查看: 3218|回复: 11
收起左侧

[已解决] 高手来看看装卡巴前后System Repair Engineer 2.4.12.806的报告

 关闭 [复制链接]
zhenidren
发表于 2007-5-3 08:36:58 | 显示全部楼层 |阅读模式
这是装装卡巴前后System Repair Engineer 2.4.12.806的报告:


  1. 2007-05-02,14:51:24

  2. System Repair Engineer 2.4.12.806
  3. Smallfrogs ([url]http://www.KZTechs.com[/url])

  4. Windows XP Professional Service Pack 2 (Build 2600) - 管理权限用户 - 完整功能

  5. 以下内容被选中:
  6.     所有的启动项目(包括注册表、启动文件夹、服务等)
  7.     浏览器加载项
  8.     正在运行的进程(包括进程模块信息)
  9.     文件关联
  10.     Winsock 提供者
  11.     Autorun.inf
  12.     HOSTS 文件


  13. 启动项目
  14. 注册表
  15. [HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run]
  16.     <ctfmon.exe><C:\WINDOWS\system32\ctfmon.exe>  [(Verified)Microsoft Windows Publisher]
  17. [HKEY_CURRENT_USER\Software\Microsoft\Windows NT\CurrentVersion\Windows]
  18.     <load><>  [N/A]
  19. [HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run]
  20.     <IgfxTray><C:\WINDOWS\system32\igfxtray.exe>  [(Verified)Microsoft Windows Publisher]
  21.     <HotKeysCmds><C:\WINDOWS\system32\hkcmd.exe>  [(Verified)Microsoft Windows Hardware Compatibility Publisher]
  22.     <SoundMan><SOUNDMAN.EXE>  [(Verified)Microsoft Windows Hardware Compatibility Publisher]
  23. [HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon]
  24.     <shell><Explorer.exe>  [(Verified)Microsoft Windows Publisher]
  25.     <Userinit><C:\WINDOWS\system32\userinit.exe,>  [(Verified)Microsoft Windows Publisher]
  26. [HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Windows]
  27.     <AppInit_DLLs><>  [N/A]
  28. [HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon]
  29.     <UIHost><logonui.exe>  [(Verified)Microsoft Windows Publisher]

  30. ==================================
  31. 启动文件夹
  32. N/A

  33. ==================================
  34. 服务
  35. [Human Interface Device Access / HidServ][Stopped/Disabled]
  36.   <C:\WINDOWS\System32\svchost.exe -k netsvcs-->%SystemRoot%\System32\hidserv.dll><N/A>

  37. ==================================
  38. 驱动程序
  39. [Service for Avance AC97 Audio (WDM) / ALCXWDM][Running/Manual Start]
  40.   <system32\drivers\ALCXWDM.SYS><Avance Logic, Inc.>
  41. [ialm / ialm][Running/Manual Start]
  42.   <system32\DRIVERS\ialmnt5.sys><Intel Corporation>
  43. [IdeBusDr / IdeBusDr][Running/Boot Start]
  44.   <\SystemRoot\system32\DRIVERS\IdeBusDr.sys><Intel Corporation>
  45. [Intel(R) Ultra ATA Controller / IdeChnDr][Running/Boot Start]
  46.   <\SystemRoot\system32\DRIVERS\IdeChnDr.sys><Intel Corporation>
  47. [Direct Parallel Link Driver / Ptilink][Running/Manual Start]
  48.   <system32\DRIVERS\ptilink.sys><Parallel Technologies, Inc.>
  49. [Realtek RTL8139/810x Family Fast Ethernet NIC NT Driver / rtl8139][Running/Manual Start]
  50.   <system32\DRIVERS\R8139n51.SYS><Realtek Semiconductor Corporation>
  51. [Secdrv / Secdrv][Stopped/Manual Start]
  52.   <system32\DRIVERS\secdrv.sys><N/A>
  53. [Intel(R) Graphics Platform (SoftBIOS) Driver / {6080A529-897E-4629-A488-ABA0C29B635E}][Running/System Start]
  54.   <system32\drivers\ialmsbw.sys><Intel Corporation>
  55. [Intel(R) Graphics Chipset (KCH) Driver / {D31A0762-0CEB-444e-ACFF-B049A1F6FE91}][Running/Manual Start]
  56.   <system32\drivers\ialmkchw.sys><Intel Corporation>

