SREng日志分析方法

SREng日志分析方法内容简介：说明：本贴参考了自水木社区病毒版版主sihecun的精华区总结，为谢。http://www.newsmth.net 水木社区http://hi.baidu.com/teyqiu teyqiu【天下无毒】部分修改。前言：免责声明：以下总结系私人经验之总结，由此造成的任何后果不负

说明：本贴参考了自水木社区病毒版版主sihecun的精华区总结，为谢。
http://www.newsmth.net 水木社区
http://hi.baidu.com/teyqiu teyqiu【天下无毒】

部分修改。

前言：免责声明：以下总结系私人经验之总结，由此造成的任何后果不负责任。

系统分析是一项纷繁复杂的工作，需要大胆和心细（例如注意数字 1 和字母l的微小的区别，字母o p q的o与数字0 1 2的0的区别等等），刚开始学习的朋友会感到有很多困难，要多借助搜索引擎（推荐google.com ！！！baidu.com就算了。不要跟我争这个)

要随时关注目前流行病毒的行情（例如看到rundll32.exe 基本上就可以判定是威金等）刚开始的时候可能会有困难，应静下心来好好研究，等你练到一目N行的时候，基本上就略有小成了。经验的积累也十分的重要！

跟大家一起探讨。 （崔衍渠）

【主要链接】
SREng用法简要说明：/page/e2007/0513/25587.html

一、SREng         启动项目 注册表 分析方法

对应的注册表位置在log中可以看到
熟悉常见项，主要包括输入法、音频视频应用程序、杀毒软件、安装的应用软件等
每个进程后有公司名属性，可以辅助辨别  
对于不确认的进程 google

[HKEY_CURRENT_USER/Software/Microsoft/Windows/CurrentVersion/Run]
[HKEY_LOCAL_MACHINE/Software/Microsoft/Windows/CurrentVersion/Run]
[HKEY_CURRENT_USER/Software/Microsoft/Windows/CurrentVersion/RunOnce]
[HKEY_LOCAL_MACHINE/Software/Microsoft/Windows/CurrentVersion/RunOnce]
[HKEY_CURRENT_USER/Software/Microsoft/Windows/CurrentVersion/RunServices]
[HKEY_LOCAL_MACHINE/Software/Microsoft/Windows/CurrentVersion/RunServices]
[HKEY_CURRENT_USER/Software/Microsoft/Windows/CurrentVersion/RunServicesOnce]
[HKEY_LOCAL_MACHINE/Software/Microsoft/Windows/CurrentVersion/RunServicesOnce]
[HKEY_LOCAL_MACHINE/Software/Microsoft/Windows/CurrentVersion/RunOnceEx]
以上需要具体分析
[HKEY_CURRENT_USER/Software/Microsoft/Windows NT/CurrentVersion/Windows]
           <load><>         []
           <run><>         []
以上2个位置 如果加载了进程,通常是问题项
[HKEY_CURRENT_USER/Software/Microsoft/Windows/CurrentVersion/Policies/Explorer/Run]
[HKEY_LOCAL_MACHINE/Software/Microsoft/Windows/CurrentVersion/Policies/Explorer
/Run]
以上2个位置 如果加载了进程,通常是问题项
[HKEY_LOCAL_MACHINE/Software/Microsoft/Windows NT/CurrentVersion/Winlogon]
           <shell><Explorer.exe>         [Microsoft Corporation]
           <Userinit><C:/WINDOWS/system32/userinit.exe,>         [Microsoft Corporation] 逗号不可省略。
如果是NT系统（如win2000），相应路径为 C:/WINNT 不再累述。

[HKEY_LOCAL_MACHINE/Software/Microsoft/Windows NT/CurrentVersion/Windows]
           <AppInit_DLLs><>         []
[HKEY_LOCAL_MACHINE/Software/Microsoft/Windows NT/CurrentVersion/Winlogon]
           <UIHost><logonui.exe>         [Microsoft Corporation]
以上4个位置如果和默认的有区别,通常是可疑项
[HKEY_LOCAL_MACHINE/SOFTWARE/Microsoft/Windows/CurrentVersion/ShellServiceObjectDelayLoad]
[HKEY_LOCAL_MACHINE/SOFTWARE/Microsoft/Windows/CurrentVersion/Explorer/ShellExec
uteHooks]
[HKEY_LOCAL_MACHINE/SOFTWARE/Microsoft/Windows/CurrentVersion/Explorer/SharedTas
kScheduler]
以上3个位置如果有加载项(除了第二个位置加载瑞星防病毒软件),通常是问题项

