学看SREng日志分析报告.上2008年09月05日星期五13:29学看SRE报告————第一讲很早就想写,关于如何看SRE报告的文章。只是这东西,我觉得不是用文字,就能完全表达清楚的。做为教程的第一帖,我先讲一下SRE报告的“结构”。掌握了结构,大家就不会对满屏的英文,感到头疼了。一。SRE报告整体结构说明一份完整的SRE报告,分为如下13部分:1.注册表启动项目2.启动文件夹3.系统服务项目4.系统驱动文件5.浏览器加载项6.正在运行的进程(包括进程模块信息)7.文件关联8.Winsock提供者9.Autorun.inf10.HOSTS文件11.进程特权扫描12.APIHOOK13.隐藏进程其中,判断一台电脑,是否存在异常,主要是查看:1.注册表启动项目3.系统服务项目4.系统驱动文件6.正在运行的进程8.Winsock提供者9.Autorun.inf10.进程特权扫描在这次的教程中,我先讲解第一项:注册表启动项目,的结构看法。二。SRE报告——注册表启动项目,结构讲解在任何一份SRE报告中,注册表启动项目,都有相同的结构,我下面随便举个例子:[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run]SynchronizationManagermobsync.exe/logon[(Verified)MicrosoftWindows2000Publisher]第一行:[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run],代表的是:这个启动项目,在注册表中的详细位置。第二行:SynchronizationManagermobsync.exe/logon[(Verified)MicrosoftWindows2000Publisher],由三部分组成:1.SynchronizationManager,这个项目,是指该启动项,在注册表中的名称。不同的启动项目,自然名称也不会相同。2.mobsync.exe/logon,这个项目,分两种情况:⑴对于(经过验证的)系统关键文件,SRE则直接列出该项目的文件名称,而不给出相应的详细路径。这种文件,一般在后面都会标有“(Verified)”,我后面解释。⑵对于普通文件,则会在这个项目中,给出详细的文件路径和名称,比如:c:\windows\system32\abc.exe在我们这次的例子中,是满足:⑴的。引用:说明:这个说法有误。其实在此处,显示的就是该注册表键完整的键值,无论其是否是正常的文件或经过验证的文件。对于键值为相对路径的情况(如Explorer.exe),系统自动遍历环境变量PATH中的文件夹列表,来查找文件。3.[(Verified)MicrosoftWindows2000Publisher],这项代表:该文件,是否含有“公司签名认证”SRE这个软件,自身具备了对“系统关键文件”和一些“众所周知的软件的文件”(如:explorer.exe,winlogon.exe,userinit.exe等)的“验证检测”,凡是通过了检测的系统关键文件,SRE在公司名这里,都会标有:Verified,这个英文。换个角度来说:在SRE报告中,凡是出现“Verified”这个英文的启动项目,都100%是正常的启动项目。引用:100%这个说法太绝对了。其实看被机器狗修改的文件就知道,有这个字样,但是没有公司名称,也是有问题的。严格意义上来说,这叫“数字签名验证”,使用的是一定的对称散列算法。总结一下,在SRE报告的:注册表启动项目中,虽然条目有很多,但是,全部都遵守这个结构:【启动项目的详细注册表位置】【启动项目的名称】【启动项目对应的文件的详细路径】【公司签名】我们再来看个例子,大家对照着,看一下:[HKEY_LOCAL_MACHINE\Software\Microsoft\WindowsNT\CurrentVersion\Winlogon]shellExplorer.exe[(Verified)MicrosoftWindows2000Publisher]看完这两行,大家应该得到如下结论:●此启动项目名称:Shell●此启动项目对应文件:Explorer.exe●此启动项目在注册表中对应的位置:HKEY_LOCAL_MACHINE\Software\Microsoft\WindowsNT\CurrentVersion\Winlogon●公司签名:MicrosoftWindows2000Publisher●是否经过SRE“验证”:是(因为有Verified)引用:MicrosoftWindows2000Publisher在这里不止是公司的名称。系统文件的版本信息中可见的公司名称,其实是MicrosoftCorporation然而对于系统文件,SREng可以显示更具体的细节,因此这里显示的是这样一个结果。可以发现,SREng2.5和2.6在这个地方显示的结果不同。三。启动项目的“特例”1.咱们上面讲的,是标准的启动项目信息,有些文件的启动项目,稍微“拐了一个弯”,我们来看个例子,我再讲解:[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run]NvMediaCenterRUNDLL32.EXEC:\WINNT\system32\NvMcTray.dll,NvTaskbarInit[NVIDIACorporation]这个启动项目,算是比较复杂的了,但还算是够常见,第一行,不解释了。。。。。。。主要解释第二行的中间:RUNDLL32.EXEC:\WINNT\system32\NvMcTray.dll,NvTaskbarInit和我们上面讲解的结构不同。这个启动项目,具有一层隐含意思。在windows中,DLL类型的文件(动态数据库链接文件),是不能自己独立运行的。它必须找“载体”来运行。