exe>  (Verified)Microsoft Windows PublisherHKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionExplorerShellExecuteHooks    <AEB6717E-7E19-11d0-97EE-00C04FD91972><shell32.dll>  (Verified)Microsoft Windows Compon

12、ent PublisherHKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionShellServiceObjectDelayLoad    <PostBootReminder><%SystemRoot%system32SHELL32.dll>  (Verified)Microsoft Windows Component Publisher    <CDBurn><%SystemRoot%system32SHELL32.dll>&

13、#160; (Verified)Microsoft Windows Component Publisher    <WebCheck><%SystemRoot%system32webcheck.dll>  (Verified)Microsoft Windows Publisher    <SysTray><C:WINDOWSsystem32stobject.dll>  (Verified)Microsoft Windows PublisherHKEY_LOC

14、AL_MACHINESOFTWAREMicrosoftWindows NTCurrentVersionWinlogonNotifycrypt32chain    <WinlogonNotify: crypt32chain><crypt32.dll>  (Verified)Microsoft Windows PublisherHKEY_LOCAL_MACHINESOFTWAREMicrosoftWindows NTCurrentVersionWinlogonNotifycryptnet    <Winlog

15、onNotify: cryptnet><cryptnet.dll>  (Verified)Microsoft Windows PublisherHKEY_LOCAL_MACHINESOFTWAREMicrosoftWindows NTCurrentVersionWinlogonNotifycscdll    <WinlogonNotify: cscdll><cscdll.dll>  (Verified)Microsoft Windows PublisherHKEY_LOCAL_MACHINES

16、OFTWAREMicrosoftWindows NTCurrentVersionWinlogonNotifyklogon    <WinlogonNotify: klogon><C:WINDOWSsystem32klogon.dll>  (Verified)Kaspersky LabHKEY_LOCAL_MACHINESOFTWAREMicrosoftWindows NTCurrentVersionWinlogonNotifyScCertProp    <WinlogonNotify: ScCertPro

17、p><wlnotify.dll>  (Verified)Microsoft Windows PublisherHKEY_LOCAL_MACHINESOFTWAREMicrosoftWindows NTCurrentVersionWinlogonNotifySchedule    <WinlogonNotify: Schedule><wlnotify.dll>  (Verified)Microsoft Windows PublisherHKEY_LOCAL_MACHINESOFTWAREMicr

18、osoftWindows NTCurrentVersionWinlogonNotifysclgntfy    <WinlogonNotify: sclgntfy><sclgntfy.dll>  (Verified)Microsoft Windows PublisherHKEY_LOCAL_MACHINESOFTWAREMicrosoftWindows NTCurrentVersionWinlogonNotifySensLogn    <WinlogonNotify: SensLogn><WlN

19、otify.dll>  (Verified)Microsoft Windows PublisherHKEY_LOCAL_MACHINESOFTWAREMicrosoftWindows NTCurrentVersionWinlogonNotifytermsrv    <WinlogonNotify: termsrv><wlnotify.dll>  (Verified)Microsoft Windows PublisherHKEY_LOCAL_MACHINESOFTWAREMicrosoftWindows N

20、TCurrentVersionWinlogonNotifywlballoon    <WinlogonNotify: wlballoon><wlnotify.dll>  (Verified)Microsoft Windows PublisherHKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionExplorerSharedTaskScheduler    <438755C2-A8BA-11D1-B96B-00A0C90312E1><%

21、SystemRoot%system32browseui.dll>  (Verified)Microsoft Windows Component Publisher    <8C7461EF-2B13-11d2-BE35-3078302C2030><%SystemRoot%system32browseui.dll>  (Verified)Microsoft Windows Component PublisherHKEY_LOCAL_MACHINESOFTWAREMicrosoftActive SetupIn

22、stalled Components>22d6f312-b0f6-11d0-94ab-0080c74c7e95    <Microsoft Windows Media Player><C:WINDOWSinfunregmp2.exe /ShowWMP>  (Verified)Microsoft Windows Component PublisherHKEY_LOCAL_MACHINESOFTWAREMicrosoftActive SetupInstalled Components>26923b43-4d38-484f-

23、9b9e-de460746276c    <Internet Explorer><%systemroot%system32shmgrate.exe OCInstallUserConfigIE>   missingHKEY_LOCAL_MACHINESOFTWAREMicrosoftActive SetupInstalled Components>881dd1c5-3dcf-431b-b061-f3f88e8be88a    <Outlook Express><%systemroot%sy