二、 SREng --- 启动文件夹

对应以下2个位置
Startup: c:/documents and settings/USERNAME/「开始」菜单/程序/启动

（Username为具体的用户名，例如 teyqiu, 王小丫 之类的）

Global Startup: c:/documents and settings/All Users/「开始」菜单/程序/启动


常见问题项：
[IE-Bar]
         <C:/Documents and Settings/All Users/Start Menu/Programs/Startup/IE-Bar.lnk>
<N>

三、SREng服务的分析方法

对应注册表位置如下：
HKEY_LOCAL_MACHINE/SYSTEM/CurrentControlSet/Services

服务后有公司属性，辅助分析，有假冒公司属性的服务需要注意
服务对应的文件位于windows下的要注意
不确认的google

不过有些没公司属性的也没问题 常见的有 要强记！别误删。

[Secdrv / Secdrv]
         <system32/DRIVERS/secdrv.sys><N/A>

[TSP / TSP]
         </??/C:/WINDOWS/system32/drivers/klif.sys><N/A> 卡巴斯基 有时候会显示N/A

常见的问题项：
灰鸽子
[Performance Moniter / BARCASE]
         <C:/WINDOWS/SYSTEM32/RUNDLL32.EXE C:/WINDOWS/SYSTEM32/WBEM/IRJIT.DLL,Export 1087><N/A>
[IPSEC Client / WalALET][Running/Auto Start]
<C:/WINDOWS/SYSTEM32/RUNDLL2000.EXE C:/WINDOWS/SYSTEM32/WBEM/TCGSH.DLL,Export 1087><Microsoft Corporation>
留意本案中的C:/WINDOWS/SYSTEM32/RUNDLL2000.EXE也不是好东西。

[ODBC Administration Service / odbcasvc][Running/Auto Start]
<C:/WINDOWS/SYSTEM32/odbcasvc.EXE><Microsoft Corporation>
强烈鄙夷丫的一U盘病毒还修改IFEO。冒充微软。

[JMediaService / JMediaService]
         <C:/WINNT/system32/rundll32.exe C:/PROGRA~1/MMSASS~1/MMSSVER.DLL,Service><N/A>
[StdService / StdService]
         <C:/WINNT/system32/rundll32.exe C:/WINNT/System32/STDSVER.DLL,Service><N/A>
[VIPTray / VIPTray]
         <C:/WINDOWS/System32/VIPTray.exe><N/A>
[WinWrCup / WinWrCup]
         <C:/WINNT/wincup/wincup.exe -R><MsWinCup>
[WinKld / WinKld]
         <C:/WINDOWS/System32/RunDLL32.exe "C:/PROGRA~1/winkld/winkld.dll",Run -r><N/A>
[wint / wint]
         <C:/WINDOWS/System32/RunDLL32.exe "C:/PROGRA~1/wint/wint.dll",Run -r><N/A>
[WinkldUP / WinkldUP]
         <C:/DOCUME~1/wq/LOCALS~1/Temp/wz/wz.exe -R><N/A>
[XDownloadService / XDownloadService]
         <C:/WINDOWS/system32/Rundll32.exe "C:/WINDOWS/Downloader.dll",Run><N/A>

[Server Advance / ServerAC]
         <C:/WINDOWS/System32/Security.exe><N/A>
[Windows DHCP Service / WinDHCPsvc]
         <C:/WINDOWS/System32/rundll32.exe windhcp.ocx,start><Microsoft Corporation>
此处省略路径的为 C:/WINDOWS/System32/windhcp.ocx

[WinXP DHCP Service / WinXPDHCPsvc]
         <C:/WINDOWS/System32/rundll32.exe xpdhcp.dll,start><Microsoft Corporation>
此处省略路径的为 C:/WINDOWS/System32/windhcp.dll


