加载中…
个人资料
Hades_Expolit
Hades_Expolit
  • 博客等级:
  • 博客积分:0
  • 博客访问:94,297
  • 关注人气:18
  • 获赠金笔:0支
  • 赠出金笔:0支
  • 荣誉徽章:
相关博文
推荐博文
谁看过这篇博文
加载中…
正文 字体大小:

对如何分析SREng扫描报告转自龙族

(2008-07-29 13:46:21)
标签:

it

分类: 木马帝国
解读报告的判断要点:
PS:下面的X是指盘符

1.熟悉各个正常的系统进程以及DLL文件(包括字母的顺序),需要强记于心。依据文件名判断
a.系统进程:
X:\WINDOWS\System32\smss.exe

X:\WINDOWS\system32\csrss.exe-----注意此项是否出现多余的字母

X:\WINDOWS\system32\winlogon.exe

X:\WINDOWS\system32\services.exe-----注意此进程的最后个字母是“S”

X:\WINDOWS\system32\lsass.exe

X:\WINDOWS\System32\svchost.exe-----此项进程尤为重要,但可能被病毒文件调用或者感染.
例:病毒进程X:\WINDOWS\System32\svchosts.exe 注意后面多了个“S”

X:\WINDOWS\System32\alg.exe

X:\WINDOWS\Explorer.EXE

X:\WINDOWS\system32\spoolsv.exe

X:\WINDOWS\system32\ctfmon.exe-----此项进程应该注意字母的顺序,发现有病毒进程伪装此进程.
例:病毒进程X:\WINDOWS\system32\ctfnom.exe 注意M和N的顺序

X:\WINDOWS\system32\nvsvc32.exe

X:\WINDOWS\system32\rundll32.exe---此项进程最易被病毒调用,但其也是一个很重要的进程很多程序都需要调用这个进程。
例:病毒进程X:\WINDOWS\system32\rundl132.exe----注意1和L的区别

X:\WINDOWS\system32\wdfmgr.exe----任务管理器的进程

X:\WINDOWS\system32\wuauclt.exe----系统自动升级的进程

X:\Program Files\Internet Explorer\iexplore.exe
此进程经常被病毒伪装
例:X:\Program Files\Internet Explorer\iexp1ore.exe 注意L和1的区别
    X:\Program Files\Internet Explorer\webm\iexplore.exe文件夹都变了,肯定有问题!


X:\WINDOWS\system32\wbem\wmiprvse.exe--用于通过WinMgmt.exe程序处理WMI操作

b.正常的文件:
X:\Program Files\Unlocker\UnlockerAssistant.exe----强制删除工具UNLOCKER的程序

X:\WINDOWS\system32\drivers\klif.sys

X:\WINDOWS\system32\drivers\kl1.sys----上面2项是卡巴的文件

X:\WINDOWS\system32\drivers\EagleNT.sys----安博士驱动文件

X:\WINDOWS\system32\klogon.dll><Intel Corporation>----卡巴的文件

X:\WINDOWS\system32\userinit.exe,----注意后面一定有逗号.

