吾爱破解 - 52pojie.cn

 找回密码
 注册[Register]

QQ登录

只需一步,快速开始

查看: 2538|回复: 1
收起左侧

[会员申请] 申请会员ID:lhx077

[复制链接]
吾爱游客  发表于 2020-7-19 21:29
申请ID:lhx077
个人邮箱:1955717323@qq.com

SREng日志全分析
我们先来了解下SREng日志的结构:
      
【注:以System Repair Engineer (SREng) 2.81 版本扫出来的日志为标准】

完整的SREng日志,是由以下部分组成的:

所有的启动项目(包括注册表、启动文件夹、服务等)
系统驱动文件
浏览器加载项
正在运行的进程(包括进程模块信息)
文件关联
Winsock 提供者
Autorun.inf
HOSTS 文件
进程特权扫描
计划任务
Windows 安全更新检查
API HOOK
隐藏进程
Ⅰ,首先我们来研究:所有的启动项目(包括注册表、启动文件夹、服务等)
  
一.注册表启动项目分支:
1.在SREng日志中,注册表的结构如下:

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run]
<avgnt><"C:\Program Files\Avira\AntiVir Desktop\avgnt.exe" /min /nosplash>  [(Verified)Avira GmbH]

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run] 代表这个启动项目,在注册表中的详细位置。


<avgnt><"C:\Program Files\Avira\AntiVir Desktop\avgnt.exe" /min /nosplash>  [(Verified)Avira GmbH]

<avgnt>代表指该启动项在注册表中的名称。不同的启动项目,名称是不同的。
<"C:\Program Files\Avira\AntiVir Desktop\avgnt.exe" /min /nosplash>,这个项目代表的是:在此处,显示的是该注册表键完整的键值。对于键值为相对路径的情况(如Explorer.exe),系统自动遍历环境变量PATH中的文件夹列表,来查找文件。
[(Verified)Avira GmbH]代表的是:(Verified)表示该文件已经通过“数字签名验证”。但要注意的是,有些文件(Verified),但是没有公司名称(例如Avira GmbH),也是要留心的。
  
  
特例!:
1.

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run]
<NvMediaCenter><RUNDLL32.EXE C:\WINNT\system32\NvMcTray.dll,NvTaskbarInit>
[NVIDIA Corporation]

在windows中,DLL文件(动态数据库链接文件)是不能自己独立运行的。它其实是启动Rundll32.exe,把NvMcTray.dll和其他相应参数作为命令行(CommandLine)参数传递的。
键值所显示的,是系统按此项启动时,执行的命令行。所以这里实际上是命令行的构成。
另外,在windows中,不止包括:rundll32.exe,常见的还包括:svchost.exe等。

2. 在windows系统中,有一项很特殊的启动项目,其名称为:AppInit_dlls
对于这个键值,正常的情况是:该项目的值为空。也就是说,在正常的电脑中,这个启动项目,如下所示:

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Windows]
<AppInit_DLLs><>  [N/A]

   
这个键值的作用,是每一个进程启动加载user32.dll的时候,会自动加载这个键值中保存的所有dll。
如果在一份报告中,此项的“文件信息”出现键值(SREng会提示的,注:SREng对于此项非空的提示,并不表示一定是病毒造成的问题,应谨慎判断。),则分几种情况考虑:
1.被一些优化软件所修改(作用大致是对所有使用图形界面的程序的窗口进行改造等。)
2.被杀毒软件所修改,例如卡巴斯基等
3.被病毒修改
如果在此项的键值中出现很可疑的文件的话(如12343.dll、wkefu.dll等),那就要小心了例如下:

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Windows]
<AppInit_DLLs><lalala.dll>  [N/A]

     
如果这个启动项目出现在报告中,那么必须得引起你的高度重视,你必须看清是空值(即正常值),还是有其他信息。
判断方法: 看这个文件(例如:lalala.dll),是不是在报告的“正在运行的系统进程”,插入了大部分进程。如果有,则要杀毒了。
      