  57. ==================================
  58. 浏览器加载项
  59. [Messenger]
  60.   {FB5F1910-F110-11d2-BB9E-00C04F795683} <C:\Program Files\Messenger\msmsgs.exe, Microsoft Corporation>
  61. [Shockwave Flash Object]
  62.   {D27CDB6E-AE6D-11CF-96B8-444553540000} <C:\WINDOWS\system32\macromed\flash\flash.ocx, Macromedia, Inc.>

  63. ==================================
  64. 正在运行的进程
  65. [PID: 436][\SystemRoot\System32\smss.exe]  [Microsoft Corporation, 5.1.2600.2180 (xpsp_sp2_rtm.040803-2158)]
  66. [PID: 508][\??\C:\WINDOWS\system32\csrss.exe]  [Microsoft Corporation, 5.1.2600.2180 (xpsp_sp2_rtm.040803-2158)]
  67. [PID: 1256][C:\WINDOWS\Explorer.EXE]  [Microsoft Corporation, 6.00.2900.2180 (xpsp_sp2_rtm.040803-2158)]
  68.     [C:\WINDOWS\system32\igfxpph.dll]  [Intel Corporation, 3,0,0,1918]
  69.     [C:\WINDOWS\system32\hccutils.DLL]  [Intel Corporation, 3,0,0,1918]
  70.     [C:\WINDOWS\system32\igfxres.dll]  [Intel Corporation, 3,0,0,1918]
  71.     [C:\WINDOWS\system32\igfxsrvc.dll]  [Intel Corporation, 3,0,0,1918]
  72.     [C:\WINDOWS\system32\igfxdev.dll]  [Intel Corporation, 3,0,0,1918]
  73. [PID: 1476][C:\WINDOWS\system32\igfxtray.exe]  [Intel Corporation, 3,0,0,1918]
  74.     [C:\WINDOWS\system32\hccutils.DLL]  [Intel Corporation, 3,0,0,1918]
  75.     [C:\WINDOWS\system32\igfxdev.dll]  [Intel Corporation, 3,0,0,1918]
  76.     [C:\WINDOWS\system32\igfxsrvc.dll]  [Intel Corporation, 3,0,0,1918]
  77.     [C:\WINDOWS\system32\igfxres.dll]  [Intel Corporation, 3,0,0,1918]
  78.     [C:\WINDOWS\system32\igfxress.dll]  [Intel Corporation, 3,0,0,1918]
  79. [PID: 1496][C:\WINDOWS\system32\hkcmd.exe]  [Intel Corporation, 3,0,0,1918]
  80.     [C:\WINDOWS\system32\hccutils.DLL]  [Intel Corporation, 3,0,0,1918]
  81.     [C:\WINDOWS\system32\igfxdev.dll]  [Intel Corporation, 3,0,0,1918]
  82.     [C:\WINDOWS\system32\igfxsrvc.dll]  [Intel Corporation, 3,0,0,1918]
  83.     [C:\WINDOWS\system32\igfxhk.dll]  [Intel Corporation, 3,0,0,1918]
  84.     [C:\WINDOWS\system32\igfxres.dll]  [Intel Corporation, 3,0,0,1918]
  85. [PID: 1520][C:\WINDOWS\SOUNDMAN.EXE]  [Avance Logic, Inc., 5.0.07]
  86. [PID: 1528][C:\WINDOWS\system32\ctfmon.exe]  [Microsoft Corporation, 5.1.2600.2180 (xpsp_sp2_rtm.040803-2158)]
  87. [PID: 264][C:\WINDOWS\system32\wscntfy.exe]  [Microsoft Corporation, 5.1.2600.2180 (xpsp_sp2_rtm.040803-2158)]
  88. [PID: 900][C:\WINDOWS\system32\wuauclt.exe]  [Microsoft Corporation, 5.8.0.2469 built by: lab01_n(wmbla)]
  89. [PID: 1944][C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\Rar$EX00.266\SREng.EXE]  [Smallfrogs Studio, 2.4.12.806]

