解读SREng扫描报告（转载）

於陵闲云

转载 bark 的 解读SREng扫描报告
原文链接：http://hi.baidu.com/rmp3/blog/item/b72c5d4e73938909b2de0520.html
第一次发表于 2006-11-24
摘要：本文介绍了如何利用相应的工具进行手动查杀病毒的操作方法，通俗易懂。
SREng扫描报告的个人见解 by bark[流氓怕武术]

解读SREng扫描报告(原创）2006-11-24 02:45
SREng扫描报告的个人见解

第一部分：
启动项目：这部分是系统注册表里系统正常启动时的加载项，xp 系统点开始－运行－msconfig-就可以看到下面的大部分内容。传统的病毒木马会加载到这里。我们设置为自动启动的一些软件的启动项也加载到这里。比如防火墙，杀毒软件，等等。这些东东在安全模式不会被启动。
注册表
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run]


[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run]


[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon]


[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Windows]

……

==================================
第二部分：
启动文件夹：就是开始菜单里的启动下面的 东东，一般病毒和木马不会幼稚到这个地步，这里一般是空的。这些东东在安全模式不会被启动。
N/A

==================================
第三部分：
服务：就是我们在“管理－服务和应用程序”里面能看到的加载的服务。这些东东在安全模式不会被启动。现在病毒木马流氓的首选隐藏之处。去年还不流行。
一般的菜鸟不会到这里查看有什么不对头的地方。即使看到了也不敢怀疑，他们的描述有很大迷惑性，比如“为系统启动提供加速功能”就是最流行的流氓服务，弹出网页的一般是这个。这些东东在安全模式不会被启动。
病毒服务的特征：
1·被rundll32.exe、Svchost.exe等系统进程调用；
2·【】内的前后两项内容相同；
3·所属公司为<N/A>或假冒<Microsoft Corporation>
4·启动文件指向系统目录
凡是有以上特征之一的 ，我们都要怀疑。
例：
[RestoreService / RestoreService]
<C:\WINDOWS\system32\Svchost.exe -k RestoreService-->C:\WINDOWS\system32\drivers\service.dll><N/A>
[Standard Update Net Service / stdupnet]
<C:\WINDOWS\system32\rundll32.exe C:\WINDOWS\system32\stdupnet.dll,Service -s><Microsoft Corporation>
[VisionService / VisionService]
<C:\WINDOWS\system32\rundll32.exe C:\PROGRA~1\vision\VISVER.DLL,Service><Microsoft Corporation>

==================================
第4部分：
驱动程序：目前最流行的流氓行为！这些东东在安全模式也会被启动加载，并自我保护不被删除。
病毒驱动的特征：
1·名字随机所以怪异，尤其是包含数字的要注意
2·一般在\SystemRoot\system32\drivers\目录下
3·【】内的前后两项内容相同；
4·所属公司为<>·<N/A>或假冒<Microsoft Corporation>，其他的一般不是（也有例外）
例：
[000057b3 / 000057b3]
<\SystemRoot\system32\drivers\000057b3.SYS><N/A>

[cdnprot / cdnprot]
<\SystemRoot\system32\drivers\cdnprot.sys><N/A>

[cdntran / cdntran]
<system32\drivers\cdntran.sys><CNNIC>

[npkycryp / npkycryp]
<\??\C:\Program Files\Tencent\qq\npkycryp.sys><N/A>

[vydozqfz / vydozqfz]
<\SystemRoot\system32\drivers\vydozqfz.sys><>

==================================
第5部分：
浏览器加载项：这里是加载的插件，有背景的大流氓软件热爱。但打开IE浏览器后可以直观看到，小流氓和木马病毒不敢也不愿这么明显。
例：
[Cbho Object]
{352E3B3A-CAB5-4DBC-B940-C7F84D0447D8} <C:\PROGRA~1\CNNIC\Cdn\cdndrag.dll, CNNIC>
[用QQ彩信发送该图片]
<C:\Program Files\Tencent\qq\SendMMS.htm, N/A>
[访问通用网址]
<C:\Program Files\CNNIC\Cdn\cnnic.htm, N/A>

==================================
第6部分：
正在运行的进程
这里是很关键的部分，也是内容最多最乱的部分。凡是系统中正在运行的进程和调用的dll文件在这里一览无遗。
我们要特别注意以下进程调用的dll文件：
C:\WINDOWS\Explorer.EXE

如果一个dll文件注入上面的进程，同时又注入其他进程，就要特别照顾他一下了 。一般的流氓是一定要注入这个进程的。




睡眠状态；有不足之处；待改正。




[ 本帖最后由 於陵闲云 于 2007-11-28 16:22 编辑 ]

fsr717af

呵呵  楼主辛苦了
正好用的着  研究研究   谢谢了

[ 本帖最后由 fsr717af 于 2007-11-28 16:25 编辑 ]

hh_wjg

喔，明白了

tiancai2nd

嗯！虽然常看SRENG的日志，还是觉得看得没有系统性，又乱又累！
这篇转帖的内容还是不错的。大家共同学习进步

huxiqiuzhen

不错,支持一下
感觉明白不少