|
|
教你如何分析sreng日志如今的网络,病毒与木马越来越多。作为一名网民,我们要学会一种预防方法。Sreng日志快速分析就是一种不错的方法。Sreng是一款用与系统优化与修复的出色的安全辅助软件。它最大的优点就是全智能扫描能得出最全面的系统报告。在报告中,面面俱到的系统信息使得病毒木马门无处藏身。那么,保存好报告后,我们该如何分析呢?
以下教程所用软件为《SREngLog 分析助手1.3 by剑盟技术团队》。
本文分析举例病毒为机器狗病毒的扫描日志。
报告简介 (sreng报告组成部分及其作用)
简易分析方法
1. 进程模块列表
2. 自启动项目
3. 系统服务&驱动程序
4. 浏览器BHO
5. 其他修复
一. sreng日志分析助手主要使用方法
首先,将一份完整的日志粘贴进sreng日志分析区,点击“读取分析”对所截获的日志进行分析。在我们读取的日志中,我们可以发现有六个栏目,分别是“进程模块列表”,“自启动项目”,“系统服务”,“驱动程序”,“浏览器BHO”以及“其他修复”。其中,“进程模块”中分为“进程列表”和“对应模块列表”,分别显示出了系统扫描是所有的进程以及进程所加载的模块。
“自启动项目”分为“注册表类”和“文件及文件夹类”,分别对应了开机时从注册表中启动的程序(位置如HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\run等位置)和从启动文件夹中启动的程序(位置如C:\Documents and Settings\username\「开始」菜单\程序\启动)等。
“系统服务”和“驱动程序”中列出了所有Windows下的设备驱动程序和执行指定系统功能的文件及其执行的指定功能。
“其他修复”中分为
autorun项目——代表磁盘分目录下的各个autorun.inf文件的内容。
文件关联——打开文件使用的关联程序的错误与否
HOSTS文件——显示HOSTS文件的内容,主要用于禁止访问一些网站,从而使电脑安全性更高,另外sreng附带了重置HOSTS文件的功能,方便我们更好的管理它。
Winsock供应者——Winsock是Microsoft Windows提供的网络编程接口,这可以让我们了解是哪些程序使用我们网络编程的接口。
隐藏进程和特权进程——指的是被检测到的只在windows任务管理器中看不到的进程,或者是权限高的进程。
经常分析的人可以通过自己的熟练程度,对文件以及进程加以判断,找出可以的文件信息,从而有效地得到病毒的信息,并可以通过更简便的方式,更快捷的步骤解决问题。
右键菜单
分析的时候,我们可以找准所需要删除的文件,(一定要判断准确是否正确,否则可能会造成系统的崩溃…),点击鼠标右键,选择“添加为删除文件(W)”,在分析日志的时候,如果有不懂之处,可以点击“百度搜索文件”或“Google搜索文件”,在网络上快捷的查询所要的信息,并合理的判断是否要删除文件。
日志分析完成后,可以在上面的几个菜单中点击“分析结论报告”进行总结分析,(可别忘了是先输入你的网名!),最后点击“获取分析报告”;“复制到剪贴板”,找到所需的网页,使用右键或者按“Ctrl”+“V”粘贴。发表前,也不要忘了检查一些文件的路径。
二.Sreng日志主要分析方法及要领
(一)进程模块列表
sreng进程浏览
进程模块
在进程模块中,红色代表有链接库文件插入的进程。我们要特别注意公司名为N/A的进程及模块。找到此类进程或模块后,要注意它的路径。在system32或windows文件夹下的就大部分是病毒了。重点关照的是文件名无规律的文件,它们有99%的可能是病毒。不过,有些正常的文件往往不会有公司名,比如NVIDIA、WinRAR等。图中的rarext.dll文件虽无公司名,但因路径是WinRAR下,其实是rar程序主要文件之一。而gmtaiovciq.dll、avwghmn.dll、sidjhzy.dll等此类文件就是病毒了。
在分析进程时,我们要特别注意进程文件的位置,它的模块,其中,要重点“关照”一下如下几个事项:
1. svchost.exe所属的公司,及文件的位置(位置应该在C:\WINDOWS\system32中),要仔细辨别它的位置,这是辨别进程中最不好区分文件路径的之一。
2. 要对以下重点的进程进行查看:
Explorer.exe
Csrss.exe
Lsass.exe
Iexplore.exe——分析是否为正常进程
Winlogon.exe
3.重点查看文件的模块信息
例如在上文中,以用红框圈出的文件之一,
文件位置:C:\WINDOWS\system32\ avwghmn.dll
