(转帖)sreng日志分析菜苗级别的小结
[size=5][color=#008000]System Repair Engineer(SREng) 是一款全新的、强有力的、可扩充的用于调整和修复你系统的免费工具,在这个工具的帮助下,你可以察觉你的系统故障并能够很容易的修复他们。[/color][/size]
[size=5][/size]
[size=5]写在前面:
1,虽然自己看的日志还严重的缺乏,在参考了日志分析高手崔衍渠老师的SREng 日志分析方法 (1.1.0) 正常的系统启动项目 (1.1.0),并找了还保留在电脑里面的10几个日志,整理出以下内容希望有兴趣学习日志分析这份体力活的朋友有所帮助
2,如果有什么建议的可以跟帖,因为有些项目收集的不住没有列出来,等待以后的修改吧[/size]
3,百度是老师,Google是教授要是你分析完10000份日志之后,估计就不会感觉到这个日志的难处了---shurenzhi
技术这个东西就是一张纸,一捅就破。关键是你怎么去捅---smallfrogs
[color=red] 4,希望得到各位达人的指导,日志分析入门[/color]
引用:[indent][size=4][color=green]日志分析小小技巧的小小的总结
1,优先查看描述为<N/A>或者为<>的项目,描述为<Microsoft Corporation>的也不一定是良民,描述为 [(Verified)Microsoft Windows Publisher]的可以目前为止可以忽略掉
2,熟悉常见的系统进程,系统文件名称正常应该存在的路径,是否有数字前面等,对于判别可疑文件是否为病毒很有帮助
3,了解病毒常常蹲点的目录的目录很有必要
4,百度 google对不熟悉的可疑文件判定很有帮助,但是请善待搜索到的东西,搜索到到可不都是病毒哦 还是实践出真理
5,了解并熟悉系统服务的服务名称,显示名称和其他参数,有助于找出病毒伪装的服务或者驱动
6,了解病毒常常下蛋的地方有助于可疑文件的判断
[/color][/size][color=blue][b]%TEMP%
%SystemRoot%\ (病毒的最爱)
%SystemRoot%\Temp
%SystemRoot%\Debug
%SystemRoot%\inf (隐藏文件夹)
%SystemRoot%\Fonts
%SystemRoot%\WBEM
%SystemRoot%\system
%SystemRoot%\system32\ (病毒的最爱)
%SystemRoot%\system32\spool
%SystemRoot%\system32\drivers
%SystemRoot%\system32\wbem
%SystemRoot%\system32\Com (磁碟机喜欢这里蹲点)
%ProgramFiles%\Internet Explorer
%ProgramFiles%\Internet Explorer\PLUGINS (某些病毒也很喜欢这里)
%CommonProgramFiles%
%CommonProgramFiles%\System
%CommonProgramFiles%\Microsoft Shared\VGX
%CommonProgramFiles%\Microsoft Shared\MSInfo (以前经常看到)
%USERPROFILE%\「开始」菜单\程序\启动
%ALLUSERSPROFILEC%\「开始」菜单\程序\启动 (磁碟机下蛋的地方)
%USERPROFILE%\Local Settings\Temporary Internet Files (临时文件夹有些病毒也很喜欢这里)
[/b][/color]不知道这些个系统变量具体代表什么的建议命令行下 set看看
.....等等 ^_^[/indent]
第一部分:关注下“敌人的把戏”
引用:[indent]1,注册表启动项目分析小技巧,更多的请参考二楼
1.1 [HKEY_CURRENT_USER\Software\Microsoft\Windows NT\CurrentVersion\Windows]
[color=red]<load> [/color]
此键值,正常为空
Eg:典型的病毒项目
[HKEY_CURRENT_USER\Software\Microsoft\Windows NT\CurrentVersion\Windows]
<load><c:\windows\system32\svoh0st.exe> [N/A]
1.2 [HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon]
[color=red] <shell><c:\windows\Explorer.exe> [(Verified)Microsoft Windows Publisher][/color]
此键值,正常值为explorer.exe或者c:\windows\Explorer.exe
Eg:典型的病毒项目
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon把
"Shell"="Explorer.exe 1"
注意这里的1
1.3 [HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon]
[color=red] <Userinit><C:\windows\system32\userinit.exe> [(Verified)Microsoft Windows Publisher][/color]
