sreng日志分析.docVIP

sreng日志分析 SREng全称System Repair Engineer，它是一款计算机安全辅助和系统维护辅助软件，主要用于发掘操作系统中潜在的故障和修复大多数由于计算机病毒造成的破坏。详细使用教程请参考SREng实用教程 我们先来了解下SREng日志的结构： 【注：以System Repair Engineer (SREng) 2.81 版本扫出来的日志为标准】 完整的SREng日志，是由以下部分组成的： 所有的启动项目（包括注册表、启动文件夹、服务等） 系统驱动文件 浏览器加载项 正在运行的进程（包括进程模块信息） 文件关联 Winsock 提供者 Autorun.inf HOSTS 文件 进程特权扫描 计划任务 Windows 安全更新检查 API HOOK 隐藏进程 Ⅰ、首先我们来研究：所有的启动项目（包括注册表、启动文件夹、服务等） 一.注册表启动项目分支： 1.在SREng日志中，注册表的结构如下： [HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run] avgntC:\Program Files\Avira\AntiVir Desktop\avgnt.exe /min /nosplash [(Verified)Avira GmbH] [HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run] 代表这个启动项目，在注册表中的详细位置。 avgntC:\Program Files\Avira\AntiVir Desktop\avgnt.exe /min /nosplash [(Verified)Avira GmbH] avgnt代表指该启动项在注册表中的名称。不同的启动项目，名称是不同的。 C:\Program Files\Avira\AntiVir Desktop\avgnt.exe /min /nosplash，这个项目代表的是：在此处，显示的是该注册表键完整的键值。对于键值为相对路径的情况（如Explorer.exe），系统自动遍历环境变量PATH中的文件夹列表，来查找文件。 [(Verified)Avira GmbH]代表的是：(Verified)表示该文件已经通过“数字签名验证”。但要注意的是，有些文件(Verified)，但是没有公司名称（例如 Avira GmbH），也是要留心的。 特例！： 1. [HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run] NvMediaCenterRUNDLL32.EXE C:\WINNT\system32\NvMcTray.dll,NvTaskbarInit [NVIDIA Corporation] 在windows中，DLL文件（动态数据库链接文件）是不能自己独立运行的。它其实是启动Rundll32.exe，把NvMcTray.dll和其他相应参数作为命令行（CommandLine）参数传递的。 键值所显示的，是系统按此项启动时，执行的命令行。所以这里实际上是命令行的构成。另外，在windows中，不止包括：rundll32.exe，常见的还包括：svchost.exe等。 2. 在windows系统中，有一项很特殊的启动项目，其名称为：AppInit_dlls 对于这个键值，正常的情况是：该项目的值为空。也就是说，在正常的电脑中，这个启动项目，如下所示： [HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Windows] AppInit_DLLs [N/A] 这个键值的作用，是每一个进程启动加载user32.dll的时候，会自动加载这个键值中保存的所有dll。 如果在一份报告中，此项的“文件信息”出现键值（SREng会提示的，注：SREng对于此项非空的提示，并不表示一定是病毒造成的问题，应谨慎判断。），则分几种情况考虑： 1.被一些优化软件所修改（作用大致是对所有使用图形界面的程序的窗口进行改造等。） 2.被杀毒软件所修改，例如卡巴斯基等 3.被病毒修改 如果在此项的键值中出现很可疑的文件的话（如 12343.dll、wkefu.dll等），那就要小心了例如下： [HKEY_LOCAL_M