SREng日志全分析（二）

Ⅳ，正在运行的进程（包括进程模块信息）：

1.在SREng日志中，正在运行的进程（包括进程模块信息）的结构如下：

[PID: 632][\??\C:\WINDOWS\system32\winlogon.exe]  [(Verified) Microsoft Corporation, 5.1.2600.2180 (xpsp_sp2_rtm.040803-2158)]

    [C:\WINDOWS\system32\AUTHZ.dll]  [Microsoft Corporation, 5.1.2600.2622 (xpsp_sp2_gdr.050301-1519)]

    [C:\WINDOWS\system32\COMCTL32.dll]  [Microsoft Corporation, 5.82 (xpsp.060825-0040)]

    [C:\WINDOWS\WinSxS\x86_Microsoft.Windows.Common-Controls_6595b64144ccf1df_6.0.2600.2982_x-ww_ac3f9c03\comctl32.dll]  [Microsoft Corporation, 6.0 (xpsp.060825-0040)]

    [C:\WINDOWS\system32\sfc_os.dll]  [Microsoft Corporation, 5.1.2600.2180 (xpsp_sp2_rtm.040803-2158)]

    [C:\WINDOWS\system32\ole32.dll]  [Microsoft Corporation, 5.1.2600.2726 (xpsp_sp2_gdr.050725-1528)]

    [C:\WINDOWS\system32\sxs.dll]  [Microsoft Corporation, 5.1.2600.3019 (xpsp_sp2_gdr.061019-0414)]

    [C:\WINDOWS\system32\uxtheme.dll]  [Microsoft Corporation, 6.00.2900.2180 (xpsp_sp2_rtm.040803-2158)]

    [C:\WINDOWS\system32\xpsp2res.dll]  [Microsoft Corporation, 5.1.2600.2180 (xpsp_sp2_rtm.040803-2158)]

[C:\WINDOWS\system32\iphlpapi.dll]  [Microsoft Corporation, 5.1.2600.2912 (xpsp_sp2_gdr.060519-0003)]

[PID: 416 / SYSTEM][\SystemRoot\System32\smss.exe]  [(Verified) Microsoft Corporation, 6.0.6002.18005 (lh_sp2rtm.090410-1830)]           

[PID: 632][\??\C:\WINDOWS\system32\winlogon.exe]：

   

PID：指此进程在系统中的“数字标识”,在系统中，每个进程有且仅有一个PID，所以说，它是唯一的。

[\??\C:\WINDOWS\system32\winlogon.exe]代表在系统中，该进程对应文件的详细位置。

[(Verified) Microsoft Corporation, 5.1.2600.2180 (xpsp_sp2_rtm.040803-2158)]代表该进程对应文件的数字签名和文件的版本信息。

[PID: 416 / SYSTEM]：SYSTEM代表的是创建此进程的用户名。

   

[C:\WINDOWS\system32\AUTHZ.dll]  [Microsoft Corporation, 5.1.2600.2622 (xpsp_sp2_gdr.050301-1519)]

    [C:\WINDOWS\system32\COMCTL32.dll]  [Microsoft Corporation, 5.82 (xpsp.060825-0040)]

    [C:\WINDOWS\WinSxS\x86_Microsoft.Windows.Common-Controls_6595b64144ccf1df_6.0.2600.2982_x-ww_ac3f9c03\comctl32.dll]  [Microsoft Corporation, 6.0 (xpsp.060825-0040)]

    [C:\WINDOWS\system32\sfc_os.dll]  [Microsoft Corporation, 5.1.2600.2180 (xpsp_sp2_rtm.040803-2158)]

    [C:\WINDOWS\system32\ole32.dll]  [Microsoft Corporation, 5.1.2600.2726 (xpsp_sp2_gdr.050725-1528)]

    [C:\WINDOWS\system32\sxs.dll]  [Microsoft Corporation, 5.1.2600.3019 (xpsp_sp2_gdr.061019-0414)]

    [C:\WINDOWS\system32\uxtheme.dll]  [Microsoft Corporation, 6.00.2900.2180 (xpsp_sp2_rtm.040803-2158)]

    [C:\WINDOWS\system32\xpsp2res.dll]  [Microsoft Corporation, 5.1.2600.2180 (xpsp_sp2_rtm.040803-2158)]

[C:\WINDOWS\system32\iphlpapi.dll]  [Microsoft Corporation, 5.1.2600.2912 (xpsp_sp2_gdr.060519-0003)]

  

以上这些，是表示该进程（winlogon.exe）的模块信息。

  

例如：

[C:\WINDOWS\system32\ole32.dll]  [Microsoft Corporation, 5.1.2600.2726 (xpsp_sp2_gdr.050725-1528)]

[C:\WINDOWS\system32\ole32.dll]代表该模块对应文件的详细路径和名称。

[Microsoft Corporation, 5.1.2600.2726 (xpsp_sp2_gdr.050725-1528)]代表模块的公司名称和文件的版本信息。

(xpsp_sp2_gdr.050725-1528)代表XP系统的版本信息，这个很重要哦~！

  

  