此键值正常值为C:\windows\system32\userinit.exe,
Eg:典型的病毒项目
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon]
<Userinit><userinit.exe,EXPLORER.EXE> [(Verified)Microsoft Windows Publisher]
注意这里的EXPLORER.EXE实际上是病毒
1.4 [HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Windows]
[color=red] <AppInit_DLLs><> [N/A][/color]
此键值正常值为空,但是可能是【卡卡助手 KIS7.0,木马克星等】
Eg:典型的病毒项目
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Windows]
<AppInit_DLLs><jzgpri.dll> []
1.5 [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks]
此项一般下面没有什么内容,正常的比如瑞星的RavExt.dll
Eg:典型的病毒项目
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks]
<{014A26F5-FBAD-4549-9CA1-C38210704BD1}><C:\Program Files\Common Files\Microsoft Shared\MSINFO\System16.ins> []
1.6 [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\SharedTaskScheduler]
此项下面一般不会有内容
Eg:典型的病毒项目
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\SharedTaskScheduler]
<{ABCCEEF0-CCDE-7789-88AA-223455779AAC}><C:\WINDOWS\system32\GFOMWUDC.dll> []
1.7 [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\Your Image File Name Here without a path]
[color=red] <IFEO[Your Image File Name Here without a path]><ntsd -d> [N/A][/color]
此项下面一般只有上上面显示的一项
Eg:典型的病毒项目
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\kav32.exe]
<IFEO[kav32.exe]><C:\Program Files\Common Files\Microsoft Shared\gkntuth.exe> []
简单解析:当执行kav32.exe的时候实际上执行的却是病毒程序gkntuth.exe[/indent]
2.其他项目的分析:
引用:[indent]2.1
正义的
Kingsoft Antivirus KWatch Service/KWatchSvc <Kingsoft Corporation>
NVIDIA Display Driver Service / NVSvc <NVIDIA Corporation>
邪恶的
90C18ED8 / 90C18ED8 <N/A>
B302EC43 / B302EC43 <Microsoft Corporation>
(1)[Kingsoft Antivirus KWatch Service / KWatchSvc][Running/Auto Start]
<"D:\Program Files\Kingsoft\Kingsoft Internet Security 2008\KWatch.EXE"><Kingsoft Corporation>
(2)[NVIDIA Display Driver Service / NVSvc][Running/Auto Start]
<C:\WINDOWS\system32\nvsvc32.exe><NVIDIA Corporation>
(3)[90C18ED8 / 90C18ED8][Stopped/Auto Start]
<><N/A>
(4)[B302EC43 / B302EC43][Stopped/Auto Start]
<C:\WINDOWS\system32\75D23BE4.EXE -d><Microsoft Corporation>
简单的终结下
first:为了更好的让人了解服务的功能,正常的服务项目 显示名称要比服务名称更详细(比如这里的金山毒霸文件实时监控的服务)
second:奇怪的服务名称。比如纯数字看似随机产生的(流行的auto类病毒常用的手段),和描述为<N/A>的更有可能是病毒服务,描述为<Microsoft Corporation>的不一定是良民
[/indent]
引用:[indent]2.2,
【正常的】Help and Support / helpsvc C:\WINDOWS\System32\svchost.exe pchsvc.dll <N/A>