番外:关于IFEO在日志中的反应:
什么?你居然不知道IFEO?好吧,建议你去百度一下,你就知道了~
在日志注册表项目中,如出现:
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\]
这就表明你中了IFEO的劫持了。
例如:
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\360safe.exe]
    <IFEO[360safe.exe]><ntsd -d>  [N/A]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\360safebox.exe]
    <IFEO[360safebox.exe]><ntsd -d>  [N/A]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\360tray.exe]
<IFEO[360tray.exe]><ntsd -d>  [N/A]

<IFEO[360safe.exe]>的意思是利用IFEO技术,劫持正常的文件名为:360safe.exe 的文件。
<IFEO[360safe.exe]><ntsd -d>准确的说:是当被IFEO劫持的程序执行时,系统转而调用目标程序,并把被IFEO劫持程序执行时的完整命令行作为命令行参数加在后面进行传递,使360Safe.exe 进行调试,随后退出。
<ntsd -d>:
-d是这个工具的一个参数,指定ntsd -d的命令可以使程序即使成功进行调试,也会随着它的退出而一起退出。

   
二.如何区分正常和不正常的启动项目:
1.一个看上去正常的系统文件,在不正常的文件位置。(比如应该在windows\system32文件夹下的一个系统文件,却跑到了windows目录下)
这个,就需要自己去掌握了,并要时刻牢记:windows常见进程,对应的文件名称,位置。
例如:

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run]
<svchost><C:\windows\system32\drivers\svchost.exe>  [Microsoft Corporation]
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run]
<svhcost><C:\windows\system32\svhcost.exe>  [Microsoft Corporation]
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run]
<svchost><C:\windows\system32\windows\svchost.exe>  [Microsoft Corporation]


这三个启动项目明显是不正常的,第一个和第三个明显文件摆放的路径不同,正常的svchost.exe在C:\windows\system32\下,第二个路径对了,但你仔细观察下它的文件名:svhcost.exe…………

2.数字签名验证
80%的正常文件都会有[(Verified)(公司)](当然,还有一些正常文件会没有,这就要借助那伟大的搜索引擎和你那同伟大的大脑了!)所以,在SRE报告中,我们对于没有数字签名验证的文件,其数字签名验证处显示为:[],或[N/A]时,在看报告的时候,要特别小心。例如:

<WoShiBingDu><C:\WINDOWS\sae13424.exe> [N/A]
<lalala><C:\WINDOWS\lalala.exe> []

     
这就是典型的病毒啊!
         
3.善于利用搜索引擎
有些正常的文件,但没有数字签名验证。在这种情况时,我们就要用到搜索引擎了。因此,一定要善用搜索引擎!我们可以直接搜索文件名,比如 abc.exe, abc.dll,abc.sys等。
        
三.启动文件夹分支:
启动文件夹是指开始——程序——启动。在Windows中,启动文件夹分作公用启动文件夹和私有启动文件夹。公用启动文件夹里面的启动快捷方式对所有用户均有效,而私有启动文件夹里面的快捷方式仅对当前用户有效。SREng 能够同时支持共有启动文件夹和私有启动文件夹的信息的获取并在日志中将相关信息予以反馈。
一般来说,日志中的这项内容会很少,分析日志者可以根据自己的判断或结合用搜索引擎很快地判断该启动项是否正常。小编我的启动文件里就没有东东~
例如:
==================================
启动文件夹
N/A
==================================
      
或:
==================================
启动文件夹
[IE-Bar]
          <C:\Documents and Settings\All Users\Start Menu\Programs\Startup\IE-Bar.lnk>
<N/A, >
==================================
      
这个,就是恶意软件所生成的东西,要删除……
        
      
四.服务分支:
1.在SREng日志中,服务的结构如下:

[Avira AntiVir Guard / AntiVirService][Running/Auto Start]
<"C:\Program Files\Avira\AntiVir Desktop\avguard.exe"><Avira GmbH>

     
AntiVirService代表该服务的服务名(注册表中该服务项的真正名称)
Avira AntiVir Guard代表该服务的显示名(该服务项的DisplayName键值)
  
[Running/Auto Start]代表:该服务的运行状态

注:一些其他的状态的中文名:
Running:正在运行
Auto Start:自动启动
Manual Start:手动启动
Disable:禁用
Stopped:目前处于停止

     
<"C:\Program Files\Avira\AntiVir Desktop\avguard.exe">代表映像路径,即ImagePath键值,其与启动项类似,仍然是服务启动时执行的命令行
<Avira GmbH>代表服务的公司名称
      
