SRE报告解读
很早就想写,关于如何看SRE报告的⽂章。只是这东西,我觉得不是⽤⽂字,就能完全表达清楚的。
做为教程的第⼀帖,我先讲⼀下SRE报告的“结构”。掌握了结构,⼤家就不会对满屏的英⽂,感到头疼了。
第⼀讲
⼀。SRE报告整体结构说明
⼀份完整的 SRE 报告,分为如下 13 部分:ctrp
1. 注册表启动项⽬
2. 启动⽂件夹
茉莉花 英文3. 系统服务项⽬
4. 系统驱动⽂件
5. 浏览器加载项
6. 正在运⾏的进程(包括进程模块信息)
7. ⽂件关联
8. Winsock 提供者
9. Autorun.inf
10.HOSTS ⽂件
11.进程特权扫描
12.API HOOK
13.隐藏进程
其中,判断⼀台电脑,是否存在异常,主要是查看:
1. 注册表启动项⽬
3. 系统服务项⽬
4. 系统驱动⽂件
6. 正在运⾏的进程
8. Winsock 提供者
9. Autorun.inf
10.进程特权扫描
在这次的教程中,我先讲解第⼀项:注册表启动项⽬,的结构看法。
⼆。SRE报告——注册表启动项⽬,结构讲解
在任何⼀份SRE报告中,注册表启动项⽬,都有相同的结构,我下⾯随便举个例⼦:
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run]
[(Verified)Microsoft Windows 2000 Publisher]
第⼀⾏:[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run] ,代表的是:这个启动项⽬,在注册表中的详细位置。
2009全美音乐奖
第⼆⾏: [(Verified)Microsoft Win dows 2000 Publisher],由三部分组成:
1. ,这个项⽬,是指该启动项,在注册表中的名称。不同的启动项⽬,⾃然名称也不会相同。
2. ,这个项⽬,分两种情况:
⑴对于(经过验证的)系统关键⽂件,SRE则直接列出该项⽬的⽂件名称,⽽不给出相应的详细路径。这种⽂件,⼀般在后⾯都会标有“(Verified)”,我后⾯解释。
⑵对于普通⽂件,则会在这个项⽬中,给出详细的⽂件路径和名称,⽐如:c:\windows\s wide
在我们这次的例⼦中,是满⾜:⑴的。
引⽤:
说明:这个说法有误。
其实在此处,显⽰的就是该注册表键完整的键值,⽆论其是否是正常的⽂件或经过验证的⽂件。对于键值为相对路径的情况(如),系统⾃动遍历环境变量PATH中的⽂件夹列表,来查找⽂件。
by 轩辕⼩聪 08.06.15
3.[(Verified)Microsoft Windows 2000 Publisher],这项代表:该⽂件,是否含有“公司签名认证”
SRE这个软件,⾃⾝具备了对“系统关键⽂件”和⼀些“众所周知的软件的⽂件”(如:,, 等)的“验证检测”,凡是通过了检测的系统关键⽂件,SRE在公司名这⾥,都会标有:Verified,这个英⽂。
换个⾓度来说:在SRE报告中,凡是出现“Verified”这个英⽂的启动项⽬,都100%是正常的启动项⽬。
引⽤:
100%这个说法太绝对了。其实看被机器狗修改的⽂件就知道,有这个字样,但是没有公司名称,也是有问题的。
严格意义上来说,这叫“数字签名验证”,使⽤的是⼀定的对称散列算法。
by 轩辕⼩聪 08.06.15
总结⼀下,在SRE报告的:注册表启动项⽬中,虽然条⽬有很多,但是,全部都遵守这个结构:
si wa【启动项⽬的详细注册表位置】
【启动项⽬的名称】【启动项⽬对应的⽂件的详细路径】【公司签名】
我们再来看个例⼦,⼤家对照着,看⼀下:
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon]
[(Verified)Microsoft Windows 2000 Publisher]
看完这两⾏,⼤家应该得到如下结论:
●此启动项⽬名称:Shell
●此启动项⽬对应⽂件:
●此启动项⽬在注册表中对应的位置:HKEY_LOCAL_MACHINE\Software\Microsoft\Windows
NT\CurrentVersion\Winlogon
●公司签名:Microsoft Windows 2000 Publisher
●是否经过SRE“验证”:是(因为有Verified)
引⽤:
Microsoft Windows 2000 Publisher在这⾥不⽌是公司的名称。系统⽂件的版本信息中可见的公司名称,其实是Microsoft Corporation
然⽽对于系统⽂件,SREng可以显⽰更具体的细节,因此这⾥显⽰的是这样⼀个结果。可以发现,SREng2.5和2.6在这个地⽅显⽰的结果不同。
by 轩辕⼩聪 08.06.15
三。启动项⽬的“特例”
1. 咱们上⾯讲的,是标准的启动项⽬信息,有些⽂件的启动项⽬,稍微“拐了⼀个弯”,我们来看个例⼦,我再讲解:[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run]
[NV IDIA Corporation]
这个启动项⽬,算是⽐较复杂的了,但还算是够常见,第⼀⾏,不解释了。。。。。。。主要解释第⼆⾏的中间:
和我们上⾯讲解的结构不同。这个启动项⽬,具有⼀层隐含意思。在windows中,DLL类型的⽂件(动态数据库链接⽂件),是不能⾃⼰独⽴运⾏的。它必须找“载体”来运⾏。在w indows系统中,运⾏ DLL 类型的⽂件的载体,就是:。
所以,我们分析⼀下上⾯那⾏⽂件信息:RUNDLL32.EXE C:\WINNT\system32\NvMcTray.dll, NvTaskbarInit
意思就是:C:\WINNT\system32\NvMcTray.dll,这个真正的启动⽂件,正在依靠 RUNDLL32. EXE,这个程序,进⾏启动。
对于这种启动项⽬,在⽂件详细信息这⾥,其结构就发⽣了变化,变为:载体主运⾏⽂件的详细位置。这个⼤家能理解就⾏了。
在windows系统中,载体,不⽌包括:,常见的,还包括:,⼤家照猫画虎,应该可以想到的。
引⽤:
在这⾥更加正确和根本的解释是:
键值所显⽰的,是系统按此项启动时,执⾏的命令⾏。
因此这⾥说的实际上是命令⾏的构成。
这⾥其实是启动,把dll名和其他相应参数作为命令⾏(CommandLine)参数传递。
by 轩辕⼩聪 08.06.15
2. 在windows系统中,有⼀项及其特殊的启动项⽬,其名称为:AppInit_dlls
对于这个键值,正常的情况是:该项⽬的值,为空。也就是说,正常的电脑,这个启动项⽬,应该是这样的:
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Windows]
<> [N/A]
如果在⼀份报告中,此项的“⽂件信息”,这个位置,出现东西,则分两种情况考虑:
★被美化软件,修改
⽬前许多朋友,都喜欢通过美化软件,来美化系统。据我所知,有些⾼级美化软件,为了达到彻底美化系统的效果,会修改此键值,典型的软件:Windows Blinds
这款软件安装后,此项⽬的值被修改为:wbsys.sys。⼤家知道就⾏了。
注意:此项注册表启动信息,绝对不能删除,只能在SRE中,双击-进⼊编辑模式,然后把⾥⾯的⽂件名称去掉,留为空值,就可以了。
★被病毒修改。
遇到上⾯的美化情况,可以问⼀下电脑的使⽤者,是否美化了系统,使⽤了什么美化软件。如果没有⽤,⽽且,此键值出现了⽂件信息,则中毒的⼏率⾮常⼤。⽐如下⾯的例⼦:[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows
NT\CurrentVersion\Windows]
[N/A]
cui如果这个启动项⽬,出现在报告中,必须要引起100000000000%的⾼度重视,必须看清是空值(即正常值),还是有其他信息。
判断⽅法:看这个⽂件(如我的例⼦中的:kamabas.dll),是不是在报告的“正在运⾏的系统进程”,中,插⼊了⼤部分进程。如果是:则100%为病毒。(后⾯我会再次讲到的)引⽤:
这⾥的说法⽐较笼统。
实际上,这⼀个键值显然不是为了病毒⽽存在的^-^
这个键值的作⽤,是每⼀个进程启动加载ur32.dll的时候,会⾃动加载这个键值中保存的所有dll
美化软件就是使⽤这样的功能,对所有使⽤图形界⾯的程序的窗⼝进⾏改造。
只是为了能被所有加载ur32.dll的进程加载,就可以使⽤这些项⽬,包括某些杀毒软件。SREng对于此项⾮空的提⽰,并不表⽰⼀定是病毒造成的问题,应谨慎判断。
by 轩辕⼩聪 08.06.15
四。启动项⽬“通⽤正常启动信息”
芝加哥公牛英文对于windows XP 系统,在任何⼀台电脑上,都有如下启动信息,这些信息都是正常信息,
看到后⽆须判断,直接精简掉:
1.[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Active Setup\Installed Components\>{26 923b43-4d38-484f-9b9e-
de460746276c}]
<%systemroot%\ OCInstallUrConfigIE> [N/A]
2.[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Active Setup\Installed Components\>{88 1dd1c5-3dcf-431b-b061-
f3f88e8be88a}]
<%systemroot%\ OCInstallUrConfigOE> [N/
A]
3.[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Active Setup\Installed Components\{2C7 339CF-2B09-4501-B3F3-
F3508C9228ED}]
<%SystemRoot%\ /s /n /i:/UrInstall %System Root%\system32\themeui.dll> [N/A]
the way it ends
4.[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Active Setup\Installed Components\{44B BA840-CC51-11CF-AAFA-00AA00B6015C}]
<"%ProgramFiles%\Outlook " /APP: OE /CALLER:WINNT /ur /install> [N/A]