【病毒加载的】Help and Support / helpsvc C:\WINDOWS\system32\interne.exe pchsvc.dll <Microsoft Corporation>
([b]注意这里的这个加载程序一转眼咋土鸡变凤凰了 [color=red]svchost.exe[/color]变[color=magenta]interne.exe[/color] 可疑啊 可疑[/b] )
【正常的】DCOM Server Process Launcher / DcomLaunch C:\WINDOWS\system32\svchost.exe rpcss.dll <Microsoft Corporation>
【病毒加载的】DCOM Service Process Manager / DCOMManager C:\WINDOWS\system32\svchost.exe pcidevices8.inf <Microsoft Corporation>
(1)[Help and Support / helpsvc][Stopped/Disabled]
<C:\WINDOWS\System32\svchost.exe -k netsvcs-->%WINDIR%\PCHealth\HelpCtr\Binaries\pchsvc.dll><N/A>
(2)[Help and Support / helpsvc][Stopped/Auto Start]
<C:\WINDOWS\system32\interne.exe-->%WINDIR%\PCHealth\HelpCtr\Binaries\pchsvc.dll><Microsoft Corporation>
(3)[DCOM Service Process Manager / DCOMManager][Running/Auto Start]
<C:\WINDOWS\system32\svchost.exe -k netsvcs-->c:\windows\inf\pcidevices8.inf><Microsoft Corporation>
(4)[DCOM Server Process Launcher / DcomLaunch][Running/Auto Start]
<C:\WINDOWS\system32\svchost -k DcomLaunch %SystemRoot%\system32\rpcss.dll> <Microsoft Windows XP Publisher>
小小的总结下:
first:即使服务名和显示名称看似和系统服务类似或者一模一样,也要仔细关注它的启动程序,对于svchost.exe加载的要注意加载的dll文件(^_^ 这可是 灰鸽子之类通过服务加载的木马程序常用的伎俩哦)
second:为了更好的找出小坏蛋,熟悉操作系统的服务的服务名,显示名称,加载程序 很有必要[/indent]
引用:[indent]2.3,[drop / drop][Stopped/Auto Start]
<\??\C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\tmp31.tmp><N/A>
[fpids32 / fpids32][Running/Auto Start]
<\??\C:\WINDOWS\system32\drivers\msosfpids32.sys><N/A>
[iCafe Manager / iCafe Manager][Stopped/Manual Start]
<\??\C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\usbhcid.sys><N/A>
[Sc Manager / Sc Manager][Stopped/Manual Start]
<\??\C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\usbcams3.sys><N/A>
[DeepFree Update / DeepFree Update][Stopped/Manual Start]
<\??\C:\WINDOWS\system32\drivers\pcihdd2.sys><N/A>
[mhfp / mhfp][Stopped/Auto Start]
<\??\C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\tmp7.tmp><N/A>
总结下:
可能会说总结什么啊 不是和上面的差不多 奇怪的名称 还有<N/A>,注意C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\usbcams3.sys(流行的病毒哦),C:\WINDOWS\system32\drivers\pcihdd2.sys(中过机器狗的估计不会忘记),似乎这些都是一些流行的病毒释放的东西啊,^_^ 这小节想和大家分享的是如果你常常关注一些新病毒的释放项目在病毒分析的时候是不是不需要google 百度了 直接秒杀[/indent]
引用:[indent]2.4, <upxdnd><C:\WINDOWS\upxdnd.exe> []
<Kvsc3><C:\WINDOWS\Kvsc3.exE> []
<msccrt><C:\WINDOWS\msccrt.exe> []
<cmdbcs><C:\WINDOWS\cmdbcs.exe> []
<DbgHlp32><C:\WINDOWS\DbgHlp32.exe> []