2.正常、非正常服务的判断方法和依据:
1.根据数字签名验证
这条很上文的【注册表启动项目】的判断方法没啥两样,在这就不再啰嗦了~
         
2.分析在SRE报告中出现的非已经验证过的微软服务和其他服务
日志中只显示非已经验证过的微软服务(已经验证过的微软服务sreng将自动隐藏)
例如:

[woshibingdu / wsbd][Running/Auto Start]
<C:\WINDOWS\system32\wsbd.exe -k><>

     
这种服务……典型的该删!没有数字签名,名称又乱七八糟(wsbd=我是病毒,(*^__^*) 嘻嘻,小编的恶趣味哦~)
        
[svchost / svchost][Stopped/Auto Start]
<C:\WINDOWS\system32\windows\svchost.exe -g><Microsoft Corporation>
这个,什么?看上去不错?!恩,有微软签名。再仔细看看~咦,正常的svchost.exe不是在

C:\windows\system32\下面吗?怎么这个~~~~~懂的人都懂了……
   
3.善于使用搜索引擎
你可以直接用服务的服务名和显示名来搜索。
      
4.谨防冒充“微软签名的”
目前有些病毒,开始伪造微软签名了,公司名是:<Microsoft Corporation>,所以,提醒大家,不要看到是MS的签名,就跳过去了,我们要从名称,映像路径等来综合判断~
      
         
特例!:
1.例如:

[Shell Hardware Detection / ShellHWDetection][Running/Auto Start]
<C:\Windows\System32\svchost.exe -k netsvcs-->%SystemRoot%\System32\shsvcs.dll><Microsoft Corporation>

      
上文已经提到过了
【在windows中,DLL文件(动态数据库链接文件)是不能自己独立运行的。它其实是启动Rundll32.exe,把NvMcTray.dll和其他相应参数作为命令行(CommandLine)参数传递的。
键值所显示的,是系统按此项启动时,执行的命令行。所以这里实际上是命令行的构成。】

在这里,shsvcs.dll启动svchost.exe,把shsvcs.dll和其他相应参数作为命令行(CommandLine)参数传递。所以,在这我们不是主要判断\svchost.exe -k netsvcs,而是要重点判断shsvcs.dll是否为正常文件。

2.例如:

[Human Interface Device Access / HidServ][Stopped/Disabled]
<C:\WINDOWS\System32\svchost.exe -k netsvcs-->%SystemRoot%\System32\hidserv.dll><N/A>
[Help and Support / helpsvc][Stopped/Disabled]
<C:\windows\System32\svchost.exe -k netsvcs-->%WINDIR%\PCHealth\HelpCtr\Binaries\pchsvc.dll><N/A>

      
这两个是很常见的正常项,尽管没有数字签名……

Ⅱ,系统驱动文件
windows正常的驱动文件,为:*.sys,类型的文件,位于:c:\windows\system32\drivers ,这个文件夹下面。
谨记:要删除驱动的时候,一定要先备份,后删除!
     
1.在SREng日志中,驱动程序的结构如下:

[Microsoft Kernel Acoustic Echo Canceller / aec][Stopped/Manual Start]
<system32\drivers\aec.sys><Microsoft Corporation>

其结构和【服务】的结构没有太大区别,在这不累述了。
  
正常、非正常驱动程序的判断方法和依据:
1.看数字签名(见上文)
   
2.文件名称乱七八糟的= =,例如:

[hswgajeg/ rekng][Running/Manual Start]
<system32\drivers\66542gvi.sys><sfjsfg>
[skjd / skjd][Stopped/Manual Start]
<\??\C:\DOCUME~1\hopesky~1\LOCALS~1\Temp\skjd.sys><N/A>

……别废话了,先备份,后删除吧~
   
3.搜索引擎上明摆着是病毒的
     
4.由某种病毒衍生出来的驱动
      
多多积累,才能多多收获,就这样~~
      
      
Ⅲ,浏览器加载项
浏览器加载项是一个综合的项目,其中包括了BHO,ActiveX等插件,浏览器工具栏等多个项目,这些项目中,不仅仅有dll类型的加载PE文件(BHO或ActiveX项目),也有工具栏附加按钮,浏览器的右键菜单项目等。

