SREng日志阅读指南(1)
SREng日志阅读指南(1)
注册表
btlulu原创文章
转载请保留此处:http://blog.btlulu.net/2007/12/16/srengloghelp1/
1. 项目说明:
注册表类的启动项目由十多个注册表键值所含数据组成。包括常见的HKEY_LOCAL_MACHINE \Software\Microsoft\Windows\CurrentVersion\Run、HKEY_CURRENT_USER\ Software\Microsoft\Windows\CurrentVersion\Run等,另外还有一些鲜为人知的隐蔽值。打开注册表类启动项目窗口以后,SREng会检测系统里面所有的被支持的能够随机启动注册表键值,然后把相关结果显示出来。
如果SREng发现默认的键值被修改成非默认值,且这个键值经常被计算机病毒修改,那么会弹出一个警告提示提醒用户注意。
2. 一般建议:
熟悉常见的项目,比如输入法、声卡显卡相关组件、杀毒软件、常用应用软件及其出品公司、某些笔记本自带程序等。
不认识的自己google。一般的启动项可以到这里查询:http://www.castlecops.com/StartupList.html。
位于[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Windows]
<AppInit_DLLs>
以及[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon]的项可到这里查询http://www.castlecops.com/O20.html。
位于[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ShellServiceObjectelayLoad]的项则可到这里查询:http://www.castlecops.com/O21.html。
该网站更新较快,资料较全(包括很多中国的恶意程序都可以查到)。以下是一些状态标记的含义:
Y - 一般应该允许运行。
N - 非必须程序,可以留待需要时手动启动。
U - 由用户根据具体情况决定是否需要 。
X - 明确不需要的,一般是病毒、间谍软件、广告等。
? - 暂时未知
对于自己不熟悉的不要轻易下结论,多查查就能熟悉起来。
一般而言,在用户及IE的临时目录下的启动项是有问题的。
SREng2.5版以后增加了对IFEO劫持的检测。一般IFEO劫持项是以集团的方式出现的,使得几乎所有的安全软件无法运行。例如
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File
Execution Options\avp.exe]
<IFEO[avp.exe]><C:\PROGRA~1\COMMON~1\MICROS~1\MSINFO\C3E65587.dat> []
这一项使打开卡巴斯基的主程序avp.exe的时候实际上运行的是C:\PROGRA~1\COMMON~1\MICROS~1\MSINFO\C3E65587.dat,从而起到屏蔽杀软的作用。对IFEO劫持项处理的建议是先删除起劫持作用的文件,再在SREng里逐项删除被劫持项。
3. 举例
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run]
<ctfmon.exe><C:\WINDOWS\system32\ctfmon.exe> [(Verified)Microsoft Windows Publisher]
这是Microsoft Office产品套装的一部分,它可以选择用户文字输入程序。
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run]
<IMJPMIG8.1><”C:\WINDOWS\IME\imjp8_1\IMJPMIG.EXE” /Spoil /RemAdvDef /Migratin32> [(Verified)Microsoft Windows Publisher]
<IMEKRMIG6.1><C:\WINDOWS\ime\imkr6_1\IMEKRMIG.EXE> [(Verified)Microsoft Winows Publisher]
<MSPY2002><C:\WINDOWS\system32\IME\PINTLGNT\ImScInst.exe /SYNC> [(Verified)icrosoft Windows Publisher]
<PHIME2002ASync><C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.EXE /SYNC> [(Verfied)Microsoft Windows Publisher]
<PHIME2002A><C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.EXE /IMEName> [(Veriied)Microsoft Windows Publisher]
以上是输入法组件。
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run]
<SoundMAXPnP><C:\Program Files\Analog Devices\SoundMAX\SMax4PNP.exe> [Analo Devices, Inc.]
<SoundMAX><C:\Program Files\Analog Devices\SoundMAX\Smax4.exe /tray> [Analo Devices, Inc.]
以上是Analog Device公司的SoundMAX声卡相关项。
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run]
<ATIPTA><”C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe”>
[ATI Technologies, Inc.]
这是ATI显卡控制面板。
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run]
<NvCplDaemon><RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup> [NVIDIA Corporation]
<nwiz><nwiz.exe /install> [NVIDIA Corporation]
<NvMediaCenter><RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit> [NVIDIA Corporation]
以上是NVIDIA显卡相关组件。
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run]
<AVP><”C:\Program Files\Kaspersky Lab\Kaspersky Internet Security 7.0\avp.exe”> [Kaspersky Lab]
这是卡巴斯基互联网安全套装的启动项。
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run]
<DAEMON Tools-2052><; “C:\Program Files\D-Tools\daemon.exe” -lang2052> [DAEMON'S HOME]
这是虚拟光驱Daemon Tools的启动项。
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run]
<TPKMAPMN><C:\Program Files\ThinkPad\Utilities\TpKmapMn.exe> []
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run]
<TPHOTKEY><C:\PROGRA~1\Lenovo\PkgMgr\HOTKEY\TPHKMGR.exe> []
<ACTray><C:\Program Files\ThinkPad\ConnectUtilities\ACTray.exe> [Lenovo ]
<ACWLIcon><C:\Program Files\ThinkPad\ConnectUtilities\ACWLIcon.exe> [Lenovo]
<TpShocks><TpShocks.exe> [(Verified)Lenovo (Japan) Ltd.]