公司:N/A
版本:无
进程看多了,很容易就可以看出他是一个病毒文件。原因在于他的公司没有,也就是没有出版商,况且没有版本,那个木马或病毒有版本?再者就是他的文件名是一个随机的8位字母,(实在不知道就到网上搜索),其实这样就是为了逃避杀毒软件和我们最基本的——从文件名判断病毒。所以,在平常我们应该多多熟悉电脑,在查找文件是要有一定的水平——就是会查文件,要会找。
其实,就笔者的观察,有很多病毒文件可以通过把自己的dll文件注入到每一个进程中,从而限制程序的运行,那么就需要我们多次删除文件。这个版本的SREng分析助手有一个一个方便之处,当我们删除进程模块文件后,会自动帮我们这些病毒文件自动列在已删除文件列表中,大大的节省了我们的时间。
(二)自启动项目
自启动项目
自启动项目一共分为两种,一个是文件及文件夹类,另一个是注册表类。
据我的经验,文件夹类的应该不用太在意。而重点要观察的是注册表类,往往在进程中查不出的文件,在自启动项目的注册表类会有他们的身影。而这时,就需要我们更细致的观察。
通过文件名、名称和公司来查看
自启动项目文件名例
上图中笔者已经圈出,我们可以看到一个叫avwlfmn.dll的文件,文件位置在system32中,这是系统最重要的文件夹,里面存放了对系统来说至关重要的信息,一般来说微软出品的文件中很多都带有MS开头,或者文件名很有规律性(即为由一个单词或几个单词缩写组成),而由随机的字母组成的文件名,如上文7位随机字母组成的文件,这是最近很流行的病毒造成的。
而在名称上,由于大部分的病毒并不会给他自己提供一些公司等的信息,所以这项中,一个正常的文件如经常出现的themeui.dll,他已经标注自身为Themes Setup;而下面在举一个例子,avwlfmn.dll,一个文件名为不规则7位字母的文件,当然很容易引起我们的怀疑。所以,碰到这样的文件不用想的太多,直接右键删除。
(三)系统服务&驱动程序
sreng驱动程序
这同样是系统的一个重要的环节。很多病毒与木马也是利用这类文件来达到隐藏自己的目的。最典型的例子就是以rootkit的方式来达到驱动级隐藏的PcShare。整个木马只是一个驱动文件。不过,大体的判断方法与上文基本一样,也是靠公司的名称与文件名来判断是否是病毒与木马。但是,在这个环节中,又多出了一个新的判断条件——运行状态。所有的病毒木马都会将自己的服务与驱动设为Running/Boot Start或Running/Manual Start。相信没有那个病毒不希望自己不运行而被杀软干掉吧。
不仅如此,文件路径也是一个重要的判断条件。例如图中的npkycryp.sys
咋一看来,就像是一个以八位随机字母来命名的病毒文件。但是,文件路径却在QQ的根目录下,这样就基本不会是病毒了。
有一种很快捷的方法,就是注意一些敏感的字符, Server,Gpigeon,Remote,Control,serv,service,hide等这些都是隐藏的木马经常用到的文件名的一部分。不过,虽说这个方法判断速度最快,但是错误率也很高。例如hidserv.dll本是Human Interface Device Access/Hidsrv,是系统中的一个正常文件,却因为同时具备了hid与serv这两个条件而经常被经验不足的人误杀。所以,这里还牵涉到了一个条件——名称。只要文件名是驱动程序或服务名称的缩写或是一个描述,例如zdLccSvc.exe
MAPGIS Licence Service /zdLccSvc此类的文件就基本能排除了。
浏览器BHO
sreng浏览器BHO
这些文件与你的联网息息相关。只要你一上网,打开浏览器,这些文件就开始发挥作用了。他们都是平时安装的IE插件与系统自带的有关于网络支持类的文件。这里基本没有什么病毒,只有些暗藏于其中的流氓软件与木马文件。具体判断方法仍是根据文件名、文件路径以及公司名称进行判断。虽说这个环节并没有前面重要,但是忽视了他,你就可能在上网时同时”拥有”令人防不胜防的弹出窗口。在这里,我们先看文件的路径,对program files与system32文件夹下的文件进行排差,然后在于其名称作对比,了解它是否是流氓软件或木马(对于不确定的可以在网上搜索),再根据自己的判断来考虑是否删除它。
其他修复
sreng其他修复
(一)autorun项目
Autorun项目是最明显的一个中毒标志。近两年来,这类病毒呈爆发式增长。从autorun.pif到pagafile.pif,从sxs.exe再到sos.exe,一波接着一波。图中的Autorun项目中就显现了sos.exe——大名鼎鼎的机器狗病毒。对于这类病毒,一定要对日志进行仔细地分析,因为这类病毒是最容易死灰复燃的。