<LotusHlp><C:\WINDOWS\LotusHlp.exe> []
<PTSShell><C:\WINDOWS\PTSShell.exe> []
<SHAProc><C:\WINDOWS\SHAProc.exe> []
<WSockDrv32><C:\WINDOWS\WSockDrv32.exe> []
<{D29DCEE0-457B-45A2-A92D-741B95B7723B}><C:\Program Files\Internet Explorer\PLUGINS\Ns_Sys55.Sys> []
.......很有很多可惜保存下来的日志不多
简单总结下,病毒常常蹲点的目录
%TEMP%
%SystemRoot%\ (病毒的最爱)
%SystemRoot%\Temp
%SystemRoot%\Debug
%SystemRoot%\inf (隐藏文件夹)
%SystemRoot%\Fonts
%SystemRoot%\WBEM
%SystemRoot%\system
%SystemRoot%\system32\ (病毒的最爱)
%SystemRoot%\system32\spool
%SystemRoot%\system32\drivers
%SystemRoot%\system32\wbem
%SystemRoot%\system32\Com (磁碟机喜欢这里蹲点)
%ProgramFiles%\Internet Explorer
%ProgramFiles%\Internet Explorer\PLUGINS (某些病毒也很喜欢这里)
%CommonProgramFiles%
%CommonProgramFiles%\System
%CommonProgramFiles%\Microsoft Shared\VGX
%CommonProgramFiles%\Microsoft Shared\MSInfo (以前经常看到)
%USERPROFILE%\「开始」菜单\程序\启动
%ALLUSERSPROFILEC%\「开始」菜单\程序\启动 (磁碟机下蛋的地方)
%USERPROFILE%\Local Settings\Temporary Internet Files (临时文件夹有些病毒也很喜欢这里)
不知道这些个系统变量具体代表什么的建议命令行下 set看看[/indent]
引用:[indent]2.5,
C:\WINDOWS\system32\wuauclt1.exe
C:\WINDOWS\system32\wuauc1t1.exe
C:\WINDOWS\system32\wuauclt.exe
C:\WINDOWS\system32\wuaulct.exe
小结一下:
此类病毒一般是对文件名做手脚, [color=red]O[/color] not [color=magenta]0[/color]---就如[color=red]iexpl0re.exe[/color]和 [color=magenta]svch0st.exe[/color] [color=red]l [/color]not [color=magenta]1 [/color]---比如这里的[color=red]wuauclt1.exe[/color]和[color=magenta]wuauc1t1.exe[/color];添加删除位置变化 ---比如 [color=red]spoolsv32.exe[/color]多了32 [color=magenta]ieplorer.exe[/color]多了R,这里的[color=red]wuauclt.exe[/color] 和[color=magenta]wuaulct.exe[/color]【cl和lc】,又如scvhost.exe采用了vc位置变化;后缀名上做文章,比如这里的kernel32.exe 貌似很系统的一个文件,但是有这个文件吗没有,kernel32.dll倒是有一个,还缺了不行;类似的通过文件名的变化 应该还有很多,但是俺可想不出来其他的.....一些其他的可以参考,此节说明了解一些操作系统文件对于日志分析的重要性[url=http://bbs.duba.net/blog.php?tid=21826335][color=green]拨开迷雾看真相-----病毒易容记[/color][/url][/indent]
引用:[indent]2.6,我电脑中毒了。TcpIPdog0.dll?
我用卡巴。xp系统。说是访问在系统32里的TcpIPdog0.dll被拒绝。感染了Trojan-Spy.win32.mlwatch.a.
我在安全模式下把c盘杀完了毒。但是重起到正常还是会有上面的提示,,,,,,,,,,,,
我的winsock你看这些是病毒吧
MSAFD Tcpip [TCP/IP]
C:\WINDOWS\system32\TcpIpDog0.dll(, N/A)
MSAFD Tcpip [UDP/IP]
C:\WINDOWS\system32\TcpIpDog0.dll(, N/A)
MSAFD Tcpip [RAW/IP]
C:\WINDOWS\system32\TcpIpDog0.dll(, N/A)
RSVP UDP Service Provider
C:\WINDOWS\system32\TcpIpDogR0.dll(, N/A)
RSVP TCP Service Provider
C:\WINDOWS\system32\TcpIpDogR0.dll(, N/A)
百度得到的最佳答案
卡巴本来就有神经病!!