1.在SREng日志中,浏览器加载项的结构如下:

[Thunder Browser Helper]
  {889D2FEB-5411-4565-8998-1DD2C5261283} <D:\Program Files\Thunder\ComDlls\xunleiBHO_Now.dll, (Signed) Thunder Networking Technologies,LTD>

      
[Thunder Browser Helper]代表该加载项的名称
{889D2FEB-5411-4565-8998-1DD2C5261283}代表在注册表中的名称
<D:\Program Files\Thunder\ComDlls\xunleiBHO_Now.dll代表映像路径
(Signed) Thunder Networking Technologies,LTD>代表数字签名(有些没有也是正常的!)
      
2.正常、非正常浏览器加载项的判断方法和依据:
那啥,很少有病毒会很无聊的涉及到这个项目,一般都是恶意软件等去涉及的……在这个项目中,基本上出不了大问题,自己多多积累一些windows自带的浏览器加载项和常见的浏览器加载项就行了~
         
         
Ⅳ,正在运行的进程(包括进程模块信息):
1.在SREng日志中,正在运行的进程(包括进程模块信息)的结构如下:

[PID: 632][\??\C:\WINDOWS\system32\winlogon.exe]  [(Verified) Microsoft Corporation, 5.1.2600.2180 (xpsp_sp2_rtm.040803-2158)]
    [C:\WINDOWS\system32\AUTHZ.dll]  [Microsoft Corporation, 5.1.2600.2622 (xpsp_sp2_gdr.050301-1519)]
    [C:\WINDOWS\system32\COMCTL32.dll]  [Microsoft Corporation, 5.82 (xpsp.060825-0040)]
    [C:\WINDOWS\WinSxS\x86_Microsoft.Windows.Common-Controls_6595b64144ccf1df_6.0.2600.2982_x-ww_ac3f9c03\comctl32.dll]  [Microsoft Corporation, 6.0 (xpsp.060825-0040)]
    [C:\WINDOWS\system32\sfc_os.dll]  [Microsoft Corporation, 5.1.2600.2180 (xpsp_sp2_rtm.040803-2158)]
    [C:\WINDOWS\system32\ole32.dll]  [Microsoft Corporation, 5.1.2600.2726 (xpsp_sp2_gdr.050725-1528)]
    [C:\WINDOWS\system32\sxs.dll]  [Microsoft Corporation, 5.1.2600.3019 (xpsp_sp2_gdr.061019-0414)]
    [C:\WINDOWS\system32\uxtheme.dll]  [Microsoft Corporation, 6.00.2900.2180 (xpsp_sp2_rtm.040803-2158)]
    [C:\WINDOWS\system32\xpsp2res.dll]  [Microsoft Corporation, 5.1.2600.2180 (xpsp_sp2_rtm.040803-2158)]
[C:\WINDOWS\system32\iphlpapi.dll]  [Microsoft Corporation, 5.1.2600.2912 (xpsp_sp2_gdr.060519-0003)]

[PID: 416 / SYSTEM][\SystemRoot\System32\smss.exe]  [(Verified) Microsoft Corporation, 6.0.6002.18005 (lh_sp2rtm.090410-1830)]           
[PID: 632][\??\C:\WINDOWS\system32\winlogon.exe]:
   
PID:指此进程在系统中的“数字标识”,在系统中,每个进程有且仅有一个PID,所以说,它是唯一的。
[\??\C:\WINDOWS\system32\winlogon.exe]代表在系统中,该进程对应文件的详细位置。
[(Verified) Microsoft Corporation, 5.1.2600.2180 (xpsp_sp2_rtm.040803-2158)]代表该进程对应文件的数字签名和文件的版本信息。
[PID: 416 / SYSTEM]:SYSTEM代表的是创建此进程的用户名。
   