24、stem32shmgrate.exe OCInstallUserConfigOE>   missingHKEY_LOCAL_MACHINESOFTWAREMicrosoftActive SetupInstalled Components2C7339CF-2B09-4501-B3F3-F3508C9228ED    <Themes Setup><%SystemRoot%system32regsvr32.exe /s /n /i:/UserInstall %SystemRoot%system32themeui.dll> 

25、;  missingHKEY_LOCAL_MACHINESOFTWAREMicrosoftActive SetupInstalled Components44BBA840-CC51-11CF-AAFA-00AA00B6015C    <Microsoft Outlook Express 6><"%ProgramFiles%Outlook Expresssetup50.exe" /APP:OE /CALLER:WINNT /user /install>   missingHKEY_LOCAL_MACHI

26、NESOFTWAREMicrosoftActive SetupInstalled Components44BBA842-CC51-11CF-AAFA-00AA00B6015B    <NetMeeting 3.01><rundll32.exe advpack.dll,LaunchINFSection C:WINDOWSINFmsnetmtg.inf,NetMtg.Install.PerUser.NT>  (Verified)Microsoft Windows PublisherHKEY_LOCAL_MACHINESOFTWAREM

27、icrosoftActive SetupInstalled Components6BF52A52-394A-11d3-B153-00C04F79FAA6    <Microsoft Windows Media Player><rundll32.exe advpack.dll,LaunchINFSection C:WINDOWSINFwmp10.inf,PerUserStub>  (Verified)Microsoft Windows Component PublisherHKEY_LOCAL_MACHINESOFTWAREMicr

28、osoftActive SetupInstalled Components7790769C-0471-11d2-AF11-00C04FA35D02    <通訊簿 6><"%ProgramFiles%Outlook Expresssetup50.exe" /APP:WAB /CALLER:WINNT /user /install>   missingHKEY_LOCAL_MACHINESOFTWAREMicrosoftActive SetupInstalled Components89820200-ECBD-1

29、1cf-8B85-00AA005B4340    <Windows 桌面更新><regsvr32.exe /s /n /i:U shell32.dll>  (Verified)Microsoft Windows PublisherHKEY_LOCAL_MACHINESOFTWAREMicrosoftActive SetupInstalled Components89820200-ECBD-11cf-8B85-00AA005B4383    <Internet Explorer 6><%Syst

30、emRoot%system32ie4uinit.exe>  (Verified)Microsoft Windows PublisherHKEY_LOCAL_MACHINESOFTWAREMicrosoftWindows NTCurrentVersionImage Options360Safe.exe    <IFEO360Safe.exe><C:WINDOWSsystem32anti3.exe>  雷特反病毒社區(qū)HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindows NTCu

31、rrentVersionImage Options360tray.exe    <IFEO360tray.exe><C:WINDOWSsystem32anti3.exe>  雷特反病毒社區(qū)HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindows NTCurrentVersionImage Optionsavp.exe    <IFEOavp.exe><C:WINDOWSsystem32anti3.exe>  雷特反病毒社區(qū)HKEY_LOCA

32、L_MACHINESOFTWAREMicrosoftWindows NTCurrentVersionImage OptionsCCenter.exe    <IFEOCCenter.exe><C:WINDOWSsystem32anti3.exe>  雷特反病毒社區(qū)HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindows NTCurrentVersionImage Optionscmd.exe    <IFEOcmd.exe><C:WINDOWSsystem32ant

33、i3.exe>  雷特反病毒社區(qū)HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindows NTCurrentVersionImage OptionsMSConfig.exe    <IFEOMSConfig.exe><C:WINDOWSsystem32anti3.exe>  雷特反病毒社區(qū)HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindows NTCurrentVersionImage Optionsnod32.exe    &

34、lt;IFEOnod32.exe><C:WINDOWSsystem32anti3.exe>  雷特反病毒社區(qū)HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindows NTCurrentVersionImage Optionsnotepad.exe    <IFEOnotepad.exe><C:WINDOWSsystem32anti3.exe>  雷特反病毒社區(qū)HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindows NTCurrentVe

35、rsionImage Optionsqq.exe    <IFEOqq.exe><C:WINDOWSsystem32anti3.exe>  雷特反病毒社區(qū)HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindows NTCurrentVersionImage Optionsregedit.exe    <IFEOregedit.exe><C:WINDOWSsystem32anti3.exe>  雷特反病毒社區(qū)HKEY_CURRENT_USERC

36、ontrol PanelDesktop    <SCRNSAVE.EXE><C:WINDOWSsystem32logon.scr>  Microsoft Corporation=這一段比較長,格式是這樣的: 引用:注冊表路徑    <項目><鍵值>  (Verified)公司/ missing/<N/A>    .(Verified)表明鍵值所指示的文件已通過數(shù)字簽名. missing表明文件不存在.<N/A>表示無公司版權(quán)

