查看: 2956|回复: 10
收起左侧

[求助] SREng入门教程

[复制链接]
yongmin
发表于 2009-1-31 09:41:53 | 显示全部楼层 |阅读模式
我不太喜欢加一些耸人听闻的标题,但是SREng(System Repair Engineer)绝对担当的起这些震憾性的标题,SREng由KZTechs.COM的站长编写的系统信息分析工具.本人水平有限,在这里简单介绍一下SREng的基本使用,希望大家能够尽快熟悉这把绝世好剑.
    一直以来,最好的清除恶意软件的程序,不是杀毒软件,而是和SREng同类型的分析型工具.他们几乎把系统的所有可疑物全部列在我们的面前,由我们来做最后的甄别.当然了,这又是对技术的一项要求,但是,SREng是现有的工具中操作最简单,智能识别能力最好的软件,只要你够细心,一定能够发现恶意程序在系统中的蛛丝马迹.
-----------------原作者简介--------------------
附原作者简介
什么是 System Repair Engineer?
         System Repair Engineer (SREng) 是一款计算机安全辅助和系统维护辅助软件。主要用于发现、发掘潜在的系统故障和大多数由于计算机病毒造成的破坏,并提供一系列的修改建议和自动修复方法。 该软件是由 KZTechs.COM 网站站长 Smallfrogs 开发的,能够运行在所有主流的 Windows 操作系统上。
         在 System Repair Engineer (SREng) 的帮助下,您可以自己诊断您操作系统可能存在的普遍性问题,即使您是计算机的初学者,您也可以使用 System Repair Engineer (SREng)  的智能扫描功能将您系统的概况生成一份简要的日志,然后将该日志传送给对操作系统熟悉的朋友或网友,在他们的帮助下解决您系统可能存在的问题。
-------------------原作者简介结束--------------------
     废话少说,开始.
     打开SREng,该软件为绿色,免费软件,软件下载地址:
     http://www.kztechs.com/sreng/download.html
      软件主界面(图0)  



      软件打开之后,就立刻开始检查被修改的系统函数,如图1.  



点击查看详情,会弹出对话框,可以在这里查看所有被被修改的函数.(图3)  



     这幅例图我使用作者提供的被灰鸽子修改了入口的报警图,这样更明显一些,修复了例图中的入口点之后,在服务里就能看到原来隐藏的灰鸽子服务端.OMG,太强悍了.
     请大家务必仔细阅读这篇帮助,但请注意不是所有的修改都是恶意的,系统优化软件等等都可能造成系统入口函数改变.如超级兔子就会根据优化内容修改.
--------小知识:什么是API HOOK-----------
原文地址http://www.kztechs.com/sreng/help2/apihook.htm
    这里我简单总结一下,API就像一个组件库,程序员可以通过自己的核心代码+API这种组件的方式来轻松完成需要更多自主代码才能完成的程序功能,API是Windows系统特有的技术,属于正常的系统文件.而APIHOOK就是一种用于改变API函数结果的技术.说到这里,大家也就明白这个东西为什么这么重要了,修改系统,这不就是恶意软件的最终目的吗?
----------小知识结束------------------------------
      继续,SREng的主菜单非常简单,一个是工具,一个是帮助.
      工具菜单下只有一个检查新版本是需要我们经常检查的.选项可以保持默认.发稿时我使用的是2.4.12.806版本.如果你有兴趣,可以向作者索取2.5.13.896的测试版.
      左侧的第一个工具按钮关于SREng,其实就是一个简单的介绍文件,过.
      启动项目,系统修复,智能扫描这三个是软件的核心功能,我们一个一个看.
     一. 点击启动项目,图4  



      在这里,我们能够看到几乎所有的启动项,第一个显示的就是注册表标签,最常见的病毒和木马启动隐藏项.ok,不需要的删除吧,不要再抱怨你的机器启动速度过慢了.如果出现红色标记的文件,后面却没有明确的文件,就需要注意一下了,我的意见很简单,可以把它们删掉,实际上,启动项里全空也不影响系统启动,只不过开机之后,需要再打开常用程序,稍为麻烦点而已.
      ok,其它几个标签也是一样检查,中间六个标签病毒和木马用的比较少,因为现在的木马技术更高级了,驱动级和服务级变的越来越常用,这就需要我们关注最后一个标签,服务.
     服务项包含了两个选项,一个是Win32服务应用程序,一个是驱动程序.
1.Win32服务应用程序,这里就是我们常说的系统服务,木马和恶意软件最喜欢的地方.启动之后,列出了长长的一串,有点晕是吧,没有关系.看到选项"隐藏已认证的微软项目"了吗?OK,选上,嚯嚯.是不是少了很多.已经经过验证的正常服务被隐藏了,现在剩下的全部是第三方程序注册的服务了.检查一下可疑的吧.(图5)  