<TPKMAPHELPER><C:\Program Files\ThinkPad\Utilities\TpKmapAp.exe -helper> [Lnovo]
<PWRMGRTR><rundll32 C:\PROGRA~1\ThinkPad\UTILIT~1\PWRMGRTR.DLL,PwrMgrBkGndMoitor> [Lenovo Group Limited]
<BLOG><rundll32 C:\PROGRA~1\ThinkPad\UTILIT~1\BatLogEx.DLL,StartBattLog> []
<TPKBDLED><C:\WINDOWS\system32\TpScrLk.exe> []
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\NotifyACNotify]
<WinlogonNotify: ACNotify><ACNotify.dll> [N/A]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notifytpfnf2]
<WinlogonNotify: tpfnf2><notifyf2.dll> []
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notifytphotkey]
<WinlogonNotify: tphotkey><tphklock.dll> []
以上是ThinkPad笔记本的相关启动项(所以本人最怕看本本的log,尤其是小黑的><)。
4. 疑难解析:
很多病毒木马的启动项都回冒充正常的系统组件,因此需要特别注意字母l和数字1的区别、字母o和数字0的区别等,对常见的系统进程所在的路径也要了解。例如ctfmon.exe是正常的,ctfm0n.exe、ctfnom.exe则是伪造的;在C:\Windows\System32下的ctfmon.exe是正常的,在C:\Windows下的则是假冒的,等等。一些常见的仿冒者还有svch0st.exe、scvhost.exe、rundl132.exe等。
对于rundll32.exe,很多恶意程序会通过这个加载,比如
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run]
<helper.dll><C:\WINNT\system32\rundll32.exe C:\PROGRA~1\3721\helper.dll,Rundll32>
这是3721的启动项,也是一般在进程里看到rundll32.exe的原因。
但并非所有通过rundll32.exe加载的都有问题,比如
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run]
<NvCplDaemon><RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup> [NVIDIA Corporation]
这一项是正常的NVIDIA显卡控制面板。
SREng会检查每一项的公司名,通过数字签名认证的会以(Verified)来标记,而没有通过认证的则没有(Verified)标记,至于显示为(N/A)的则是重点怀疑对象。但这也不是绝对的,很多时候后面显示公司为Microsoft的其实是病毒伪造的,甚至标记为 (Verified)也是有问题的,例如:
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon]
<Userinit><userinit.exe,EXPLORER.EXE> [(Verified)Microsoft Corporation]
位于下列位置的需要具体分析:
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run]
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run]
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\RunOnce]
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunOnce]
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\RunServices]
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunServices]
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\RunServicesOnce]
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunServicesOnce]
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunOnceEx]
在以下两个位置加载了进程的一般是有问题的:
[HKEY_CURRENT_USER\Software\Microsoft\Windows NT\CurrentVersion\Windows]
<load><> []
<run><> []
在以下两个位置加载了进程的一般是有问题的:
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run]
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run]
以下位置如果与默认不一样,通常是有问题的:
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon]
<shell><Explorer.exe> [Microsoft Corporation]
<Userinit><C:\WINDOWS\system32\userinit.exe,> [Microsoft Corporation] (注意userinit.exe后面有一个半角的逗号)
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Windows]
<AppInit_DLLs><> []
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon]
<UIHost><logonui.exe> [Microsoft Corporation]
对这几项的操作不是删除,而是编辑,将有问题的附加值删去。
但也有正常的,比如
<AppInit_DLLs><C:\PROGRA~1\KASPER~1\KASPER~2.0\adialhk.dll> [Kaspersky Lab]
这是卡巴斯基的;又如
<AppInit_DLLs><APIHookDll.dll> [N/A]
这是木马克星的。
以下三个位置如果有加载项,通常是问题项:
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ShellServiceObjectDelayLoad]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\SharedTaskScheduler]
例外有:
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ShellServiceObjectDelayLoad]
<WPDShServiceObj><C:\WINDOWS\system32\WPDShServiceObj.dll> [(Verified)Microsoft Windows Component Publisher]
这是Windows媒体播放器(Windows Media Player,WMP) 11的文件;又如
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks]
<{32CD708B-60A7-4C00-9377-D73EAA495F0F}><C:\WINDOWS\system32\RavExt.dll> [Beijing Rising Technology Co., Ltd.]
这是瑞星反病毒软件的。
更多已知没有问题的启动项请参见附录。