  90. ==================================
  91. 文件关联
  92. .TXT  OK. [%SystemRoot%\system32\NOTEPAD.EXE %1]
  93. .EXE  OK. ["%1" %*]
  94. .COM  OK. ["%1" %*]
  95. .PIF  OK. ["%1" %*]
  96. .REG  OK. [regedit.exe "%1"]
  97. .BAT  OK. ["%1" %*]
  98. .SCR  OK. ["%1" /S]
  99. .CHM  OK. ["C:\WINDOWS\hh.exe" %1]
  100. .HLP  OK. [%SystemRoot%\System32\winhlp32.exe %1]
  101. .INI  OK. [%SystemRoot%\System32\NOTEPAD.EXE %1]
  102. .INF  OK. [%SystemRoot%\System32\NOTEPAD.EXE %1]
  103. .VBS  OK. [%SystemRoot%\System32\WScript.exe "%1" %*]
  104. .JS   OK. [%SystemRoot%\System32\WScript.exe "%1" %*]
  105. .LNK  OK. [{00021401-0000-0000-C000-000000000046}]

  106. ==================================
  107. Winsock 提供者
  108. N/A

  109. ==================================
  110. Autorun.inf
  111. N/A

  112. ==================================
  113. HOSTS 文件
  114. 127.0.0.1       localhost

  115. ==================================
  116. API HOOK
  117. N/A

  118. ==================================
  119. 隐藏进程
  120. N/A

  121. ==================================


复制代码

装卡巴后System Repair Engineer 2.4.12.806的报告在2楼
zhenidren
 楼主| 发表于 2007-5-3 08:37:57 | 显示全部楼层

这是装卡巴后System Repair Engineer 2.4.12.806的报告



  1. 2007-05-03,06:58:15

  2. System Repair Engineer 2.4.12.806
  3. Smallfrogs ([url]http://www.KZTechs.com[/url])

  4. Windows XP Professional Service Pack 2 (Build 2600) - 管理权限用户 - 完整功能

  5. 以下内容被选中:
  6.     所有的启动项目(包括注册表、启动文件夹、服务等)
  7.     浏览器加载项
  8.     正在运行的进程(包括进程模块信息)
  9.     文件关联
  10.     Winsock 提供者
  11.     Autorun.inf
  12.     HOSTS 文件


  13. 启动项目
  14. 注册表
  15. [HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run]
  16.     <ctfmon.exe><C:\WINDOWS\system32\ctfmon.exe>  [(Verified)Microsoft Windows Publisher]
  17. [HKEY_CURRENT_USER\Software\Microsoft\Windows NT\CurrentVersion\Windows]
  18.     <load><>  [N/A]
  19. [HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run]
  20.     <IgfxTray><C:\WINDOWS\system32\igfxtray.exe>  [(Verified)Microsoft Windows Publisher]
  21.     <HotKeysCmds><C:\WINDOWS\system32\hkcmd.exe>  [(Verified)Microsoft Windows Publisher]
  22.     <SoundMan><SOUNDMAN.EXE>  [(Verified)Microsoft Windows Publisher]
  23. [HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon]
  24.     <shell><Explorer.exe>  [(Verified)Microsoft Windows Publisher]
  25.     <Userinit><C:\WINDOWS\system32\userinit.exe,>  [(Verified)Microsoft Windows Publisher]
  26. [HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Windows]
  27.     <AppInit_DLLs><>  [N/A]
  28. [HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon]
  29.     <UIHost><logonui.exe>  [(Verified)Microsoft Windows Publisher]
  30. [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Active Setup\Installed Components\<{12d0ed0d-0ee0-4f90-8827-78cefb8f4988}]
  31.     <IE7 Uninstall Stub><C:\WINDOWS\system32\ieudinit.exe>  [(Verified)Microsoft Windows Component Publisher]