在windows系统中,运行DLL类型的文件的载体,就是:Rundll32.exe。所以,我们分析一下上面那行文件信息:RUNDLL32.EXEC:\WINNT\system32\NvMcTray.dll,NvTaskbarInit意思就是:C:\WINNT\system32\NvMcTray.dll,这个真正的启动文件,正在依靠RUNDLL32.EXE,这个程序,进行启动。对于这种启动项目,在文件详细信息这里,其结构就发生了变化,变为:载体主运行文件的详细位置。这个大家能理解就行了。在windows系统中,载体,不止包括:rundll32.exe,常见的,还包括:svchost.exe,大家照猫画虎,应该可以想到的。引用:在这里更加正确和根本的解释是:键值所显示的,是系统按此项启动时,执行的命令行。因此这里说的实际上是命令行的构成。这里其实是启动Rundll32.exe,把dll名和其他相应参数作为命令行(CommandLine)参数传递。2.在windows系统中,有一项及其特殊的启动项目,其名称为:AppInit_dlls对于这个键值,正常的情况是:该项目的值,为空。也就是说,正常的电脑,这个启动项目,应该是这样的:[HKEY_LOCAL_MACHINE\Software\Microsoft\WindowsNT\CurrentVersion\Windows]AppInit_DLLs[N/A]如果在一份报告中,此项的“文件信息”,这个位置,出现东西,则分两种情况考虑:★被美化软件,修改目前许多朋友,都喜欢通过美化软件,来美化系统。据我所知,有些高级美化软件,为了达到彻底美化系统的效果,会修改此键值,典型的软件:WindowsBlinds这款软件安装后,此项目的值被修改为:wbsys.sys。大家知道就行了。注意:此项注册表启动信息,绝对不能删除,只能在SRE中,双击-进入编辑模式,然后把里面的文件名称去掉,留为空值,就可以了。★被病毒修改。遇到上面的美化情况,可以问一下电脑的使用者,是否美化了系统,使用了什么美化软件。如果没有用,而且,此键值出现了文件信息,则中毒的几率非常大。比如下面的例子:[HKEY_LOCAL_MACHINE\Software\Microsoft\WindowsNT\CurrentVersion\Windows]AppInit_DLLskamabas.dll[N/A]如果这个启动项目,出现在报告中,必须要引起100000000000%的高度重视,必须看清是空值(即正常值),还是有其他信息。判断方法:看这个文件(如我的例子中的:kamabas.dll),是不是在报告的“正在运行的系统进程”,中,插入了大部分进程。如果是:则100%为病毒。(后面我会再次讲到的)引用:这里的说法比较笼统。实际上,这一个键值显然不是为了病毒而存在的^-^这个键值的作用,是每一个进程启动加载user32.dll的时候,会自动加载这个键值中保存的所有dll美化软件就是使用这样的功能,对所有使用图形界面的程序的窗口进行改造。只是为了能被所有加载user32.dll的进程加载,就可以使用这些项目,包括某些杀毒软件。SREng对于此项非空的提示,并不表示一定是病毒造成的问题,应谨慎判断。四。启动项目“通用正常启动信息”对于windowsXP系统,在任何一台电脑上,都有如下启动信息,这些信息都是正常信息,看到后无须判断,直接精简掉:1.[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\ActiveSetup\InstalledComponents\{26923b43-4d38-484f-9b9e-de460746276c}]InternetExplorer%systemroot%\system32\shmgrate.exeOCInstallUserConfigIE[N/A]2.[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\ActiveSetup\InstalledComponents\{881dd1c5-3dcf-431b-b061-f3f88e8be88a}]OutlookExpress%systemroot%\system32\shmgrate.exeOCInstallUserConfigOE[N/A]3.[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\ActiveSetup\InstalledComponents\{2C7339CF-2B09-4501-B3F3-F3508C9228ED}]ThemesSetup%SystemRoot%\system32\regsvr32.exe/s/n/i:/UserInstall%SystemRoot%\system32\themeui.dll[N/A]4.[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\ActiveSetup\InstalledComponents\{44BBA840-CC51-11CF-AAFA-00AA00B6015C}]MicrosoftOutlookExpress6%ProgramFiles%\OutlookExpress\setup50.exe/APP:OE/CALLER:WINNT/user/install[N/A]5.[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\ActiveSetup\InstalledComponents\{44BBA842-CC51-11CF-AAFA-00AA00B6015B}]NetMeeting3.01rundll32.exeadvpack.dll,LaunchINFSectionC:\WINDOWS\INF\msnetmtg.in