[C:\WINDOWS\system32\AUTHZ.dll]  [Microsoft Corporation, 5.1.2600.2622 (xpsp_sp2_gdr.050301-1519)]
    [C:\WINDOWS\system32\COMCTL32.dll]  [Microsoft Corporation, 5.82 (xpsp.060825-0040)]
    [C:\WINDOWS\WinSxS\x86_Microsoft.Windows.Common-Controls_6595b64144ccf1df_6.0.2600.2982_x-ww_ac3f9c03\comctl32.dll]  [Microsoft Corporation, 6.0 (xpsp.060825-0040)]
    [C:\WINDOWS\system32\sfc_os.dll]  [Microsoft Corporation, 5.1.2600.2180 (xpsp_sp2_rtm.040803-2158)]
    [C:\WINDOWS\system32\ole32.dll]  [Microsoft Corporation, 5.1.2600.2726 (xpsp_sp2_gdr.050725-1528)]
    [C:\WINDOWS\system32\sxs.dll]  [Microsoft Corporation, 5.1.2600.3019 (xpsp_sp2_gdr.061019-0414)]
    [C:\WINDOWS\system32\uxtheme.dll]  [Microsoft Corporation, 6.00.2900.2180 (xpsp_sp2_rtm.040803-2158)]
    [C:\WINDOWS\system32\xpsp2res.dll]  [Microsoft Corporation, 5.1.2600.2180 (xpsp_sp2_rtm.040803-2158)]
[C:\WINDOWS\system32\iphlpapi.dll]  [Microsoft Corporation, 5.1.2600.2912 (xpsp_sp2_gdr.060519-0003)]

  
以上这些,是表示该进程(winlogon.exe)的模块信息。
  
例如:

[C:\WINDOWS\system32\ole32.dll]  [Microsoft Corporation, 5.1.2600.2726 (xpsp_sp2_gdr.050725-1528)]

[C:\WINDOWS\system32\ole32.dll]代表该模块对应文件的详细路径和名称。
[Microsoft Corporation, 5.1.2600.2726 (xpsp_sp2_gdr.050725-1528)]代表模块的公司名称和文件的版本信息。
(xpsp_sp2_gdr.050725-1528)代表XP系统的版本信息,这个很重要哦~!
  
  
2.正常、非正常进程的判断方法和依据:
1.要着重注意进程公司名称处为[N/A, ]的文件,但要注意的是,winrar里有个进程是例外的,如:
[C:\Program Files\WinRAR\rarext.dll]  [N/A, ]
这个文件是winrar的,是正常文件哦~

  
2. 注意进程文件的版本,模块文件的版本
这一步,我们可以优先着重注意看有没有进程是没有模块信息的,没有版本信息的文件进程。
     
3.一般标有系统版本(如XP)信息的文件,都是正常的,我们可以快速的扫过,不必花大工夫去研究。
如:

[C:\Windows\system32\SHSVCS.dll]  [Microsoft Corporation, 6.0.6000.16386 (vista_rtm.061101-2205)]
[C:\WINDOWS\system32\ole32.dll]  [Microsoft Corporation, 5.1.2600.2726 (xpsp_sp2_gdr.050725-1528)]

     
4.在查看进程(模块信息)的同时,我们也要结合前面的一些内容,比如启动项目的分析,服务、驱动程序的分析等,因为一般在注册表启动项目里面非正常的文件.都会在进程活模块中有所反映。所以,将他们放着一起,做一个对比,往往会事半功倍哦~
        
5.我们要注意,同一个DLL类型文件,同时做为模块,同时插入大部分进程,而且该DLL文件无公司名称,无数字签名,无版本信息等,那么就要特别小心了哦~
例如:

[PID: 1846][C:\WINDOWS\system32\services.exe]  [Microsoft Corporation, 5.1.2600.0 (xpclient.010817-1148)]
    [C:\WINDOWS\system32\lalalala.dll]  [N/A, ]
[PID: 846 / SYSTEM][C:\WINDOWS\system32\lsass.exe]  [Microsoft Corporation, 5.1.2600.1106 (xpsp1.020828-1920)]
    [C:\WINDOWS\system32\ lalalala.dll]  [N/A, ]
[PID: 748 / SYSTEM][C:\WINDOWS\system32\svchost.exe]  [Microsoft Corporation, 5.1.2600.0 (xpclient.010817-1148)]
    [C:\WINDOWS\system32\ lalalala.dll]  [N/A, ]


6.自我总结、归纳。刚刚开始学,慢慢的来,然后再一步步深入探究。脚踏实地者,方能成大事也。
  
  
Ⅴ,文件关联:
很多病毒,都会修改系统默认的文件关联。我们可以用SREng修复。
例如:

.TXT  Error. [C:\WINDOWS\notepad.exe %1]
.EXE  OK. ["%1" %*]
.COM  OK. ["%1" %*]
.PIF  OK. ["%1" %*]
.REG  OK. [regedit.exe "%1"]
.BAT  OK. ["%1" %*]
.SCR  OK. ["%1" /S]
.CHM  Error. ["hh.exe" %1]
.HLP  OK. [%SystemRoot%\System32\winhlp32.exe %1]
.INI  Error. [C:\WINDOWS\System32\NOTEPAD.EXE %1]
.INF  OK. [%SystemRoot%\system32\NOTEPAD.EXE %1]
.VBS  OK. [%SystemRoot%\System32\WScript.exe "%1" %*]
.JS   OK. [%SystemRoot%\System32\WScript.exe "%1" %*]
.LNK  OK. [{00021401-0000-0000-C000-000000000046}]

我们只需注意ERROR部分,如有出现,我们必须建议提供日志者第一时间去使用sreng去修复!

Ⅵ,Winsock 提供者
SREng日志中,默认只列出“第三方”的winsock提供者。
小编的电脑是正常的,so:
==================================
Winsock 提供者
N/A

===================================
  
还有一种可能就是杀毒软件[目的是因为这一项是负责网络协议的,杀软用自己的组件守住了这一项,更有利于监控网络数据流。](或一些其他正常软件)所添加的,比如nod32,大蜘蛛,和一些上网验证的客户端等。所以,对于【重置winsock】要谨慎使用,一般情况下,不必刻意的去理会他。
  
  
Ⅶ,Autorun.inf
正常情况下,Autorun.inf应为空,如:
==================================
Autorun.inf
N/A

==================================

如果出现了东西,那么就是病毒了,如:
==================================
Autorun.inf
[C:\]
[AuToRuN]
open=XXX.EXE
shell\open=打开(&O)
shelL\open\ComMand= XXX.EXE
[D:\]
[AuToRuN]
open= XXX.EXE
shell\open=打开(&O)
shelL\open\ComMand= XXX.EXE
===============================
这个表明该病毒在C、D分区下建立了Autorun.inf和XXX.EXE,我们可以这样做:
开始——运行——cmd——C:——attrib -a -s -h -r autorun.inf——del autorun.inf
开始——运行——cmd——D:——attrib -a -s -h -r autorun.inf——del autorun.inf
有几个分区感染了,那就重复几次,最后重启机器。
  
  
Ⅷ,HOSTS文件
一般情况下,应该为空或如下:
==================================
HOSTS 文件
127.0.0.1       localhost

=================================
  
还有种可能就一些软件会修改HOSTS文件,添加一些项目,大都是让电脑禁止访问被添加HOSTS项目的网站,如:
127.0.0.1       localhost
127.0.0.1      
www.jshdf.com
127.0.0.1       bbs.jrg.com.cn
  
