教你怎样分析SREng 日志的方法

t259

系统分析是一项纷繁复杂的工作，需要大胆和心细（例如注意数字 1 和字母l的微小的区别，字母o p q的o与数字0 1 2的0的区别等等），刚开始学习的朋友会感到有很多困难，要多借助搜索引擎（推荐google.com ！！！baidu.com就算了。不要跟我争这个)
要随时关注目前流行病毒的行情（例如看到rundll32.exe 基本上就可以判定是威金等）刚开始的时候可能会有困难，应静下心来好好研究，等你练到一目N行的时候，基本上就略有小成了。经验的积累也十分的重要！
跟大家一起探讨。 （崔衍渠）
一、SREng     启动项目 注册表 分析方法
对应的注册表位置在log中可以看到
熟悉常见项，主要包括输入法、音频视频应用程序、杀毒软件、安装的应用软件等
每个进程后有公司名属性，可以辅助辨别
对于不确认的进程 google
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run]
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run]
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\RunOnce]
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunOnce]
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\RunServices]
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunServices]
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\RunServicesOnce]
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunServicesOnce]
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunOnceEx]
以上需要具体分析
[HKEY_CURRENT_USER\Software\Microsoft\Windows NT\CurrentVersion\Windows]
      <load><>     []
      <run><>     []
以上2个位置 如果加载了进程,通常是问题项
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run]
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer
\Run]
以上2个位置 如果加载了进程,通常是问题项
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon]
      <shell><Explorer.exe>     [Microsoft Corporation]
      <Userinit><C:\WINDOWS\system32\userinit.exe,>     [Microsoft Corporation] 逗号不可省略。
如果是NT系统（如win2000），相应路径为 C:\WINNT 不再累述。
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Windows]
      <AppInit_DLLs><>     []
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon]
      <UIHost><logonui.exe>     [Microsoft Corporation]
以上4个位置如果和默认的有区别,通常是可疑项
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ShellServiceObjectDelayLoad]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellExec
uteHooks]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\SharedTas
kScheduler]
以上3个位置如果有加载项(除了第二个位置加载瑞星防病毒软件),通常是问题项
二、 SREng --- 启动文件夹
对应以下2个位置
Startup: c:\documents and settings\USERNAME\「开始」菜单\程序\启动
（Username为具体的用户名，例如 teyqiu, 王小丫 之类的）
Global Startup: c:\documents and settings\All Users\「开始」菜单\程序\启动

常见问题项：
[IE-Bar]
    <C:\Documents and Settings\All Users\Start Menu\Programs\Startup\IE-Bar.lnk>
<N>
三、SREng服务的分析方法
对应注册表位置如下：
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services
服务后有公司属性，辅助分析，有假冒公司属性的服务需要注意
服务对应的文件位于windows下的要注意
不确认的google
不过有些没公司属性的也没问题 常见的有 要强记！别误删。
[Secdrv / Secdrv]
    <system32\DRIVERS\secdrv.sys><N/A>
[TSP / TSP]
    <\??\C:\WINDOWS\system32\drivers\klif.sys><N/A> 卡巴斯基 有时候会显示N/A
常见的问题项：
灰鸽子
[Performance Moniter / BARCASE]
    <C:\WINDOWS\SYSTEM32\RUNDLL32.EXE C:\WINDOWS\SYSTEM32\WBEM\IRJIT.DLL,Export 1087><N/A>
[IPSEC Client / WalALET][Running/Auto Start]
<C:\WINDOWS\SYSTEM32\RUNDLL2000.EXE C:\WINDOWS\SYSTEM32\WBEM\TCGSH.DLL,Export 1087><Microsoft Corporation>
留意本案中的C:\WINDOWS\SYSTEM32\RUNDLL2000.EXE也不是好东西。
[ODBC Administration Service / odbcasvc][Running/Auto Start]
<C:\WINDOWS\SYSTEM32\odbcasvc.EXE><Microsoft Corporation>
强烈鄙夷丫的一U盘病毒还修改IFEO。冒充微软。
[JMediaService / JMediaService]
    <C:\WINNT\system32\rundll32.exe C:\PROGRA~1\MMSASS~1\MMSSVER.DLL,Service><N/A>
[StdService / StdService]
    <C:\WINNT\system32\rundll32.exe C:\WINNT\System32\STDSVER.DLL,Service><N/A>
[VIPTray / VIPTray]
    <C:\WINDOWS\System32\VIPTray.exe><N/A>
[WinWrCup / WinWrCup]
    <C:\WINNT\wincup\wincup.exe -R><MsWinCup>
[WinKld / WinKld]
    <C:\WINDOWS\System32\RunDLL32.exe "C:\PROGRA~1\winkld\winkld.dll",Run -r><N/A>
[wint / wint]
    <C:\WINDOWS\System32\RunDLL32.exe "C:\PROGRA~1\wint\wint.dll",Run -r><N/A>
[WinkldUP / WinkldUP]
    <C:\DOCUME~1\wq\LOCALS~1\Temp\wz\wz.exe -R><N/A>
[XDownloadService / XDownloadService]
    <C:\WINDOWS\system32\Rundll32.exe "C:\WINDOWS\Downloader.dll",Run><N/A>
[Server Advance / ServerAC]
    <C:\WINDOWS\System32\Security.exe><N/A>
[Windows DHCP Service / WinDHCPsvc]
    <C:\WINDOWS\System32\rundll32.exe windhcp.ocx,start><Microsoft Corporation>
此处省略路径的为 C:\WINDOWS\System32\windhcp.ocx
[WinXP DHCP Service / WinXPDHCPsvc]
    <C:\WINDOWS\System32\rundll32.exe xpdhcp.dll,start><Microsoft Corporation>
此处省略路径的为 C:\WINDOWS\System32\windhcp.dll

---驱动的分析与服务类似 注意最近的飘雪等双驱动的案例。

四、 SREng     浏览器加载项 分析方法
对应hijackhtis的02、03、08、09、016项，可以用hijackthis辅助分析
最近出现假冒microsoft和macromedia的项
五、SREng 正在运行的进程 分析方法
注意没有公司名字属性【显示为 N/A 】的exe文件，不确认的 google
没公司属性（或者说显示不出来）但是却是正常文件的也有 例如
      [C:\WINDOWS\system32\msdmo.dll]     [N/A, N/A] 要强记！
注意exe文件调用的dll文件，对于不确认的dll文件 google
有公司属性的也要注意分析是否是冒牌货，如最近的飘雪等动不动就冒充Microsoft Corporation。。。。
六、SREng 文件关联         分析方法
SREng提示的error项，通常需要修复
例外：关联的应用程序是自己安装的
七、SREng Winsock 提供者 分析方法      
用检测到的文件google

smesd

顶你！辛苦了～