  32. ==================================
  33. 启动文件夹
  34. N/A

  35. ==================================
  36. 服务
  37. [Human Interface Device Access / HidServ][Stopped/Disabled]
  38.   <C:\WINDOWS\System32\svchost.exe -k netsvcs-->%SystemRoot%\System32\hidserv.dll><N/A>

  39. ==================================
  40. 驱动程序
  41. [Service for Avance AC97 Audio (WDM) / ALCXWDM][Running/Manual Start]
  42.   <system32\drivers\ALCXWDM.SYS><Avance Logic, Inc.>
  43. [ialm / ialm][Running/Manual Start]
  44.   <system32\DRIVERS\ialmnt5.sys><Intel Corporation>
  45. [IdeBusDr / IdeBusDr][Running/Boot Start]
  46.   <\SystemRoot\system32\DRIVERS\IdeBusDr.sys><Intel Corporation>
  47. [Intel(R) Ultra ATA Controller / IdeChnDr][Running/Boot Start]
  48.   <\SystemRoot\system32\DRIVERS\IdeChnDr.sys><Intel Corporation>
  49. [Direct Parallel Link Driver / Ptilink][Running/Manual Start]
  50.   <system32\DRIVERS\ptilink.sys><Parallel Technologies, Inc.>
  51. [Realtek RTL8139/810x Family Fast Ethernet NIC NT Driver / rtl8139][Running/Manual Start]
  52.   <system32\DRIVERS\R8139n51.SYS><Realtek Semiconductor Corporation>
  53. [Secdrv / Secdrv][Stopped/Manual Start]
  54.   <system32\DRIVERS\secdrv.sys><N/A>
  55. [Intel(R) Graphics Platform (SoftBIOS) Driver / {6080A529-897E-4629-A488-ABA0C29B635E}][Running/System Start]
  56.   <system32\drivers\ialmsbw.sys><Intel Corporation>
  57. [Intel(R) Graphics Chipset (KCH) Driver / {D31A0762-0CEB-444e-ACFF-B049A1F6FE91}][Running/Manual Start]
  58.   <system32\drivers\ialmkchw.sys><Intel Corporation>

  59. ==================================
  60. 浏览器加载项
  61. [WebThunder Browser Helper]
  62.   {00000AAA-A363-466E-BEF5-9BB68697AA7F} <d:\Program Files\Thunder Network\WebThunder\WebThunderBHO_016.dll, Thunder Networking Technologies,LTD>
  63. [启动Web迅雷]
  64.   {962EFB8E-2683-42d4-AC74-AAA4C759B9C6} <[url]http://my.xunlei.com[/url], N/A>
  65. []
  66.   {e2e2dd38-d088-4134-82b7-f2ba38496583} <%windir%\Network Diagnostic\xpnetdiag.exe, N/A>
  67. [Messenger]
  68.   {FB5F1910-F110-11d2-BB9E-00C04F795683} <C:\Program Files\Messenger\msmsgs.exe, Microsoft Corporation>
  69. [Windows Genuine Advantage Validation Tool]
  70.   {17492023-C23A-453E-A040-C7C580BBF700} <C:\WINDOWS\system32\LegitCheckControl.DLL, Microsoft Corporation>
  71. [Shockwave Flash Object]
  72.   {D27CDB6E-AE6D-11CF-96B8-444553540000} <C:\WINDOWS\system32\Macromed\Flash\Flash9c.ocx, Adobe Systems, Inc.>
  73. [WebThunder Browser Helper]
  74.   {00000AAA-A363-466E-BEF5-9BB68697AA7F} <d:\Program Files\Thunder Network\WebThunder\WebThunderBHO_016.dll, Thunder Networking Technologies,LTD>
  75. [WebThunder Class]
  76.   {03507A1A-E0C5-4404-AA26-205385C0892D} <, N/A>
  77. [Windows Genuine Advantage Validation Tool]
  78.   {17492023-C23A-453E-A040-C7C580BBF700} <C:\WINDOWS\system32\LegitCheckControl.DLL, Microsoft Corporation>
  79. [DHTML Edit Control Safe for Scripting for IE5]
  80.   {2D360201-FFF5-11D1-8D03-00A0C959BC0A} <C:\Program Files\Common Files\Microsoft Shared\Triedit\dhtmled.ocx, Microsoft Corporation>
  81. [XML Document]
  82.   {48123BC4-99D9-11D1-A6B3-00C04FD91555} <%SystemRoot%\system32\msxml3.dll, N/A>
  83. [WUWebControl Class]
  84.   {6414512B-B978-451D-A0D8-FCFDF33E833C} <C:\WINDOWS\system32\wuweb.dll, Microsoft Corporation>
  85. [Shockwave Flash Object]
  86.   {D27CDB6E-AE6D-11CF-96B8-444553540000} <C:\WINDOWS\system32\Macromed\Flash\Flash9c.ocx, Adobe Systems, Inc.>
  87. [使用Web迅雷下载]
  88.   <d:\Program Files\Thunder Network\WebThunder\GetUrl.htm, N/A>
  89. [使用Web迅雷下载全部链接]
  90.   <d:\Program Files\Thunder Network\WebThunder\GetAllUrl.htm, N/A>