我们视情况而定,如果被屏蔽的是一些主流杀毒软件、安全网站的话,我们就要建议日志提供者要重置HOSTS文件了。

   
Ⅸ,进程特权扫描
在windows系统, 进程特权是程序执行相应操作所需要的。如对系统进程进行内存读取(有时仅仅是为了遍历进程,得到其映像文件名,要对目标进程的PEB进行读取)需要SeDebugPrivilege权限,用程序调用ExitWindowsEx关闭或重启计算机需要SeShutdownPrivilege等等,如果没有相应权限,相应操作就会被系统阻止。
一些软件,比如杀毒软件等,它们因为需要一直监控运行,所以具有更高的进程特权。
例如:
==================================
进程特权扫描
特殊特权被允许: SeLoadDriverPrivilege [PID = 2016, C:\PROGRAM FILES\SHADOW DEFENDER\DEFENDERDAEMON.EXE]
特殊特权被允许: SeSystemtimePrivilege [PID = 2016, C:\PROGRAM FILES\SHADOW DEFENDER\DEFENDERDAEMON.EXE]
特殊特权被允许: SeDebugPrivilege [PID = 2016, C:\PROGRAM FILES\SHADOW DEFENDER\DEFENDERDAEMON.EXE]
特殊特权被允许: SeLoadDriverPrivilege [PID = 2492, F:\PROGRAM FILES\SANDBOXIE\SBIESVC.EXE]
特殊特权被允许: SeLoadDriverPrivilege [PID = 1632, F:\PROGRAM FILES\TENCENT\QQ2010精睿版\BIN\HKDLLS\KQADTRAY.EXE]
特殊特权被允许: SeSystemtimePrivilege [PID = 1632, F:\PROGRAM FILES\TENCENT\QQ2010精睿版\BIN\HKDLLS\KQADTRAY.EXE]
特殊特权被允许: SeDebugPrivilege [PID = 1632, F:\PROGRAM FILES\TENCENT\QQ2010精睿版\BIN\HKDLLS\KQADTRAY.EXE]
特殊特权被允许: SeLoadDriverPrivilege [PID = 4020, F:\USERS\LIUJIEHUA\APPDATA\ROAMING\CHROMEPLUS\CHROME.EXE]
特殊特权被允许: SeSystemtimePrivilege [PID = 4020, F:\USERS\LIUJIEHUA\APPDATA\ROAMING\CHROMEPLUS\CHROME.EXE]

==================================
在这里,我们可以根据映像路径和映像文件名来判断此文件的是否正常。
   
   
Ⅹ,计划任务
计划任务可以定义关机时间及开机启动,自定义时间启动某些程序和更新等,所以有些病毒往往会利用这个功能实现开机自动启动。
这个,我们也可以根据映像路径和映像文件名来判断这个人物是否正常。
例如:
==================================
计划任务
[已禁用] \\SogouImeMgr
        f:\PROGRA~1\SOGOUI~1\500~1.381\SGTool.exe --appid=pinyinrepair /S
[已启用] \\{4731A4CA-7C6E-4AF6-AD5D-68EBE5309B9E}
        C:\Windows\system32\pcalua.exe -a H:\笔记本电脑\必要安装程序\ha_regvac50126.exe -d H:\笔记本电脑\必要安装程序
[已禁用] \Microsoft\Windows\Active Directory Rights Management Services Client\AD RMS Rights Policy Template Management (Automated)
        N/A
[已启用] \Microsoft\Windows\Active Directory Rights Management Services Client\AD RMS Rights Policy Template Management (Manual)
        N/A
==================================
   
   
ⅰ,Windows 安全更新检查
System Repair Engineer (SREng) 2.81 版本增加了Windows 安全更新扫描功能,它能检查你系统还未打完的补丁,但不能自主修复。
   
   
ⅱ,API HOOK
这个……一般杀毒软件会很乐意进行挂钩~因为杀毒软件为了从更深的层次得监控保护电脑,从而就会修改此处。
一般为N/A,如:
==================================
API HOOK
N/A
   
==================================
   
或者为杀毒软件所修改的,如:
==================================
API HOOK
入口点错误:ShellExecuteExW (危险等级: 一般,  被下面模块所HOOK: d:\Program Files\Kingsoft\WebShield\kswebshield.dll)
   
==================================
同样,我们可以根据映像路径和映像文件名来判断此钩子的是否正常。
   
   
ⅲ,隐藏进程
一般情况下,是为N/A,如:
==================================
隐藏进程
N/A
   
==================================
或者是杀毒软件,一些安软,为了保护自身不被病毒干掉,所以创建了隐藏进程。
   
注意:如果在这里出现iexplore.exe,那么你就要小心了~!IE是不会自己创建隐藏进程的。这种情况,一般都是灰鸽子等。

Ok,以上,就是SREng日志的全分析了……

发帖前要善用论坛搜索功能,那里可能会有你要找的答案或者已经有人发布过相同内容了,请勿重复发帖。

Hmily 发表于 2020-7-20 10:29
分析太简单了,明天开放注册自己来注册吧。
您需要登录后才可以回帖 登录 | 注册[Register]

本版积分规则

返回列表

RSS订阅|小黑屋|处罚记录|联系我们|吾爱破解 - LCG - LSG ( 京ICP备16042023号 | 京公网安备 11010502030087号 )

GMT+8, 2024-11-15 01:21

Powered by Discuz!

Copyright © 2001-2020, Tencent Cloud.

快速回复 返回顶部 返回列表