2.正常、非正常进程的判断方法和依据：

1.要着重注意进程公司名称处为[N/A, ]的文件，但要注意的是，winrar里有个进程是例外的，如：

[C:\Program Files\WinRAR\rarext.dll]  [N/A, ]

这个文件是winrar的，是正常文件哦~

  

2. 注意进程文件的版本,模块文件的版本

这一步，我们可以优先着重注意看有没有进程是没有模块信息的，没有版本信息的文件进程。

     

3．一般标有系统版本（如XP）信息的文件，都是正常的，我们可以快速的扫过，不必花大工夫去研究。

如：

[C:\Windows\system32\SHSVCS.dll]  [Microsoft Corporation, 6.0.6000.16386 (vista_rtm.061101-2205)]

[C:\WINDOWS\system32\ole32.dll]  [Microsoft Corporation, 5.1.2600.2726 (xpsp_sp2_gdr.050725-1528)]

     

4.在查看进程（模块信息）的同时，我们也要结合前面的一些内容，比如启动项目的分析，服务、驱动程序的分析等，因为一般在注册表启动项目里面非正常的文件.都会在进程活模块中有所反映。所以，将他们放着一起，做一个对比，往往会事半功倍哦~

        

5.我们要注意，同一个DLL类型文件,同时做为模块,同时插入大部分进程,而且该DLL文件无公司名称，无数字签名，无版本信息等，那么就要特别小心了哦~

例如:

[PID: 1846][C:\WINDOWS\system32\services.exe]  [Microsoft Corporation, 5.1.2600.0 (xpclient.010817-1148)]

    [C:\WINDOWS\system32\lalalala.dll]  [N/A, ]

[PID: 846 / SYSTEM][C:\WINDOWS\system32\lsass.exe]  [Microsoft Corporation, 5.1.2600.1106 (xpsp1.020828-1920)]

    [C:\WINDOWS\system32\ lalalala.dll]  [N/A, ]

[PID: 748 / SYSTEM][C:\WINDOWS\system32\svchost.exe]  [Microsoft Corporation, 5.1.2600.0 (xpclient.010817-1148)]

    [C:\WINDOWS\system32\ lalalala.dll]  [N/A, ]

6.自我总结、归纳。刚刚开始学，慢慢的来，然后再一步步深入探究。脚踏实地者，方能成大事也。

  

  

Ⅴ，文件关联：

很多病毒，都会修改系统默认的文件关联。我们可以用SREng修复。

例如：

.TXT  Error. [C:\WINDOWS\notepad.exe %1]

.EXE  OK. ["%1" %*]

.COM  OK. ["%1" %*]

.PIF  OK. ["%1" %*]

.REG  OK. [regedit.exe "%1"]

.BAT  OK. ["%1" %*]

.SCR  OK. ["%1" /S]

.CHM  Error. ["hh.exe" %1]

.HLP  OK. [%SystemRoot%\System32\winhlp32.exe %1]

.INI  Error. [C:\WINDOWS\System32\NOTEPAD.EXE %1]

.INF  OK. [%SystemRoot%\system32\NOTEPAD.EXE %1]

.VBS  OK. [%SystemRoot%\System32\WScript.exe "%1" %*]

.JS   OK. [%SystemRoot%\System32\WScript.exe "%1" %*]

.LNK  OK. [{00021401-0000-0000-C000-000000000046}]

我们只需注意ERROR部分，如有出现，我们必须建议提供日志者第一时间去使用sreng去修复！

Ⅵ，Winsock 提供者

SREng日志中，默认只列出“第三方”的winsock提供者。

小编的电脑是正常的，so：

==================================

Winsock 提供者

N/A

===================================

  

还有一种可能就是杀毒软件[目的是因为这一项是负责网络协议的，杀软用自己的组件守住了这一项，更有利于监控网络数据流。]（或一些其他正常软件）所添加的，比如nod32，大蜘蛛，和一些上网验证的客户端等。所以，对于【重置winsock】要谨慎使用，一般情况下，不必刻意的去理会他。

  

  

Ⅶ，Autorun.inf

正常情况下，Autorun.inf应为空，如：

==================================

Autorun.inf

N/A

==================================

如果出现了东西，那么就是病毒了，如：

==================================

Autorun.inf

[C:\]

[AuToRuN]

open=XXX.EXE

shell\open=打开(&O)

shelL\open\ComMand= XXX.EXE

[D:\]

[AuToRuN]

open= XXX.EXE

shell\open=打开(&O)

shelL\open\ComMand= XXX.EXE

===============================

这个表明该病毒在C、D分区下建立了Autorun.inf和XXX.EXE，我们可以这样做：

开始——运行——cmd——C:——attrib -a -s -h -r autorun.inf——del autorun.inf

开始——运行——cmd——D:——attrib -a -s -h -r autorun.inf——del autorun.inf

有几个分区感染了，那就重复几次，最后重启机器。

  

  

Ⅷ，HOSTS文件

一般情况下，应该为空或如下：

==================================

HOSTS 文件

127.0.0.1       localhost

=================================

  