37、相關(guān)信息,這類文件一般是比較可疑的.注意這里的項目并不一定鍵名.好了,現(xiàn)在可以看下哪些是可需要刪除的.被家里人用了N久,發(fā)現(xiàn)我的系統(tǒng)很糟糕.第一個注冊表位置正常,不管它,第二處就有問題了:HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionRun    <AGRSMMSG>< AGRSMMSG.exe>  (Verified)Microsoft Windows Hardware Compatibility Publisher    <Kernel

38、FaultCheck>< %systemroot%system32dumprep 0 -k>   missing    <演示程序><C:WINDOWSsystem32anti3.exe>  雷特反病毒社區(qū)AGRSMMSG對我來說沒什么用,該文件的描述為SoftModem Messaging Applet,一般也不用管.KernelFaultCheck是MS的錯誤報告程序,前面的分號表示不啟用.下面這個要注意了,相信你也早看到了,這是需要刪除的,太明顯了,真正的病毒可不會這么做.往下看,有(V

39、erified)字樣的項目不用看,有數(shù)字簽名,一般很難偽造.所以可以跳過很多.中間還有一些文件不存在的項目,這些是可刪可不刪的.另外可能還有一些值為空的項目,或者僅僅只有一個分號,這些也是可刪可不刪的.跳過一大段后看到這里:HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindows NTCurrentVersionImage Options360Safe.exe    <IFEO360Safe.exe><C:WINDOWSsystem32anti3.exe>  雷特反病毒社區(qū)這里是映像劫持項,應(yīng)全部刪除.

40、最后那個logon.scr是屏保程序,也沒什么問題.啟動文件夾N/A=N/A表示該處沒有相關(guān)項.服務(wù) 復(fù)制內(nèi)容到剪貼板 代碼:卡巴斯基反病毒軟件 7.0 / AVPStopped/Disabled  <"X:Program FilesKaspersky LabKaspersky Anti-Virus 7.0avp.exe" -r><Kaspersky Lab>EQService / EQServiceStopped/Manual Start  <X:Program FilesEQSecureEQServi

41、ce.exe><EQSecure>Google Updater Service / gusvcStopped/Manual Start  <"C:Program FilesGoogleCommonGoogle UpdaterGoogleUpdaterService.exe"><Google>Human Interface Device Access / HidServStopped/Disabled  <C:WINDOWSSystem32svchost.exe -k netsvcs-&g

42、t;%SystemRoot%System32hidserv.dll><N/A>MSSQLSERVER / MSSQLSERVERStopped/Manual Start  <x:PROGRA1MICROS2MSSQLbinnsqlservr.exe><Microsoft Corporation>Remote Packet Capture Protocol v.0 (experimental) / rpcapdStopped/Manual Start  <"C:Program FilesWinPca

43、prpcapd.exe" -d -f "C:Program FilesWinPcaprpcapd.ini"><CACE Technologies>Sandboxie Service / SbieSvcStopped/Manual Start  <X:Program FilesSandboxieSbieSvc.exe><tzuk>SQLSERVERAGENT / SQLSERVERAGENTStopped/Manual Start  <x:PROGRA1MICROS2MSSQLb

44、innsqlagent.exe><Microsoft Corporation>=這里的格式是這樣的: 引用:顯示名稱 / 服務(wù)名稱服務(wù)狀態(tài)/啟動類型<映像文件路徑(->服務(wù)動態(tài)鏈接庫)><公司名>/<>/<N/A>這里不顯示已認(rèn)證的微軟項目.大部分沒有(->服務(wù)動態(tài)鏈接庫)這一部分.<>表示沒有公司信息,<N/A>表示可能文件已不存在.服務(wù)狀態(tài)有兩種,分別是running(已啟動)和Stopped(已停止).啟動類型有Auto Start(自動),Manual Start(手動),Disabl

45、ed(已禁用)我這里的幾項都沒有問題,如果大家對這幾個服務(wù)不熟悉可以百度一下.這里我只想講一下第四個,有些特別,文件為svchost.exe,大家可以回想一下這個程序的作用,它是用來加載另外一個文件的,通常是一個動態(tài)鏈接庫(擴展名為DLL),符號->后面的%SystemRoot%System32hidserv.dll就是該服務(wù)的動態(tài)鏈接庫.驅(qū)動程序復(fù)制內(nèi)容到剪貼板 代碼:.BeatTrojanHelperOne / BeatTrojanHelperOneStopped/Manual Start  <?X:Program Files綠傘殺毒軟件BeatTrojan