X:\WINDOWS\System32\hidserv.dll><N/A>----重要的系统文件

X:\WINDOWS\system32\drivers\klif.sys

X:\系统应用\瑞星杀毒\ExpScan.sys>----瑞星的文件

X:\WINDOWS\system32\shdocvw.dll----重要的系统文件

X:\系统应用\瑞星杀毒\HookReg.sys>----瑞星正常的文件

rpcapd.exe----联网的程序之一

X:\WINDOWS\System32\Drivers\sptd.sys><N/A>

X:\WINDOWS\system32\Mshtml.dll

X:\Program Files\Common Files\System\msadc\msadco.dll

X:\WINDOWS\system32\wmpdxm.dll

X:\WINDOWS\system32\wmp.dll

X:\WINDOWS\system32\Macromed\Flash\Flash9b.ocx----Flash按钮文件

<system32DRIVERSWudfPf.sys><Microsoft Corporation>----运行的库文件,用于支持ASP.NET

<system32DRIVERSwudfrd.sys><Microsoft Corporation>----运行的库文件,用于支持ASP.NET

X:\WINDOWS\System32\Drivers\Wsdrv.sys

X:\Program Files\Wopti\GWIOPM.sys--优化大师里面的文件

X:\Program Files\SogouInput\Plugin\SgImeWord.dll

X:\soft\GMon.exe--Eyou上网计费客户端,用于局域网的用户登录收费网关访问公网。

X:\virus\Vcrmon.exe----(驱逐舰)杀毒软件监控程序。

X:\WINDOWS\System32\drivers\kmsinput.sys---QQ游戏的反外挂相关程序

X:\WINDOWS\system32\SYNCOR11.DLL

X:\WINDOWS\System32\Drivers\dtscsi.sys

X:\Program Files\WinPcap\rpcapd.exe----联网程序

Oreans32.sys----WindowsARP防火墙单机版的文件,这项极易造成误删,搜索得到的结果全是木马病毒,请注意

X:\program files\rising\rfw\rfwproxy.exe--瑞星防火墙程序,没通过数字验证的正常文件

X:\WINDOWS\SYSTEM32\DRIVERS\3WAREDRV.SYS

X:\WINDOWSSystem32\DRIVERS\3waregsm.sys

X:\WINDOWSSystem32\DRIVERS\3WDRV100.SYS

X:\WINDOWS\System32\ATSpy.sys----金山毒霸文件

X:\WINDOWS\system32\drivers\KRegEx.sys----金山毒霸文件

X:\WINDOWS\system32\DRIVERS\quakedrv.sys          

X:\WINDOWS\system32\drivers\dump_wmimmc.sys

[SmartLinkService / SLService][Running/Auto Start]
<slserv.exe>----调制解调器连接相关程序
       
X:\WINDOWS\fsp.exe>----联想系统中的文件            

X:\WINDOWS\usblogon.exe----联想系统中的文件

X:\WINDOWS\system32\drivers\kmsinput.sys----腾迅反外挂相关程序

X:\WINDOWS\system32\drivers\PnpWmkDrv.sys----完美卸载相关驱动文件

X:\Program Files\Wom\gwiopm.sys----优化大师相关驱动文件

X:\WINDOWS\domino.exe----摄像头驱动文件

PS:system32\DRIVERS\npf.sys这项不要删除,删除之后可能无法上网

c.常出现的病毒文件:

npkcrypt.sys(病毒驱动:npkycryp.sys 多了个字母Y)

IEINFO5.sys----69262病毒中常出现的病毒驱动

isignup.sys---木马驱动

sbfyrn.exe----木马群中的主要程序

severe.exe----木马群中的主要程序
上面2项是顽固病毒文件,时常难以删除,并伴随劫持映像(劫持文件随机命名,大小31k。可能是exe或com文件.)

2.依据进程或者文件的公司名字进行判断

这个也是最快的办法,大多数报告依照这个方法进程判断。如瑞星等等的杀毒软件的文件都有
公司的标识,下面是常见的正常公司的名字(需要记忆):
[(Verified)Microsoft Corporation]--这种是通过数字签名的里面一般是正常文件,除了极个别的病毒文件也能通过数字验证.
[(Verified)N/A]----这种就有问题了,也许是正常文件但是没有公司属性,也有可能是病毒文件,需要自己判断.
正常的公司属性:

[北京紫光华宇软件股份有限公司, 5.0.0.5076]--紫光拼音的软件

[中文之星]

[Beijing Rising Technology Co., Ltd.] PS---常见的瑞星的目录\Rising\

<Autodesk, Inc.>

<Macrovision Corporation>

<Conexant>

<NVIDIA Corporation>--显卡驱动的公司

<Parallel Technologies, Inc.>

<Realtek Semiconductor Corporation>--声卡驱动的公司

<Adobe Systems Incorporated>

<VIA Technologies inc,.ltd>

[Kaspersky Lab]----卡巴斯基
<CMD Technology, Inc.><Intel Corporation>----英特尔公司

<LSI Logic Corporation.>

<Silicon Integrated Systems Corp.>

[奇虎网]--360安全卫士的网站

[Creative Technology Ltd, 1.0.1.0]----创新科技公司

<Jiangmin Co., Ltd.>--江民杀毒软件公司

<Protection Technology>

其实有些时候直接搜索文件不容易得到相关的信息,不过在搜索其公司之后会得出正确的判断。但是这样还有个弊端,有些病毒文件冒充<Macrovision Corporation>和Microsoft Corporation遇到这2个公司名的时候应百度下,不应该被伪装所麻痹!还有公司名是<N/A>的也需要仔细判断。

3.依据文件的路径进行判断
很多伪装的病毒文件和系统或者正常软件的名字是一样的,但是路径却不相同,如:
病毒文件路径:X:\Program FilesX:\Program Files\Internet\webm\iexplore.exe
本来正常的文件应该只在Internet下的但是却多了个webm的文件夹,所以肯定有问题。
4.依据文件夹判断
有些文件公司名是<N/A>或者没有的,应该根据其文件夹判断,象是瑞星的文件中就有这种,如
[X:\Program Files\Rising\Rav\SpamEng.dll] [N/A, 18, 0, 0, 6]
公司名字是没有的,只有通过文件夹判断!去搜索起文件夹即可。