---驱动的分析与服务类似 注意最近的飘雪等双驱动的案例。

四、 SREng         浏览器加载项 分析方法

对应hijackhtis的02、03、08、09、016项，可以用hijackthis辅助分析
最近出现假冒microsoft和macromedia的项

五、SREng 正在运行的进程 分析方法

注意没有公司名字属性【显示为 N/A 】的exe文件，不确认的 google
没公司属性（或者说显示不出来）但是却是正常文件的也有 例如
          [C:/WINDOWS/system32/msdmo.dll]         [N/A, N/A] 要强记！

注意exe文件调用的dll文件，对于不确认的dll文件 google

有公司属性的也要注意分析是否是冒牌货，如最近的飘雪等动不动就冒充Microsoft Corporation。。。。

六、SREng 文件关联              分析方法

SREng提示的error项，通常需要修复
例外：关联的应用程序是自己安装的

七、SREng Winsock 提供者 分析方法          

用检测到的文件google
修复方法及常见的问题文件参考《hijackthis的010项修复方法》

附:

《hijackthis的010项修复方法》
HijackThis日志细解正文（十四）：组别——O10
www.rising.com.cn         2004-8-5 15:09:00         信息源:瑞星社区 作者:风之咏者  


1. 项目说明
           O10项提示Winsock LSP(Layered Service Provider)“浏览器劫持”。某些间谍软件会修改Winsock 2的设置，进行LSP“浏览器劫持”，所有与网络交换的信息都要通过这些间谍软件，从而使得它们可以监控使用者的信息。著名的如New.Net插件或WebHancer组件，它们是安装一些软件时带来的你不想要的东西。相关的中文信息可参考——
http://tech.sina.com.cn/c/2001-11-19/7274.html

2. 举例
O10 - Hijacked Internet access by New.Net
           这是被广告程序New.Net劫持的症状（可以通过“控制面板——添加删除”来卸载）。
O10 - Broken Internet access because of LSP provider `c:/progra~1/common~2/toolbar/cnmib.dll` missing
           这一般出现在已清除间谍软件但没有恢复LSP正常状态的情况下。此时，网络连接可能丢失。
O10 - Unknown file in Winsock LSP: c:/program files/newton knows/vmain.dll
           这是被广告程序newtonknows劫持的症状，相关信息可参考http://www.pestpatrol.com/PestInfo/n/newtonknows.asp

3. 一般建议
           一定要注意，由于LSP的特殊性，单单清除间谍软件而不恢复LSP的正常状态很可能会导致无法连通网络！如果您使用杀毒软件清除间谍程序，可能遇到如上面第二个例子的情况，此时可能无法上网。有时HijackThis在O10项报告网络连接破坏，但其实仍旧可以连通，不过无论如何，修复O10项时一定要小心。
           遇到O10项需要修复时，建议使用专门工具修复。
（1）LSPFix http://www.cexx.org/lspfix.htm
（2）Spybot-Search&Destroy（上面提到过，但一定要使用最新版）
           这两个工具都可以修复此问题，请进一步参考相关教程。
4. 疑难解析
           某些正常合法程序（特别是一些杀毒软件）也会在Winsock水平工作。比如
O10 - Unknown file in Winsock LSP: c:/windows/system32/kvwsp.dll
           这一项就属于国产杀毒软件KV。所以，在O10项遇到“Unknown file in Winsock LSP”一定要先查询一下，不要一概修复。

为方便大家的学习，如下转载一部分资料，注意更新。

一、bark 的 解读SREng扫描报告(原创）
第一次发表于 2006-11-24

摘要：本文介绍了如何利用相应的工具进行手动查杀病毒的操作方法，通俗易懂。

 

SREng扫描报告的个人见解 by bark[流氓怕武术]

第一部分：
启动项目：这部分是系统注册表里系统正常启动时的加载项，xp 系统点开始－运行－msconfig-就可以看到下面的大部分内容。传统的病毒木马会加载到这里。我们设置为自动启动的一些软件的启动项也加载到这里。比如防火墙，杀毒软件，等等。这些东东在安全模式不会被启动。
注册表
[HKEY_CURRENT_USER/Software/Microsoft/Windows/CurrentVersion/Run]

