前是段时间做了一个SREng日志的分析教程,但我觉得要读懂这个日志,还得了解这个日志所表达的信息.这样才能分析好这个日志.
下面,我就SREng日志的各个项目简单解读下.
启动项目
注册表
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run]--------所对应注册表的键值,它会在系统启动后加载里面的信息.
< ctfmon.exe> < C:\windows\system32\ctfmon.exe> [ (Verified)Microsoft Windows Publisher]
|____对应在注册表的名称 |______对应的数据 |____这个文件的版权信息, (Verified)表明已经通过了SRENG的验证
==================================
启动文件夹
[WNSO]
<C:\Documents and Settings\All Users\「开始」菜单\程序\启动\WNSO.lnk --> C:\PROGRA~1\COMMON~1\RGGZS\WNSO.exe [软告工作室]><N>
这个相对简单些.就是在「开始」菜单\程序\启动里的快捷方式, 箭头所表达的是这个快捷方式的目标.
==================================
服务(在运行中输入:services.msc可快速打开服务管理)
[ SQLSERVERAGENT / SQLSERVERAGENT] [ Stopped/ Manual Start]
|_____显示名 |______服务名 |__状态 |___启动方式
< C:\PROGRA~1\MICROS~4\MSSQL\binn\sqlagent.exe>< Microsoft Corporation>
|______是这个服务的文件. |__同上,文件的版权信息.
==================================
驱动程序
[Service for Realtek AC97 Audio (WDM) / ALCXWDM][Running/Manual Start]
<system32\drivers\ALCXWDM.SYS><Realtek Semiconductor Corp.>
同服务的差不多,不再重复.
==================================
浏览器加载项(这个包括有:BHO钩子, 按钮和右键等项目)
[FGCatchUrl]
{ 2F364306-AA45-47B5-9F9D-39A8B94E7EF7} < E:\Program XP\FlashGet\jccatch.dll, [url]www.flashget.com[/url]>
|_____CLSID |___对应的文件 |__版权
==================================
正在运行的进程
[PID: 1528] --------进程号 [C:\windows\Explorer.EXE] --------文件的位置 [Microsoft Corporation, -------文件的版权 6.00.2900.2180 (xpsp_sp2_rtm.040803-2158)] -------------文件的版本号
-----------------这是一条进程
[C:\windows\system32\Normaliz.dll] --------文件的位置 [Microsoft Corporation, -------文件的版权 6.0.5441.0 (winmain(wmbla).060628-1735)] -------------文件的版本号
------------------这是EXPLORER的一个模块
==================================
文件关联
.TXT OK. [ %SystemRoot%\system32\NOTEPAD.EXE %1]
|__文件类型 |__状态 |___用什么程序打开
==================================
Winsock 提供者
WINSOCK 是在Windows进行网络通信编程的API接口,也是Windws网络编程的事实标准.
如果其出错了,则会无法上网.
==================================
Autorun.inf
这个一般是中了U盘病毒才会出现,但不绝对.其格式如下:
[AutoRun]
OPEN=OSO.exe ------------------------一旦双击就运行这个文件.
shellexecute=OSO.exe----------这个不是很明白,哪位懂的指点一二
shell\Auto\command=OSO.exe ---------在磁盘上击右键时出现一个Auto选项,点击出会运行OSO.exe
==================================
HOSTS 文件
HOSTS文件是一个主机到IP地址的映射列表(优化大师的快速域名解释功能应该是通过改这个文件).
一般情况下只有一个:
127.0.0.1 localhost
360等辅助工具会用这个功能进行些不良网站的屏蔽,但一些更高级点的病毒已经不再使用此方法了~
下面,我就SREng日志的各个项目简单解读下.
启动项目
注册表
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run]--------所对应注册表的键值,它会在系统启动后加载里面的信息.
< ctfmon.exe> < C:\windows\system32\ctfmon.exe> [ (Verified)Microsoft Windows Publisher]
|____对应在注册表的名称 |______对应的数据 |____这个文件的版权信息, (Verified)表明已经通过了SRENG的验证
==================================
启动文件夹
[WNSO]
<C:\Documents and Settings\All Users\「开始」菜单\程序\启动\WNSO.lnk --> C:\PROGRA~1\COMMON~1\RGGZS\WNSO.exe [软告工作室]><N>
这个相对简单些.就是在「开始」菜单\程序\启动里的快捷方式, 箭头所表达的是这个快捷方式的目标.
==================================
服务(在运行中输入:services.msc可快速打开服务管理)
[ SQLSERVERAGENT / SQLSERVERAGENT] [ Stopped/ Manual Start]
|_____显示名 |______服务名 |__状态 |___启动方式
< C:\PROGRA~1\MICROS~4\MSSQL\binn\sqlagent.exe>< Microsoft Corporation>
|______是这个服务的文件. |__同上,文件的版权信息.
==================================
驱动程序
[Service for Realtek AC97 Audio (WDM) / ALCXWDM][Running/Manual Start]
<system32\drivers\ALCXWDM.SYS><Realtek Semiconductor Corp.>
同服务的差不多,不再重复.
==================================
浏览器加载项(这个包括有:BHO钩子, 按钮和右键等项目)
[FGCatchUrl]
{ 2F364306-AA45-47B5-9F9D-39A8B94E7EF7} < E:\Program XP\FlashGet\jccatch.dll, [url]www.flashget.com[/url]>
|_____CLSID |___对应的文件 |__版权
==================================
正在运行的进程
[PID: 1528] --------进程号 [C:\windows\Explorer.EXE] --------文件的位置 [Microsoft Corporation, -------文件的版权 6.00.2900.2180 (xpsp_sp2_rtm.040803-2158)] -------------文件的版本号
-----------------这是一条进程
[C:\windows\system32\Normaliz.dll] --------文件的位置 [Microsoft Corporation, -------文件的版权 6.0.5441.0 (winmain(wmbla).060628-1735)] -------------文件的版本号
------------------这是EXPLORER的一个模块
==================================
文件关联
.TXT OK. [ %SystemRoot%\system32\NOTEPAD.EXE %1]
|__文件类型 |__状态 |___用什么程序打开
==================================
Winsock 提供者
WINSOCK 是在Windows进行网络通信编程的API接口,也是Windws网络编程的事实标准.
如果其出错了,则会无法上网.
==================================
Autorun.inf
这个一般是中了U盘病毒才会出现,但不绝对.其格式如下:
[AutoRun]
OPEN=OSO.exe ------------------------一旦双击就运行这个文件.
shellexecute=OSO.exe----------这个不是很明白,哪位懂的指点一二
shell\Auto\command=OSO.exe ---------在磁盘上击右键时出现一个Auto选项,点击出会运行OSO.exe
==================================
HOSTS 文件
HOSTS文件是一个主机到IP地址的映射列表(优化大师的快速域名解释功能应该是通过改这个文件).
一般情况下只有一个:
127.0.0.1 localhost
360等辅助工具会用这个功能进行些不良网站的屏蔽,但一些更高级点的病毒已经不再使用此方法了~
转载于:https://blog.51cto.com/motus/73066