46、HelperOne.sys><N/A>DBKDRVR54 / DBKDRVR54Stopped/Manual Start  <?D:tempdelphiCheat Enginedbk32.sys><N/A>npkcrypt / npkcryptStopped/Manual Start  <?C:WINDOWSsystem32npkcrypt.sys><N/A>npkycryp / npkycrypStopped/Manual Start  <?C:WINDOWSs

47、ystem32npkycryp.sys><N/A>VirtualFD / VirtualFDStopped/Manual Start  <?D:bootvfd.sys><>.=這里的格式和服務(wù)是一樣的,也不顯示已認(rèn)證的微軟項目(通過windows徽標(biāo)測試,也即具有Microsoft提供的數(shù)字簽名,通過Windows的兼容性測試,且測試以后沒有進行過改動).與服務(wù)的不同處為,這里的啟動方式多了Boot Start(啟動)和System Start(系統(tǒng)),也沒有動態(tài)鏈接庫.大多數(shù)驅(qū)動在system32drivers目錄下.(注意Sys

48、tem32BIRD目錄為木鳥驅(qū)動包安裝后的路徑,是正常的)默認(rèn)情況下,設(shè)備管理器中不顯示這種軟件驅(qū)動,如果需要更改可點擊查看,顯示隱藏的設(shè)備,展開非即插即用驅(qū)動程序即可看到,如果要查看其路徑可以點擊某項的屬性,驅(qū)動程序,驅(qū)動程序詳細(xì)信息.我只復(fù)制了一小部分(無公司信息的),完整內(nèi)容見附件.這幾個是正常的:綠傘早已卸了,文件也不存在了,dbk32.sys是CE的驅(qū)動,經(jīng)常玩游戲的一定的知道.npkcrypt.sys和npkycryp.sys(這兩個文件均不存在)據(jù)說是QQ的鍵盤加密驅(qū)動,還有個KeyCrypt.sys也是.vfd.sys是虛擬軟驅(qū)驅(qū)動瀏覽器加載項  =這部分我

49、就不復(fù)制了,說明一下格式: 引用:名字  CLSID <映像文件路徑, (Signed) ,公司名>有(Signed)字樣的,說明該文件已標(biāo)識,分析時一般可以跳過,2.6之前的版本是沒有這一功能的.其實這部分內(nèi)容比較復(fù)雜,往往是從一個CLSID關(guān)聯(lián)到另一個CLSID,有些連名稱都沒有,有些沒有路徑,但病毒相關(guān)文件一定是有路徑信息的.正在運行的進程 復(fù)制內(nèi)容到剪貼板 代碼:.PID: 3496 / dreamC:Program FilesWinRARWinRAR.exe  N/A,     C:WINDOWSsystem32

50、uxtheme.dll  Microsoft Corporation, 6.00.2900.2180 (xpsp_sp2_rtm.040803-2158)    C:WINDOWSsystem32freeime.ime  極點五筆工作室, 6.10.950PID: 2324 / dreamC:DOCUME1dreamLOCALS1TempRar$EX12.843SREngLdr.EXE  Smallfrogs Studio, 018PID: 1976 / dreamC:DOCUME1dreamLOC

51、ALS1TempRar$EX12.843SRE89810e44.EXE  Smallfrogs Studio, 018    C:WINDOWSsystem32uxtheme.dll  Microsoft Corporation, 6.00.2900.2180 (xpsp_sp2_rtm.040803-2158)    C:WINDOWSsystem32freeime.ime  極點五筆工作室, 6.10.950    C:WINDOWSsystem32sfc

52、_os.dll  Microsoft Corporation, 5.1.2600.2180 (xpsp_sp2_rtm.040803-2158)    C:DOCUME1dreamLOCALS1TempRar$EX12.843Upload3rdUpd.DLL  Smallfrogs Studio, 2, 1, 0, 15PID: 3436 / dreamE:eduantivirusantianti3.exe  雷特反病毒社區(qū),     C:WINDOWSsystem32uxthem

53、e.dll  Microsoft Corporation, 6.00.2900.2180 (xpsp_sp2_rtm.040803-2158)    C:WINDOWSsystem32freeime.ime  極點五筆工作室, 6.10.950=對于常見進程,相信大家已經(jīng)比較熟悉了.這一部分的格式是這樣的: 引用:PID: 進程PID /用戶名映像路徑  公司名, 文件版本   模塊名  公司名, 文件版本   .公司名處為Microsoft Corpor