  91. ==================================
  92. 正在运行的进程
  93. [PID: 380][\SystemRoot\System32\smss.exe]  [Microsoft Corporation, 5.1.2600.2180 (xpsp_sp2_rtm.040803-2158)]
  94. [PID: 516][\??\C:\WINDOWS\system32\csrss.exe]  [Microsoft Corporation, 5.1.2600.2180 (xpsp_sp2_rtm.040803-2158)]
  95. [PID: 1244][C:\WINDOWS\Explorer.EXE]  [Microsoft Corporation, 6.00.2900.2180 (xpsp_sp2_rtm.040803-2158)]
  96.     [d:\Program Files\Thunder Network\WebThunder\WebThunderBHO_016.dll]  [Thunder Networking Technologies,LTD, 6, 0, 0, 5]
  97. [PID: 1640][C:\WINDOWS\system32\igfxtray.exe]  [Intel Corporation, 3,0,0,1918]
  98.     [C:\WINDOWS\system32\hccutils.DLL]  [Intel Corporation, 3,0,0,1918]
  99.     [C:\WINDOWS\system32\igfxdev.dll]  [Intel Corporation, 3,0,0,1918]
  100.     [C:\WINDOWS\system32\igfxsrvc.dll]  [Intel Corporation, 3,0,0,1918]
  101.     [C:\WINDOWS\system32\igfxres.dll]  [Intel Corporation, 3,0,0,1918]
  102.     [C:\WINDOWS\system32\igfxress.dll]  [Intel Corporation, 3,0,0,1918]
  103. [PID: 1892][C:\WINDOWS\system32\hkcmd.exe]  [Intel Corporation, 3,0,0,1918]
  104.     [C:\WINDOWS\system32\hccutils.DLL]  [Intel Corporation, 3,0,0,1918]
  105.     [C:\WINDOWS\system32\igfxdev.dll]  [Intel Corporation, 3,0,0,1918]
  106.     [C:\WINDOWS\system32\igfxsrvc.dll]  [Intel Corporation, 3,0,0,1918]
  107.     [C:\WINDOWS\system32\igfxhk.dll]  [Intel Corporation, 3,0,0,1918]
  108.     [C:\WINDOWS\system32\igfxres.dll]  [Intel Corporation, 3,0,0,1918]
  109. [PID: 1912][C:\WINDOWS\SOUNDMAN.EXE]  [Avance Logic, Inc., 5.0.07]
  110. [PID: 1920][C:\WINDOWS\system32\ctfmon.exe]  [Microsoft Corporation, 5.1.2600.2180 (xpsp_sp2_rtm.040803-2158)]
  111. [PID: 1980][C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\Rar$EX03.297\SREng.EXE]  [Smallfrogs Studio, 2.4.12.806]

