SREng日志阅读指南(5)
SREng日志阅读指南(5)
正在运行的进程
btlulu原创文章
转载请保留此处:http://blog.btlulu.net/2007/12/16/srengloghelp5/
1. 项目说明:
这是SREng的log中非常重要的一部分,清晰地呈现出系统中正在运行的进程及其调用的dll(当然一些已经被认证的已经被过滤掉了)。
很多在启动项中没有体现的问题会在这里显示出来,因此千万不能漏过这一部分,尽管有时候这部分是最冗长乏味的。
2. 一般建议:
熟悉一般的系统进程,了解常用软件,不知道的google。
对于C:\WINDOWS\Explorer.EXE调用的dll文件要特别关注,尤其是那些既注入这个又注入到其他进程中去的,是最为可疑的。
3. 举例:
[PID: 280 / SYSTEM][\SystemRoot\System32\smss.exe] [Microsoft Corporation, 5.1.2600.2180 (xpsp_sp2_rtm.040803-2158)]
[PID: 328 / SYSTEM][\??\C:\WINDOWS\system32\csrss.exe] [Microsoft Corporation, 5.1.2600.2180 (xpsp_sp2_rtm.040803-2158)]
[PID: 352 / SYSTEM][\??\C:\WINDOWS\system32\winlogon.exe] [Microsoft Corporation, 5.1.2600.2180 (xpsp_sp2_rtm.040803-2158)]
[PID: 408 / SYSTEM][C:\WINDOWS\system32\lsass.exe] [Microsoft Corporation, 5.1.2600.2180 (xpsp_sp2_rtm.040803-2158)]
以上都是系统关键进程。
[PID: 1676 / lulu][C:\WINDOWS\hh.exe] [Microsoft Corporation, 5.2.3790.2453 (srv03_sp1_gdr.050525-1542)]
这是Windows的帮助程序。
[PID: 684 / SYSTEM][\??\C:\WINDOWS\system32\winlogon.exe] [Microsoft Corporation, 5.1.2600.2180 (xpsp_sp2_rtm.040803-2158)]
[C:\WINDOWS\system32\msacm32.drv] [Microsoft Corporation, 5.1.2600.0 (xpclient.010817-1148)]
[C:\WINDOWS\system32\742699E0.DLL] [Microsoft Corporation, ]
[PID: 728 / SYSTEM][C:\WINDOWS\system32\services.exe] [Microsoft Corporation, 5.1.2600.2180 (xpsp_sp2_rtm.040803-2158)]
[C:\WINDOWS\system32\742699E0.DLL] [Microsoft Corporation, ]
[PID: 740 / SYSTEM][C:\WINDOWS\system32\lsass.exe] [Microsoft Corporation, 5.1.2600.2180 (xpsp_sp2_rtm.040803-2158)]
[C:\WINDOWS\system32\742699E0.DLL] [Microsoft Corporation, ]
[PID: 908 / SYSTEM][C:\WINDOWS\system32\svchost.exe] [Microsoft Corporation, 5.1.2600.2180 (xpsp_sp2_rtm.040803-2158)]
[C:\WINDOWS\system32\742699E0.DLL] [Microsoft Corporation, ]
[PID: 956 / NETWORK SERVICE][C:\WINDOWS\system32\svchost.exe] [Microsoft Corporation, 5.1.2600.2180 (xpsp_sp2_rtm.040803-2158)]
[C:\WINDOWS\system32\742699E0.DLL] [Microsoft Corporation, ]
[PID: 1052 / SYSTEM][C:\WINDOWS\System32\svchost.exe] [Microsoft Corporation, 5.1.2600.2180 (xpsp_sp2_rtm.040803-2158)]
[C:\WINDOWS\system32\742699E0.DLL] [Microsoft Corporation, ]
[PID: 1132 / NETWORK SERVICE][C:\WINDOWS\system32\svchost.exe] [Microsoft Corporation, 5.1.2600.2180 (xpsp_sp2_rtm.040803-2158)]
[C:\WINDOWS\system32\742699E0.DLL] [Microsoft Corporation, ]
[PID: 1252 / LOCAL SERVICE][C:\WINDOWS\system32\svchost.exe] [Microsoft Corporation, 5.1.2600.2180 (xpsp_sp2_rtm.040803-2158)]
[C:\WINDOWS\system32\742699E0.DLL] [Microsoft Corporation, ]
[PID: 1472 / SYSTEM][C:\WINDOWS\system32\spoolsv.exe] [Microsoft Corporation, 5.1.2600.2180 (xpsp_sp2_rtm.040803-2158)]
[C:\WINDOWS\system32\742699E0.DLL] [Microsoft Corporation, ]
[PID: 1668 / Administrator][C:\WINDOWS\Explorer.EXE] [Microsoft Corporation, 6.00.2900.2180 (xpsp_sp2_rtm.040803-2158)]
[C:\Program Files\Common Files\Ahead\Lib\NeroSearchBar.dll] [Nero AG, 1, 5, 13, 0]
[C:\Program Files\Common Files\Ahead\Lib\MSVCR71.dll] [Microsoft Corporation, 7.10.3052.4]
[C:\Program Files\Common Files\Ahead\Lib\MFC71U.DLL] [Microsoft Corporation, 7.10.3077.0]
[C:\Program Files\Common Files\Ahead\Lib\MSVCP71.dll] [Microsoft Corporation, 7.10.3077.0]
[C:\Program Files\Common Files\Ahead\Lib\BCGCBPRO800u.dll] [BCGSoft Ltd, 8, 00, 0, 0]
[C:\WINDOWS\system32\msacm32.drv] [Microsoft Corporation, 5.1.2600.0 (xpclient.010817-1148)]
[C:\WINDOWS\system32\742699E0.DLL] [Microsoft Corporation, ]
[PID: 1788 / Administrator][C:\WINDOWS\system32\ctfmon.exe] [Microsoft Corporation, 5.1.2600.2180 (xpsp_sp2_rtm.040803-2158)]
[C:\WINDOWS\system32\742699E0.DLL] [Microsoft Corporation, ]
以上这段log片段是一例典型的进程注入,要在中止所有被注入的进程后删除C:\WINDOWS\system32\742699E0.DLL,或者使用强制删除工具进行删除。
4. 疑难解析:
要注意很多进程会冒充Microsoft Corporation。
特别注意显示为(N/A)的进程和模块。已知这一项是没有问题的:
[C:\WINDOWS\system32\msdmo.dll] [N/A, N/A]
还有一些也是正常的,可以通过所处的路径以及其他具有正常信息的相关模块来验证。