当我们看到这个项目有东西时,就一定要小心了。这是病毒的“病原体”存在的地方。
上图中,有一段文字:
open=soS.Exe
一般来说,看这个项目就应该知道病毒的类型和特征。这就是机器狗病毒的病原体。有的时候当我们发现了这个项目时,可以到网上查找有关这个文件的信息,方便我们及时判断和清理。
(二)文件关联和hosts文件。
应该来说,这文件关联反映病毒还不是特别的明显。有一些电脑存在.txt,.chm,.ini文件关联的错误。不过这一点草莽书生并没有在分析结论报告中写上,所以,这只有我们自己来议案写了。
但是,有一些病毒却更加喜欢在hosts文件上做手脚。曾经有个病毒——AV终结者,令我们胆战心惊,他不仅作到了屏蔽大部分的杀毒软件,还在hosts文件中添加了禁止访问的杀毒软件公司和很多电脑论坛的地址。所以,在我们发现有被屏蔽的杀毒软件官方网站地址的时候,赶紧把下面“重置Hosts文件”打上勾。
(三)隐藏进程与特权进程
这里还有一个项目——隐藏进程与特权进程。这里显现的东西并不多,可也会为我们提供帮助。如图中DOGSERVER67.exe,以过目就知道是机器狗病毒。不过,这里的文件都没有标明公司名,判断时要千万小心。
日志分析结束。
日志终于分析好了,上传到论坛前不要忘了修正某些文件的路径如有些文件的绝对路径sreng并没有真正的扫上来,所以,有时别忘添加C:\Windows这样的路径,然后再粘贴到论坛上。接下来呢……
坐享其成吧o(∩_∩)o…
(完)
附:常见的几个标志没有公司(N/A)但是却是正常的文件
进程及文件(在此不列出文件的安装文件夹路径,一半位置都是在C:\Program Files中)
1.\Unlocker\UnlockerAssistant.exe
2.C:\WINDOWS\system32\nvshell.dll
3.C:\Program Files\WinRAR\rarext.dll
4.\Unlocker\UnlockerCOM.dll
5.\Unlocker\UnlockerHook.dll
6.C:\WINDOWS\system32\pstartSr.exe(Check Point 公司)
7.C:\WINDOWS\system32\Prot_srv.exe
8.\Trend Micro\OfficeScan Client\OfcPIPC.dll
9.\LClock\LC.dll
10.\Ray Adams\ATI Tray Tools\raphook.dll
11.\SogouInput\ZipLib.dll
驱动程序
1.C:\WINDOWS\System32\svchost.exe -k netsvcs-->去黑眼圈的眼霜哪个好排行榜文胸十大品牌评价好吗减肥什么牌子好品牌有效丰胸眼线穿衣搭配祛痘美容论坛评价减肥论坛补水口腔喷雾什么牌子好眼影去角质产品推荐%SystemRoot%\System32\hidserv.dll
2.完美卸~1\PnpWMmng.exe
3.C:\WINDOWS\system32\DRIVERS\secdrv.sys
4.C:\WINDOWS\system32\drivers\nvmini.sys(NVIDIA公司的)
5.\Storm\stormliv.exe /asservice
启动项中不需要删除的
1.答疑解惑
1.问:为什么我的sreng分析某些日志时会死机?
答:注意日志的完整性,在日志中的每一个项目后都有一个
========================================
分割,或者是日志某些部分有缺失“=”的个数。缺失会导致日志不完整,因此电脑会死机。
解决方法:可以在日志中添加正确的个数,或使用上文的等号替换日志的这个缺失部分。重新读取日志。
2.问:如何在sreng日志分析助手中写明“删除autorun文件和病毒(即autorun病毒)”
答:遗憾的是,sreng日志分析助手没有真正是件简单的删除autorun文件,这些需要自己在修复命令中添加实现。
3.问:最后面的通用病毒杀灭机指令文件有什么用?
答:这个地方是用来进行作者的另一个软件“通用病毒杀灭机”所使用的导入修复文件。你可以从网上下载一个“通用病毒杀灭机”,然后依照指示进行对病毒的修复处理。在此不加论述。 |
评分
-
1
查看全部评分
-
|
IP卡
狗仔卡
发表于 2008-6-28 08:47:13
提升卡
置顶卡
沉默卡
喧嚣卡
变色卡
显身卡
楼主
发表于 2008-6-29 09:59:23