[HKEY_LOCAL_MACHINE/Software/Microsoft/Windows/CurrentVersion/Run]
  
[HKEY_LOCAL_MACHINE/Software/Microsoft/Windows NT/CurrentVersion/Winlogon]

[HKEY_LOCAL_MACHINE/Software/Microsoft/Windows NT/CurrentVersion/Windows]

……

==================================
第二部分：
启动文件夹：就是开始菜单里的启动下面的 东东，一般病毒和木马不会幼稚到这个地步，这里一般是空的。这些东东在安全模式不会被启动。
N/A

==================================
第三部分：
服务：就是我们在“管理－服务和应用程序”里面能看到的加载的服务。这些东东在安全模式不会被启动。现在病毒木马流氓的首选隐藏之处。去年还不流行。
一般的菜鸟不会到这里查看有什么不对头的地方。即使看到了也不敢怀疑，他们的描述有很大迷惑性，比如“为系统启动提供加速功能”就是最流行的流氓服务，弹出网页的一般是这个。这些东东在安全模式不会被启动。
病毒服务的特征：
1·被rundll32.exe、Svchost.exe等系统进程调用；
2·【】内的前后两项内容相同；
3·所属公司为<N/A>或假冒<Microsoft Corporation>
4·启动文件指向系统目录
凡是有以上特征之一的 ，我们都要怀疑。
例：
[RestoreService / RestoreService]
<C:/WINDOWS/system32/Svchost.exe -k RestoreService-->C:/WINDOWS/system32/drivers/service.dll><N/A>
[Standard Update Net Service / stdupnet]
<C:/WINDOWS/system32/rundll32.exe C:/WINDOWS/system32/stdupnet.dll,Service -s><Microsoft Corporation>
[VisionService / VisionService]
<C:/WINDOWS/system32/rundll32.exe C:/PROGRA~1/vision/VISVER.DLL,Service><Microsoft Corporation>

==================================
第4部分：
驱动程序：目前最流行的流氓行为！这些东东在安全模式也会被启动加载，并自我保护不被删除。
病毒驱动的特征：
1·名字随机所以怪异，尤其是包含数字的要注意
2·一般在/SystemRoot/system32/drivers/目录下
3·【】内的前后两项内容相同；
4·所属公司为<>·<N/A>或假冒<Microsoft Corporation>，其他的一般不是（也有例外）
例：
[000057b3 / 000057b3]
</SystemRoot/system32/drivers/000057b3.SYS><N/A>

[cdnprot / cdnprot]
</SystemRoot/system32/drivers/cdnprot.sys><N/A>

[cdntran / cdntran]
<system32/drivers/cdntran.sys><CNNIC>

[npkycryp / npkycryp]
</??/C:/Program Files/Tencent/qq/npkycryp.sys><N/A>

[vydozqfz / vydozqfz]
</SystemRoot/system32/drivers/vydozqfz.sys><>

==================================
第5部分：
浏览器加载项：这里是加载的插件，有背景的大流氓软件热爱。但打开IE浏览器后可以直观看到，小流氓和木马病毒不敢也不愿这么明显。
例：
[Cbho Object]
{352E3B3A-CAB5-4DBC-B940-C7F84D0447D8} <C:/PROGRA~1/CNNIC/Cdn/cdndrag.dll, CNNIC>
[用QQ彩信发送该图片]
<C:/Program Files/Tencent/qq/SendMMS.htm, N/A>
[访问通用网址]
<C:/Program Files/CNNIC/Cdn/cnnic.htm, N/A>

==================================
第6部分：
正在运行的进程
这里是很关键的部分，也是内容最多最乱的部分。凡是系统中正在运行的进程和调用的dll文件在这里一览无遗。
我们要特别注意以下进程调用的dll文件：
C:/WINDOWS/Explorer.EXE

如果一个dll文件注入上面的进程，同时又注入其他进程，就要特别照顾他一下了 。一般的流氓是一定要注入这个进程的。
睡眠状态；有不足之处；待改正。

－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－
teYqiu【天下无毒】原创文章，转载请标明。http://hi.baidu.com/teyqiu
百度知道反病毒知识专家崔衍渠 授权。
－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－