SREng日志阅读指南(3)
SREng日志阅读指南(3)
服务和驱动
btlulu原创文章
转载请保留此处:http://blog.btlulu.net/2007/12/16/srengloghelp3/
1. 项目说明:
作为一类特殊的程序,服务备受关注。虽然 Windows 本身提供了强大的服务配置管理界面,但是这个界面并不允许用户删除服务,也不能隐藏由 Microsoft 自己发行的服务。从简化系统管理的角度出发,SREng加入了服务配置界面,允许用户删除非 Microsoft 发现的服务和改变所有服务的启动类型。考虑到操作系统本身提供了很多的服务,大多数情况下并不需要显示这些服务,因此设置了一个隐藏已认证的微软服务的选项,选中这个选项以后将隐藏掉所有的由微软发现的服务,在进行智能扫描的时候也会自动过滤已认证的微软服务。
在SREng 2.3及其后的版本中,服务配置模块被分为两类:Win32服务应用程序和驱动程序。对于服务宿主是SVCHOST.EXE的服务,SREng可以直接把服务对应的DLL文件列出并给出具体的信息。
2. 一般建议:
熟悉各种常见杀毒软件、防火墙、虚拟机及其它应用软件,某些品牌的笔记本自带的服务,各种硬件设备如显卡、声卡、网卡、无线网卡、蓝牙设备、摄像头、打印机及读卡器等添加的服务和驱动,利用log显示的公司名以及相关路径等进行判断,不认识的google。有些服务可以在这里查询到:http://www.castlecops.com/O23.html。
相对于注册表的启动项目,服务和驱动有更多正常的项无法被SREng所识别,因此对显示为(N/A)的项要非常小心,建议牢记附录中所提到的正常的服务及驱动。
服务及驱动一般有四种启动类型:Disabled、Manual Start、Auto Start和Boot Start,后两者问题较多,要特别关注。但也不是说Manual Start的就一定没有问题,决不能掉以轻心。
一般而言,文件名是全数字或随机字母的服务或驱动是有问题的。
3. 举例:
[Symantec Event Manager / ccEvtMgr][Running/Auto Start]
<”c:\Program Files\Common Files\Symantec Shared\ccEvtMgr.exe”><Symantec Corporation>
[Symantec Settings Manager / ccSetMgr][Running/Auto Start]
<”c:\Program Files\Common Files\Symantec Shared\ccSetMgr.exe”><Symantec Corporation>
[Symantec AntiVirus Definition Watcher / DefWatch][Running/Auto Start]
<”c:\Program Files\Symantec AntiVirus\DefWatch.exe”><Symantec Corporation>
[LiveUpdate / LiveUpdate][Stopped/Manual Start]
<”C:\PROGRA~1\Symantec\LIVEUP~1\LUCOMS~1.EXE”><Symantec Corporation>
[SavRoam / SavRoam][Stopped/Manual Start]
<”c:\Program Files\Symantec AntiVirus\SavRoam.exe”><symantec>
[Symantec Network Drivers Service / SNDSrvc][Stopped/Manual Start]
<”c:\Program Files\Common Files\Symantec Shared\SNDSrvc.exe”><Symantec Corporation>
[Symantec SPBBCSvc / SPBBCSvc][Running/Auto Start]
<”c:\Program Files\Common Files\Symantec Shared\SPBBC\SPBBCSvc.exe”><Symantec Corporation>
[Symantec AntiVirus / Symantec AntiVirus][Running/Auto Start]
<”c:\Program Files\Symantec AntiVirus\Rtvscan.exe”><Symantec Corporation>
以上都是Symantec AntiVirus的服务(可见诺顿占用资源不少啊)。
[McAfee Framework Service / McAfeeFramework][Stopped/Auto Start]
<”C:\Program Files\McAfee\Common Framework\FrameworkService.exe” /ServiceStart><McAfee, Inc.>
[McAfee McShield / McShield][Stopped/Auto Start]
<”C:\Program Files\McAfee\VirusScan Enterprise\mcshield.exe”><McAfee, Inc.>
[McAfee Task Manager / McTaskManager][Stopped/Auto Start]
<”C:\Program Files\McAfee\VirusScan Enterprise\vstskmgr.exe”><McAfee, Inc.>
以上是McAfee的服务。
[卡巴斯基反病毒7.0个人版 / AVP]
<”C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus 7.0\avp.exe” -r><Kaspersky Lab>
这个是卡巴斯基反病毒软件的服务。
[RegSrvc / RegSrvc][Running/Auto Start]
<C:\Program Files\Intel\Wireless\Bin\RegSrvc.exe><Intel Corporation>
[Spectrum24 Event Monitor / S24EventMonitor][Running/Auto Start]
<C:\Program Files\Intel\Wireless\Bin\S24EvMon.exe><Intel Corporation>
[WLANKEEPER / WLANKEEPER][Running/Auto Start]
<C:\Program Files\Intel\Wireless\Bin\WLKeeper.exe><Intel? Corporation>
