SREng日志阅读指南(6)

2007年12月16日 | 分类: 晒晒 | 标签:
发表评论 | Trackback

SREng日志阅读指南(6

其他项

btlulu原创文章

转载请保留此处:http://blog.btlulu.net/2007/12/16/srengloghelp6/

1. 文件关联

SREng提示的error项,通常需要修复。例外:关联的应用程序是自己安装的。

例如

.EXE ERROR. [soundmix.exe "%1" %*]

这里exe文件关联被木马soundmix.exe被修改了。


2. Winsock 提供者

对应hijackthisO10项。

log 提示的文件搜索。确认是恶意添加的。

处理方法:

可以用SREng 修复:“系统修复”-winsock供应者”-“重置所有内容为默认值”;

也可以使用lspfix删除对应文件,最后再用winsockxpfix修复一下。以上操作均需重启系统并重新设置网络连接。

3. Autorun.inf

近期肆虐的通过移动存储设备传播的autorun型病毒木马,直接删除autorun.inf及其对应的病毒木马程序。

注意,千万不要使用右键“打开”或“资源管理器”,因为这样在碰到这种情形时与直接双击分区根目录没有什么两样:

Autorun.inf

[D:\]

[AutoRun]

open=cjlguqc.exe

shell\open=打开(&O)

shell\open\Command=cjlguqc.exe

shell\open\Default=1

shell\explore=资源管理器(&X)

shell\explore\Command=cjlguqc.exe

这时应该直接通过资源管理器的左侧导航栏进行浏览。

4. HOSTS 文件

没什么好说的,在SREng中“系统修复”-HOSTS 文件”中保留“127.0.0.1 localhost”,其它的全部删除 。当然,自己添加的除外。

5. 进程特权扫描

Windows 里面,为了执行一些可能会影响到整个系统的操作而需要的特殊权限被称为特权。利用这个功能,会检查系统里面所有进程的特权,因为正常情况下,用户进程程序的正常使用是不需要特殊特权许可的,如果发现一个进程开启了特殊的特权许可,那么说明这个进程是非常可疑的。这个时候就需要检查这个进程对应的可执行文件和在这个进程里面的模块信息了。

6. API HOOK

鉴于很多计算机病毒(如灰鸽子后门程序等)采用 Win32 API HOOK 技术来达到隐藏自身的目的,SREng2.3版本开始正式提供对Win32 API HOOK 检测的支持。

API 函数名里面含有EnumQueryFirstNext字符字样的所有API均属于需要特别关注的API。如:

FindFirstFileA

FindFirstFileW

FindFirstFileExA

FindFirstFileExW

FindNextFileA

FindNextFileW

RegEnumKeyA

RegEnumKeyW

一些正常的安全软件也会对一些API进行HOOK操作以实现安全监控功能。这类软件一般都会有明确的标示信息,例如拥有自己的数字签名或文件是存在在厂商自己的软件安装目录之下。

对于使用驱动程序进行 HOOK 的软件,例如 Kaspersky Antivirus 6.X,受制于操作系统的权限控制限制,SREng无法获得具体的文件路径,而只能显示HOOK指向的目标地址。以下是卡巴斯基7.0API HOOK,这是正常的,不必理会SREng的提示:

RVA 错误: LoadLibraryA (危险等级: , 被下面模块所HOOK: \??\C:\WINDOWS\system32\drivers\klif.sys)

RVA 错误: LoadLibraryExA (危险等级: , 被下面模块所HOOK: \??\C:\WINDOWS\system32\drivers\klif.sys)

RVA 错误: LoadLibraryExW (危险等级: , 被下面模块所HOOK: \??\C:\WINDOWS\system32\drivers\klif.sys)

RVA 错误: LoadLibraryW (危险等级: , 被下面模块所HOOK: \??\C:\WINDOWS\system32\drivers\klif.sys)

RVA 错误: GetProcAddress (危险等级: , 被下面模块所HOOK: \??\C:\WINDOWS\system32\drivers\klif.sys)

7. 隐藏进程

隐藏进程指通过常规方法(例如使用Windows自带的任务管理器)无法发现的进程。被隐藏的进程一般都属于高危进程,最典型的例子是计算机病毒。

SREng2.5版本开始增加了隐藏进程的实验性探测功能。

用户可以使用 Taskkill 命令结束隐藏的进程。如果隐藏进程的PID252,那么可以使用taskkill /PID 252命令去结束这个隐藏的进程。

目前还没有任何评论.