2.驱动程序的使用方法相同,也是勾选上"隐藏已认证的微软项目"之后再检查
二.系统修复
   这一部分相对来说就简单多了.
   1.文件关联.如果被病毒破坏了文件关联,可以在状态列看到被打上勾的格式,检查确系被破坏的,可以直接点修复完成.
   2.Windows Shell /IE这一部分是调整注册表来完成系统设置,是不是很像系统优化软件的东东,哈哈.这些设置在超级兔子,Windows优化大师,WinXP总管里都能见到,愿意用哪个调随你的喜好了.
   3.浏览器加载项,就是我们俗称的浏览器插件.这里需要注意一下,SREng只检查IE浏览器,如果你安装了第三方独立内核的浏览器,在这里是检查不出来的.OK,不需要的,喀嚓掉吧.
     描述栏里描述了该加载项的类型.可以点击窗口下方的帮助来具体查看是何种加载项
PS:推荐一下,除了杀毒软件内置的插件和一到两个下载插件之外,就不要再多装了,严重影响IE的反应速度
PS的PS:我们常说的恶意插件,几乎都会在这里留下它们可爱的足迹,所以,检查的时候,务必要仔细.
   4.HOSTS,这个文件自从9X以来就存在了,用途:浏览器首选在HOSTS中寻找网址对应的IP,然后是临时文件夹,最后再上网寻找DNS解析,更详细的流程可以查阅相关资料.HOSTS文件也是屏蔽我们恶心的网站的一个好方法,只要把你不想去的网站IP加为127.0.0.1,浏览器就永远认不出某个网址了.(图6)  



添加格式,点新建.IP地址写127.0.0.1,主机名字写需要屏蔽的网址,确定即可.(图HOSTS)  



如果你喜欢的网址IP固定,也可以在这里添加,这样,网址不会由DNS解析,速度会加快.
   5.WinSock提供者.
--------小知识:什么是WinSock-------
winsock是用来网络传输的控件,可进行Tcp/ip和udp协议,但帮定端口的形式不一样,winsock可传输字符串和字节,但字节更安全准确,网络传输时,客户端和服务器端,tcp协议,帮定形式不同,Udp基本一样,确定连接时connectionRequest事件,接收数据 dataArray事件
---------小知识结束----------------
    还是总结一下,winsock是用来进行网络编程的一个东东.弄不清楚的话,就关注一下发行商吧,除了微软的,其它要注意一下.
   6.高级修复,这是前面几项的一个综合,一般只要使用推荐修复级别就可以了
三.智能扫描
    这个部分可以智能扫描出前面定义出问题的部分,根据情况进行选择,最后会扫描出一份详细的报告.扫描出的报告可以另存为文件文档,方便传送给维护人员进行分析.图7




扩展部分:
   作者提供了外接口,可以编写自己的插件,现在可用的插件并不多,如果不放心的话,就不要安装了,只要把文件夹下的Plugins下的相关插件删除就可以了.
    写的比较啰嗦,不好意思.
    在打开的时候,SREng会访问网络(a001.woowoo.cn),被我的卡巴拦截了,实际这是个升级地址信息获取的网址.如果不放心的话,可以屏蔽,不影响使用.
    HijackThis也是同类型的工具,但其针对性过强,(只对IE),而且对于DLL劫持等新型技术显的无能为力,这也让我现在越来少的使用它.期待HijackThis的下一个版本吧.
    SREng现在已经被病毒盯上了,如果你的SREng已经损坏,那么下载一个新的,如果还是打不开,恭喜你,十有八九你已经中招了.因为它是绿色软件,不会因为系统注册表损坏等等系统问题而崩溃
    再说句题外话,个人意见,除了你自己编写的程序之外,你永远不知道程序员在程序之内放置了什么代码,尽管他们赌咒发誓,呵呵.软件的技术含量之高,远超我们的相像,这也是我推崇开源的一个主要原因,但是程序员也是要吃饭的,难难难.

评分

参与人数 1经验 +12 收起 理由
YoYo + 12 版区有你更精彩: )

查看全部评分

lima668
发表于 2009-1-31 14:26:30 | 显示全部楼层
学习下
20caocao05
发表于 2009-1-31 18:32:18 | 显示全部楼层
学习了,谢谢
汪大一
发表于 2009-2-1 10:23:42 | 显示全部楼层
学习了,谢谢
zishui
发表于 2009-2-1 21:11:19 | 显示全部楼层
比较详细,告别是对API HOOK的解释和之后对服务的说明,都很不错!
awaysky
发表于 2009-2-2 00:27:35 | 显示全部楼层
这个软件不错的
一心一意 该用户已被删除
发表于 2009-2-2 07:48:56 | 显示全部楼层
谢谢分享  学习了 很好的东东
qq7068127
发表于 2009-2-19 22:35:30 | 显示全部楼层
谢谢分享  学习了
wcyxj123
头像被屏蔽
发表于 2009-4-6 15:44:53 | 显示全部楼层
学习一下了!!!
小卡祺
发表于 2009-4-22 14:35:34 | 显示全部楼层
不错 支持下
.............................
您需要登录后才可以回帖 登录 | 快速注册

本版积分规则

手机版|杀毒软件|软件论坛| 卡饭论坛

Copyright © KaFan  KaFan.cn All Rights Reserved.

Powered by Discuz! X3.4( 沪ICP备2020031077号-2 ) GMT+8, 2025-1-26 03:57 , Processed in 0.144674 second(s), 17 queries .

卡饭网所发布的一切软件、样本、工具、文章等仅限用于学习和研究,不得将上述内容用于商业或者其他非法用途,否则产生的一切后果自负,本站信息来自网络,版权争议问题与本站无关,您必须在下载后的24小时之内从您的电脑中彻底删除上述信息,如有问题请通过邮件与我们联系。

快速回复 客服 返回顶部 返回列表