  112. ==================================
  113. 文件关联
  114. .TXT  OK. [%SystemRoot%\system32\NOTEPAD.EXE %1]
  115. .EXE  OK. ["%1" %*]
  116. .COM  OK. ["%1" %*]
  117. .PIF  OK. ["%1" %*]
  118. .REG  OK. [regedit.exe "%1"]
  119. .BAT  OK. ["%1" %*]
  120. .SCR  OK. ["%1" /S]
  121. .CHM  OK. ["C:\WINDOWS\hh.exe" %1]
  122. .HLP  OK. [%SystemRoot%\System32\winhlp32.exe %1]
  123. .INI  OK. [%SystemRoot%\System32\NOTEPAD.EXE %1]
  124. .INF  OK. [%SystemRoot%\System32\NOTEPAD.EXE %1]
  125. .VBS  OK. [%SystemRoot%\System32\WScript.exe "%1" %*]
  126. .JS   OK. [%SystemRoot%\System32\WScript.exe "%1" %*]
  127. .LNK  OK. [{00021401-0000-0000-C000-000000000046}]

  128. ==================================
  129. Winsock 提供者
  130. N/A

  131. ==================================
  132. Autorun.inf
  133. N/A

  134. ==================================
  135. HOSTS 文件
  136. 127.0.0.1       localhost

  137. ==================================
  138. API HOOK
  139. N/A

  140. ==================================
  141. 隐藏进程
  142. N/A

  143. ==================================


复制代码
zhenidren
 楼主| 发表于 2007-5-3 09:09:23 | 显示全部楼层

这是相关的图片

图1

图1

图2

图2

图3

图3
wangjay1980
发表于 2007-5-3 10:27:19 | 显示全部楼层
怎么装了后,没有卡巴
建能
头像被屏蔽
发表于 2007-5-3 11:02:35 | 显示全部楼层
这是这个软件的BUG!在软件说明中已经注明了。你没有看嘛!
还有你装卡巴后的日志中可以看到,你的卡吧安装有问题。系统的服务有没有卡巴的服务项!
修复安装卡巴!!
znzm52
发表于 2007-5-3 11:49:32 | 显示全部楼层
你的卡巴安装成功没?
xianjue114 该用户已被删除
发表于 2007-5-3 12:16:34 | 显示全部楼层
没用过这个东西!!!
diketaozi
发表于 2007-5-3 17:45:49 | 显示全部楼层

回复 #4 wangjay1980 的帖子

在最后一张图里顺数、倒数都是第5行的位置可以看到卡巴的影子 。但是确实没有卡巴的进程。
ryn
发表于 2007-5-4 13:59:49 | 显示全部楼层
第一次看到。
pollywayer
发表于 2007-5-5 13:31:25 | 显示全部楼层
很简单,看完资料就可以(最关键的在最后面)
注:System Repair Engineer API HOOK检测功能是一项高级功能,仅供参考使用。本文档可能会在未通知的情况下予以变更。

什么是 API HOOK

在 Windows 操作系统里面,API是指由操作系统提供功能的、由应用程序调用的函数。这些函数在Windows操作系统里面有上千个之多,分布于不同的DLL文件里面或者EXE文件里面。应用程序通过调用这些函数来获得一些功能的支持。

API HOOK:API HOOK技术是一种用于改变API执行结果的技术,Microsoft 自身也在Windows操作系统里面使用了这个技术,如Windows兼容模式等。

API HOOK 技术并不是计算机病毒专有技术,但是计算机病毒经常使用这个技术来达到隐藏自己的目的。

隐藏:是Rootkits各种表现形式里面的一种,也是最重要的一种。

如果一个计算机病毒实现了自我隐藏,那么99%的软件将无法发现他们,包括:资源管理器、任务管理器等。

System Repair Engineer API HOOK 检测

鉴于很多计算机病毒(如灰鸽子后门程序等)采用 Win32 API HOOK 技术来达到隐藏自身的目的,System Repair Engineer (SREng) 从 2.3 版本开始正式提供对Win32 API HOOK 检测的支持。

System Repair Engineer API HOOK 检测 功能是专门为有一定计算机知识的人设计的一个高级功能,其主要目的是警示用户系统里面的哪些API和预期值不符。一个有经验的分析人员能够从不符的API名称里面得知潜在的危险是什么。