补充:1.报告的开头有电脑系统的版本,如Windows XP Professional Service Pack 1 (Build 2600) 有些时候没解决问题 可要求其打SP2的补丁。
2.有些文件的是手工启动还是自动启动也是判断的方法之一。
3.有些文件经过以上的搜索之后没有得到相关的信息,如果看见崔老师的报告一定要进去看看
用来作为参考,并不一定要删除或者保留,要以自己的报告作为判断。
4.大多数病毒文件的公司都是<N/A>,应该引起注意!
5.rundl132.exe logo1_.exe是威金病毒的典型进程!
6.如果确实无法判断的话,可以请他把样本发上来进行检测。
7.确实无法判断的另外中方法,如果在百度中有7.8页的相关信息,就应该是正常的。反之,只有2.3页则文件肯定有问题。
8.安装Dreamweaver后,JS文件默认便是Dreamweaver打开了。(这时JS文件的关联是错误,可 以不用修复,这个是正常现象)
9.卡巴的80端口是web服务器上打开的,不是在自己的电脑上打开。
10.出现<KernelFaultCheck><%systemroot%\system32\dumprep 0 -k>    [N/A]的时候证明系统出过问题,这个服务是
向微软报错误日志的进程。
----------------------------------------------------------------
更新部分:
某类病毒驱动文件的一些特征
1.都是加载在X:\windows\system32\drivers下
2.百度搜索不到
3.没有通过微软签名认证

具体案例
1:延续了my123随机文件的一贯算法:
6位随机英文字母+2位数字。新发现一例:1个数字+3个英文字母+1个数字+3个英文字母

2:全数字
例如X:\WINDOWS\System32\drivers\81562.sys

3:8位随机英文字母
例如X:\WINDOWS\system32\drivers\ccajcdhi.sys

4:四位随机英文字母+下划线+随机英文字母
例如X:\WINDOWS\system32\drivers\gwcd_l.sys


插入进程的良民文件:
X:\WINDOWS\system32\msdmo.dll            <Microsoft>
X:\WINDOWS\system32\imon.dll             <NOD32>
X:\WINDOWS\System32\SYNCOR11.DLL        <SoundMAX>
X:\WINDOWS\system32\TcpIpDog.dll         <Drcom>
X:\WINDOWS\system32\EntApi.dll -          <Mcafee>
X:\WINDOWS\system32\uxtheme.dll            <Microsoft>
X:\WINDOWSsystem32\drivers\ADProt.sys--TX公司的广告驱动


使时间出错,从而使杀软失效的病毒程序:
[4559FDA2 / 4559FDA2][Stopped/Auto Start]
<X:\WINDOWS\system32\D97A73FB.EXE -g><Microsoft Corporation>

病毒在注册驱动项的时候没有用常见的方式直接将文件名写入VALUE而是用%s变量传递的方法。观察SRENG的日志,也会让人迷惑这丫的到底藏身在哪里?例如:
[yeaupu10 / yeaupu10][Stopped/Boot Start]
        <\SystemRoot\system32\\drivers\\system32\\drivers\\%s.sys.sys><N/A>
通过杀软的辅助提示信息,我们很容易就发现了真正的驱动文件还是在常见的 %systemroot%\system32\drivers 下,文件名为yeaupu10.sys。

文件关联
.TXT    Error. [C:\WINDOWS\system32\notep.exe %1]
.EXE    OK. ["%1" %*]
.COM    OK. ["%1" %*]
.PIF    OK. ["%1" %*]
.REG    OK. [regedit.exe "%1"]
.BAT    OK. ["%1" %*]
.SCR    OK. ["%1" /S]
.CHM    Error. ["hh.exe" %1]
.HLP    Error. [winhlp32.exe %1]
.INI    Error. [C:\WINDOWS\System32\NOTEPAD.EXE %1]
.INF    OK. [%SystemRoot%\System32\NOTEPAD.EXE %1]
.VBS    OK. [%SystemRoot%\System32\WScript.exe "%1" %*]
.JS     OK. [%SystemRoot%\System32\WScript.exe "%1" %*]
.LNK    OK. [{00021401-0000-0000-C000-000000000046}]
注意红色部分里面C:\WINDOWS\system32\notep.exe是病毒文件,造成文件关联错误,这类病毒极易看掉,请注意.

0

阅读 评论 收藏 转载 喜欢 打印举报/Report
  • 评论加载中,请稍候...
发评论

    发评论

    以上网友发言只代表其个人观点,不代表新浪网的观点或立场。

      

    新浪BLOG意见反馈留言板 电话:4000520066 提示音后按1键(按当地市话标准计费) 欢迎批评指正

    新浪简介 | About Sina | 广告服务 | 联系我们 | 招聘信息 | 网站律师 | SINA English | 会员注册 | 产品答疑

    新浪公司 版权所有