还有种可能就一些软件会修改HOSTS文件，添加一些项目，大都是让电脑禁止访问被添加HOSTS项目的网站，如：

127.0.0.1       localhost

127.0.0.1       www.jshdf.com

127.0.0.1       bbs.jrg.com.cn

  

我们视情况而定，如果被屏蔽的是一些主流杀毒软件、安全网站的话，我们就要建议日志提供者要重置HOSTS文件了。

   

Ⅸ，进程特权扫描

在windows系统, 进程特权是程序执行相应操作所需要的。如对系统进程进行内存读取（有时仅仅是为了遍历进程，得到其映像文件名，要对目标进程的PEB进行读取）需要SeDebugPrivilege权限，用程序调用ExitWindowsEx关闭或重启计算机需要SeShutdownPrivilege等等，如果没有相应权限，相应操作就会被系统阻止。

一些软件，比如杀毒软件等，它们因为需要一直监控运行，所以具有更高的进程特权。

例如：

==================================

进程特权扫描

特殊特权被允许： SeLoadDriverPrivilege [PID = 2016, C:\PROGRAM FILES\SHADOW DEFENDER\DEFENDERDAEMON.EXE]

特殊特权被允许： SeSystemtimePrivilege [PID = 2016, C:\PROGRAM FILES\SHADOW DEFENDER\DEFENDERDAEMON.EXE]

特殊特权被允许： SeDebugPrivilege [PID = 2016, C:\PROGRAM FILES\SHADOW DEFENDER\DEFENDERDAEMON.EXE]

特殊特权被允许： SeLoadDriverPrivilege [PID = 2492, F:\PROGRAM FILES\SANDBOXIE\SBIESVC.EXE]

特殊特权被允许： SeLoadDriverPrivilege [PID = 1632, F:\PROGRAM FILES\TENCENT\QQ2010精睿版\BIN\HKDLLS\KQADTRAY.EXE]

特殊特权被允许： SeSystemtimePrivilege [PID = 1632, F:\PROGRAM FILES\TENCENT\QQ2010精睿版\BIN\HKDLLS\KQADTRAY.EXE]

特殊特权被允许： SeDebugPrivilege [PID = 1632, F:\PROGRAM FILES\TENCENT\QQ2010精睿版\BIN\HKDLLS\KQADTRAY.EXE]

特殊特权被允许： SeLoadDriverPrivilege [PID = 4020, F:\USERS\LIUJIEHUA\APPDATA\ROAMING\CHROMEPLUS\CHROME.EXE]

特殊特权被允许： SeSystemtimePrivilege [PID = 4020, F:\USERS\LIUJIEHUA\APPDATA\ROAMING\CHROMEPLUS\CHROME.EXE]

==================================

在这里，我们可以根据映像路径和映像文件名来判断此文件的是否正常。

   

   

Ⅹ，计划任务

计划任务可以定义关机时间及开机启动，自定义时间启动某些程序和更新等，所以有些病毒往往会利用这个功能实现开机自动启动。

这个，我们也可以根据映像路径和映像文件名来判断这个人物是否正常。

例如：

==================================

计划任务

[已禁用] \\SogouImeMgr

        f:\PROGRA~1\SOGOUI~1\500~1.381\SGTool.exe --appid=pinyinrepair /S

[已启用] \\{4731A4CA-7C6E-4AF6-AD5D-68EBE5309B9E}

        C:\Windows\system32\pcalua.exe -a H:\笔记本电脑\必要安装程序\ha_regvac50126.exe -d H:\笔记本电脑\必要安装程序

[已禁用] \Microsoft\Windows\Active Directory Rights Management Services Client\AD RMS Rights Policy Template Management (Automated)

        N/A 

[已启用] \Microsoft\Windows\Active Directory Rights Management Services Client\AD RMS Rights Policy Template Management (Manual)

        N/A

==================================

   

   

ⅰ，Windows 安全更新检查

System Repair Engineer (SREng) 2.81 版本增加了Windows 安全更新扫描功能，它能检查你系统还未打完的补，但不能自主修复。

   

   

ⅱ，API HOOK

这个……一般杀毒软件会很乐意进行挂钩~因为杀毒软件为了从更深的层次得监控保护电脑,从而就会修改此处。

一般为N/A，如：

==================================

API HOOK

N/A

   

==================================

   

或者为杀毒软件所修改的，如：

==================================

API HOOK

入口点错误：ShellExecuteExW (危险等级: 一般,  被下面模块所HOOK: d:\Program Files\Kingsoft\WebShield\kswebshield.dll)

   

==================================

同样，我们可以根据映像路径和映像文件名来判断此钩子的是否正常。

   

    

ⅲ，隐藏进程

一般情况下，是为N/A，如：

==================================

隐藏进程

N/A

    

==================================

或者是杀毒软件，一些安软，为了保护自身不被病毒干掉，所以创建了隐藏进程。

    

注意：如果在这里出现iexplore.exe，那么你就要小心了~！IE是不会自己创建隐藏进程的。这种情况，一般都是灰鸽子等。

转载于:https://blog.51cto.com/erican/344714