这是无线网卡相关配置及检测服务。
[d347bus / d347bus][Running/Boot Start]
<\SystemRoot\system32\DRIVERS\d347bus.sys><>
[d347prt / d347prt][Running/Boot Start]
<\SystemRoot\System32\Drivers\d347prt.sys><>
这是虚拟光驱Daemon Tools的驱动。
[npkcrypt / npkcrypt][Running/Auto Start]
<\??\D:\Program Files\QQ\npkcrypt.sys><INCA Internet Co., Ltd.>
这是腾讯QQ的键盘密码保护驱动。
[Service for Realtek AC97 Audio (WDM) / ALCXWDM]
<system32\drivers\ALCXWDM.SYS><Realtek Semiconductor Corp.>
这是Realtek声卡的驱动。
[kl1 / kl1]
<\SystemRoot\system32\drivers\kl1.sys><Kaspersky Lab>
[klif / klif]
<\??\C:\WINDOWS\system32\drivers\klif.sys><Kaspersky Lab>
这是卡巴斯基的驱动。
[Secdrv / Secdrv][Stopped/Manual Start]
<system32\DRIVERS\secdrv.sys><N/A>
这是Macrovision SECURITY Driver。
[StarForce Protection Environment Driver (version 1.x) / sfdrv01][Running/Boot Start]
<\SystemRoot\System32\drivers\sfdrv01.sys><Protection Technology>
[StarForce Protection Helper Driver (version 2.x) / sfhlp02][Running/Boot Start]
<\SystemRoot\System32\drivers\sfhlp02.sys><Protection Technology>
[StarForce Protection Synchronization Driver (version 2.x) / sfsync02][Running/Boot Start]
<\SystemRoot\System32\drivers\sfsync02.sys><Protection Technology>
以上是StarForce防拷程序的驱动,很多游戏会用到。
4. 疑难解析:
很多病毒和木马的服务会使用与系统服务非常相似的名称,要注意甄别。
公司名为Microsoft的服务和驱动鱼龙混杂,而很多时候google无法发现有价值的线索,这时建议到search.microsoft.com进行检索,检索时要在首选语言中选上英文,在这里能找到一般才可以认为是正常的。
对于宿主是svchost.exe的服务,大部分是可疑的,需要进一步检查对应的dll文件。已知正常的有下面几项:
[Human Interface Device Access / HidServ][Stopped/Disabled]
<C:\WINDOWS\System32\svchost.exe -k etsvcs–>%SystemRoot%\System32\hidserv.dll><N/A>
[Windows Driver Foundation - User-mode Driver Framework /WudfSvc][Stopped/Manual Start]
<D:\WINDOWS\system32\svchost.exe -k WudfServiceGroup–>%SystemRoot%\System32\WUDFSvc.dll><Microsoft Corporation>
利用rundll32.exe来加载在也有很多,比如灰鸽子就是
[Performance Moniter / BARCASE]
<C:\WINDOWS\SYSTEM32\RUNDLL32.EXE C:\WINDOWS\SYSTEM32\WBEM\IRJIT.DLL,Export 1087><N/A>
[Network IPSEC Connections / SHipING][Running/Auto Start]
<C:\WINDOWS\SYSTEM32\RUNDLL2000.EXE C:\WINDOWS\SYSTEM32\WBEM\ZFEUQ.DLL,Export 1087><Microsoft Corporation>
[Local Connection Manager / DiRVIn][Running/Auto Start]
<C:\WINDOWS\SYSTEM32\RUNDLL2KXP.EXE
C:\WINDOWS\SYSTEM32\WBEM\AMTAD.DLL,Export 1087><Microsoft Corporation>
[Performance Moniter / iSPONER][Stopped/Auto Start]
<C:\WINDOWS\SYSTEM32\RUNDLLFOROUR.EXE C:\WINDOWS\SYSTEM32\WBEM\BAZZR.DLL,DllRegisterServer 1087><Microsoft Corporation>
以上例子中,RUNDLL2000.EXE、RUNDLL2KXP.EXE、RUNDLLFOROUR.EXE也都不是什么好东西。
越来越多的恶意程序使用驱动保护自己,如:
[cdnprot / cdnprot] [Stopped/Boot Start]
<\SystemRoot\system32\drivers\cdnprot.sys><N/A>
[cdntran / cdntran ][Stopped/Boot Start]
<system32\drivers\cdntran.sys><CNNIC>
[CnsMinKP / CnsMinKP][Running/Boot Start]
<\SystemRoot\system32\drivers\CnsMinKP.sys><Copyright (C) 3721 Corporation.>
这种以cdn和cns开头的驱动是大流氓中文上网的驱动,由于启动类型是Boot Start,安全模式下也会加载,这也是这些流氓较难被清除的原因之一。