SREng 2.4 版本新增功能
    在 System Repair Engineer (SREng) 2.4版本里面,增加了显示被HOOK的API是由系统中的哪一个文件来执行的。同时增加了HOOK 安全级别判定功能,当 System Repair Engineer确认是系统自带的模块或者安全模块来执行HOOK操作的时候,System Repair Engineer会自动的降低安全警告等级到普通,否则会显示为危险。  

当 System Repair Engineer (SREng) 发现有Win32 API 被 HOOK 的时候,会在桌面右下角弹出警告气泡,同时,智能扫描的扫描日志里面也能够记录被 HOOK 的API内容。


SREng 2.4 版本新增功能
    在 System Repair Engineer (SREng) 2.4版本里面,气泡窗口不同于早期版本,新的气泡窗口优化了显示方法,增加了查看详情的文字链接。 点击这个链接以后能够看到更详细的解释信息以及高级操作方式。

一旦你看到类似于下面的气泡提示,就需要你特别注意了:

例如:用户机器里面被植入灰鸽子后门程序以后SREng的报警提示信息:





从上图可以看到,在 System Repair Engineer (SREng) 的进程空间里面,有大量的API函数和预期值不符。这是因为在这台计算机上被植入了灰鸽子后门程序。

从函数名可以得出,被HOOK的API和注册表的各种枚举操作以及文件的枚举操作相关。

上述被HOOK的API函数将造成通过正常的方法是无法发现灰鸽子的文件和注册表键值的。包括一些杀毒软件都会由于这个问题而造成无法发现和清除用户系统里面正在运行的灰鸽子后门程序。

SREng 2.4 版本新增功能
    在 System Repair Engineer (SREng) 2.4版本里面,增加了详情显示和高级操作模式。只需要在Pop窗口里面点击“查看详情”文字就可以看到高级操作模式的操作对话框。


在详细信息操作对话框里面,除了能够显示API是由谁HOOK的以外,还能够对入口点错误类型的API进行还原。只需要点击修复入口点错误按钮即可。

修复入口点以后,再查看服务列表,会发现修复前不能发现的灰鸽子远程后门软件的服务已经出现在服务列表里面了。这是因为API HOOK入口点修复完成以后,依靠API HOOK来实现自我隐藏功能已经失效所致。



注意事项:

一些正常的安全软件也会对一些API进行HOOK操作以实现安全监控功能。这类软件一般都会有明确的标示信息,例如拥有自己的数字签名或文件是存在在厂商自己的软件安装目录之下。

对于使用驱动程序进行 HOOK 的软件,例如 Kaspersky Antivirus 6.X,受制于操作系统的权限控制限制,System Repair Engineer (SREng)无法获得具体的文件路径,而只能显示HOOK指向的目标地址。


下表归纳了一些重要的基本API,如果发现这些API中的某一个或者多个被HOOK了,那么就需要非常小心的检查是否有Rootkits的存在了。

API 函数名里面含有 Enum、Query、First、Next 字符字样的所有API均属于需要特别关注的API。如:

FindFirstFileA
FindFirstFileW
FindFirstFileExA
FindFirstFileExW
FindNextFileA
FindNextFileW
RegEnumKeyA
RegEnumKeyW
等……


System Repair Engineer API HOOK 详细信息指示以及恢复功能


其他的几个函数也是这样的道理,完全没有问题.
入口点修复和HOOK详细信息指示功从 System Repair Engineer (SREng) 2.4 版本开始支持。
您需要登录后才可以回帖 登录 | 快速注册

本版积分规则

手机版|杀毒软件|软件论坛| 卡饭论坛

Copyright © KaFan  KaFan.cn All Rights Reserved.

Powered by Discuz! X3.4( 沪ICP备2020031077号-2 ) GMT+8, 2024-12-25 22:54 , Processed in 0.141706 second(s), 20 queries .

卡饭网所发布的一切软件、样本、工具、文章等仅限用于学习和研究,不得将上述内容用于商业或者其他非法用途,否则产生的一切后果自负,本站信息来自网络,版权争议问题与本站无关,您必须在下载后的24小时之内从您的电脑中彻底删除上述信息,如有问题请通过邮件与我们联系。

快速回复 客服 返回顶部 返回列表