54、ation的一般可以不管,但假冒者偶爾也會出現(xiàn),這比數(shù)字簽名更容易假冒,也很容易修改,比如最后一個進程,如果我把公司,版本等改成Microsoft Corporation, 5.1.2600.2180 (xpsp_sp2_rtm.040803-2158)再把文件名改改.所以平時的經(jīng)驗很重要,進程名路徑等靠平時慢慢積累,日志看得多了就不會那么生疏了.還要充分利用搜索引擎等.這個地址也可以利用一下(不僅僅是exe,也可以是dll,sys等,但結(jié)果并不一定可靠).文件關(guān)聯(lián) 復(fù)制內(nèi)容到剪貼板 代碼:.TXT  Error. C:WINDOWSnotepad.exe %1.EXE&#

55、160; Error. exefile2.COM  OK. "%1" %*.PIF  OK. "%1" %*.REG  OK. regedit.exe "%1".BAT  OK. "%1" %*.SCR  OK. "%1" /S.CHM  Error. "hh.exe" %1.HLP  OK. %SystemRoot%Syste

56、m32winhlp32.exe %1.INI  Error. C:WINDOWSSystem32NOTEPAD.EXE %1.INF  OK. %SystemRoot%System32NOTEPAD.EXE %1.VBS  Error. EditPlus 3.vbs.JS   OK. %SystemRoot%System32WScript.exe "%1" %*.LNK  OK. 00021401-0000-0000-C0046=這部分相對簡單多了,只要看一下顯示為ERROR

57、的就可以了,它說錯誤,只是說明不是默認(rèn)的而已,并不一定是病毒更改的,再說不同系統(tǒng)此處也常不同.通常以下三個顯示為ERROR是正常的(需要注意的是路徑):.TXT  Error. C:WINDOWSnotepad.exe %1.CHM  Error. "hh.exe" %1.INI  Error. C:WINDOWSSystem32NOTEPAD.EXE %1這三個你可能會經(jīng)?？吹?還有一些可能是使用者自己更改的,不過EXE的關(guān)聯(lián)一般沒人會去改,我這里的好像是以前做前面某課教程時改的,這里sreng做得不是很好,沒有

58、進一步讀取exefile2項下的內(nèi)容,EditPlus 3.vbs也是,EditPlus是一個很好用的文本編輯器.Winsock 提供者N/A=這里不顯示已認(rèn)證的微軟項目Autorun.infN/A=如果有的話,會顯示Autorun.inf的路徑及該文件的內(nèi)容.HOSTS 文件 復(fù)制內(nèi)容到剪貼板 代碼:       localhost     =這里顯示了HOSTS文件中的非注釋部分,這里主要看是否有安全地址被屏蔽或轉(zhuǎn)向到惡意網(wǎng)址.進程特權(quán)掃描 復(fù)制內(nèi)容到剪貼板 代碼:特殊特權(quán)被允許： SeLoad

59、DriverPrivilege PID = 3496, C:PROGRAM FILESWINRARWINRAR.EXE特殊特權(quán)被允許： SeLoadDriverPrivilege PID = 2324, C:DOCUME1DREAMLOCALS1TEMPRAR$EX12.843SRENGLDR.EXE特殊特權(quán)被允許： SeLoadDriverPrivilege PID = 3436, E:EDUANTIVIRUSANTIANTI3.EXE=特權(quán)應(yīng)該共七種,上面的SeLoadDriverPrivilege是加載或卸載驅(qū)動程序,一般都是這個,不知道作者是如何判斷的,感覺總是很不可靠,我一般是忽略.

60、特權(quán)說明如下:SeTcbPrivilege特權(quán):表明一個用戶通過充當(dāng)操作系統(tǒng)的一部分來試圖提升安全權(quán)限,如一個進程試圖將某賬戶添加到管理員組就會使用此特權(quán)SeSystemTimePrivilege特權(quán):更改系統(tǒng)時間SeRemoteShutDownPrivilege:從遠(yuǎn)程系統(tǒng)強制關(guān)閉SeloadDriverPrivilege:加載或卸載驅(qū)動程序SeSecurityPrivilege：管理審計和安全日志.在清除事件日志或向安全日志寫入有關(guān)特權(quán)使用的事件時發(fā)生SeShutDownPrivilege:關(guān)閉系統(tǒng)SeTakeOwnershipPrivilege:取得文件或其他對象的所有權(quán).表明有進程正在通過取得一個對象的所有權(quán)來嘗試?yán)@過當(dāng)前的安全設(shè)置以上的說法可能不是很明確,我手頭也沒什么資料可以參考,大家大致了解下吧.API HOOKN/A=