5.[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Active Setup\Installed Components\{44B BA842-CC51-11CF-AAFA-00AA00B6015B}]
[(Verified)Microsoft Windows Publisher]
6.[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Active Setup\Installed Components\{594 5c046-1e7d-11d1-bc44-
00c04fd912be}]
[(Verified)Microsoft Windows Publisher] 7.[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Active Setup\Installed Components\{6BF 52A52-394A-11d3-B153-00C04F79FAA6}]
INDOWS\INF\wmp11.inf,PerUrStub> [(Verified)Microsoft Windows Component Publis her]
8.[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Active Setup\Installed Components\{779 0769C-0471-11d2-AF11-
00C04FA35D02}]
<;通讯簿 6><"%ProgramFiles%\Outlook " /APP:WAB /CALLER:WINNT /ur /install> [N/A]
9.<; C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.EXE /IMEName> [N/A]
10.<; C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.EXE /SYNC> [N/
A]
11.<; "C:\WINDOWS\IME\imjp8_1\IMJPMIG.EXE" /Spoil /RemAdvDef /Migra tion32> [(Verified)Microsoft Windows Publisher]引⽤:
在这⾥原作者没有很好的解释(或许他⾃⼰也不太清楚)这⼀项⽬的作⽤,可能导致有些读者因此认为Installed Components 项⽬的检测是“鸡肋”。
在此可以告诉⼤家,全然不是这样,这个项⽬是我们当时极⼒向smallfrogs建议加⼊的项⽬。
虽然在⼤部分情况下这个项⽬下不会存在异常,然⽽这个项⽬仍然作为⼀个可以启动的位置,⽽且是相⽐之下极为隐蔽的位置,彩虹桥等⽊马就曾藏⾝于此,特别因为此⽊马是远程注⼊⽆进程的,因此⼀段时间内甚难以发现其踪迹。因此此项绝⾮虚设。
by 轩辕⼩聪 08.06.15
五。关于 IFEO,在此项⽬中的反映。
请提前参考:IFEO技术介绍:/doc/a816699655.html
/blog/static/44819481200781 8115139284/
在SRE报告的——注册表启动项⽬中,如果出现:
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Exe cution Options]
则证明有IFEO,劫持情况出现,这种情况,我在以前的⽇志写过了,根据下⾯的⽂件信息,挑出病毒⽂件。留着后⾯删除。最后,⽤System Detector,这个软件,⼀键修复即可。举例,⼤家看⼀下,是这样的:
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Exe cution
]
[]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Exe cution ] []
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Exe cution ] []
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Exe cution
]
[]
典型的IFEO类病毒,参考的SRE报告:/doc/a816699655.html
/blog/static/44819 48120078299324191/
(⼤部分安全类软件,都被“IFEO”了)
我简单解释⼀下“第⼆⾏”:
:意思是,利⽤IFEO技术,劫持正常的⽂件名为: 的⽂件。
:这个就是劫持的主体
了,⽂件名可以看出来吧?
说⽩了,上⾯的最后2⾏,意思就是:当碰到这个⽂件的时候,则改为执⾏:,这个⽂件。。。。
引⽤:
准确地来说,是当被IFEO劫持的程序执⾏时,系统转⽽调⽤⽬标程序,并把被IFEO劫持程序执⾏时的完整命令⾏作为命令⾏参数加在后⾯进⾏传递。
因此当被IFEO劫持程序与⽬标程序是同⼀个时,将导致此过程不停地循环,最终使命令⾏长度超过系
统限制⽽使操作失败。
by 轩辕⼩聪 08.06.15
mcx六。如何挑选,区分正常,和不正常的启动项⽬。
1.正常的系统⽂件,在不正常的⽂件位置。(正常的位置,相似的名称)气缸体