你可以根据卡巴里的位置提示手动把他删了
再就是用备份还原一下
小结下:
其实TcpIPdog0.dll是dr.com宽带网客户端的应用程序扩展的应用程序扩展,至于修复这个以后能不能上网偶们这里不用这个客户端的不知道 ^_^ ,这里只想告诉大家百度 google搜索到的东西可不都是病毒哦 实践出真理 ^_^ [/indent]
[size=5][b]以下补充下病毒通过正常程序启动的情况
[/b][/size][size=4]1,通过svchost.exe文件启动自身
2,通过rundll32.exe文件启动自身
3,通过映像挟持启动自身
4,通过加载命令提示行前的处理加载自身
[/size]引用:[indent]1,[url=http://baike.baidu.com/view/538950.htm][color=green]点击先来了解下svchost.exe吧[/color][/url]
大家都知道svchost.exe是一个属于微软Windows操作系统的系统程序,用于执行DLL文件。这个程序对你系统的正常运行是非常重要的
Svchost本身只是作为服务宿主,并不实现任何服务功能,需要Svchost启动的服务以动态链接库形式实现,在安装这些服务时,把服务的可执行程序指向svchost,启动这些服务时由svchost调用相应服务的动态链接库来启动服务。这就好比svchost就是光驱不管你是黑猫是白猫只要是符合了启动的要求,svchost就让你快活 。
看看典型的的SVchost 加载的问题项目
[DHCP Clients / DHCP Clients][Stopped/Auto Start]
<C:\WINDOWS\system32\svchost.exe -k netsvcs-->C:\WINDOWS\system32\svhost.dll><N/A>
(1)DHCP Clients / DHCP Clients【假】 和 DHCP Client / Dhcp【真】
和系统服务惊人的相似 不过多了一个S 明显就是假冒伪劣产品
(2) C:\WINDOWS\system32\svhost.dll
路径在病毒常蹲点的地方,文件名取得混淆视听的 ^_^ svchost.exe树大招风啊
(3) <N/A>
描述为这个就更可疑了
综上,判处此服务死刑~~~~~~~
附 SVchost加载服务一览表,纯手工整理可能存在不当之处,请指出(注意,svchost路径为%SystemRoot%\system32,另dll文件路径皆为 %SystemRoot%\system32.如果看着不爽可以下载文本的^_^ )[/indent]
引用:[indent]2,[url=http://baike.baidu.com/view/135367.htm][color=green]点击先来了解下rundll32.exe吧[/color][/url]
Rundll32.exe是什么?run 32位dll “执行32位的DLL文件”。为什么要拿它开刀呢 作为一个良民和svchost一样只要dll文件符合要求他都会 加载 但是我们从任务管理器里面只能看到正常的Rundll32.exe,从某种意义上说 使用了rundll32 dll类型的病毒隐藏了自己。
先看个常见的正常项目是怎么来启动自己的 ^_^
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Active Setup\Installed Components\{89B4C1CD-B018-4511-B0A1-5476DBF70820}]
<N/A><C:\WINDOWS\system32\Rundll32.exe C:\WINDOWS\system32\mscories.dll,Install> [Microsoft Corporation]
来看个不正经的 ^_^
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\KASDisabled
[WinShell] <REM "C:\WINDOWS\system32\Rundll32.exe" "C:\WINDOWS\system32\shell32.dll",Control_RunDLL "C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\dat2B.tmp">
文件路径: C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\dat2B.tmp
(1) "C:\WINDOWS\system32\Rundll32.exe" "C:\WINDOWS\system32\shell32.dll"
正常的系统文件Rundll32.exe去执行正常的shell32.dll,^_^ (shell32.dll是Windows壳Shell相关应用程序接口动态链接库文件,用于打开网页和文件)
在我们进行下一步分析的时候 先来做个实验吧 ^_^ 尝试开始-运行输入 rundll32.exe shell32.dll,Control_RunDLL appwiz.cpl看看会出现什么东东
(2)"C:\WINDOWS\system32\shell32.dll",Control_RunDLL "C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\dat2B.tmp">
接着前面的实验成功运行以后,我们会看到弹出添加删除程序的操作界面,OMG rundll32+ shell32.exe+Control_RunDLL竟然可以让一个东西动起来,^_^
好说到这里估计大家已经明白了 这里的C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\dat2B.tmp是可疑文件了吧 ^_^ 还等什么干掉[/indent]
引用:[indent]
3,通过映像挟持启动自身()
[url=http://hi.baidu.com/yicong2007/blog/item/53cf343ffd52bfef55e7234a.html][color=green]更多的点击我 系统对Image File Execution Options的检测流程小探[/color][/url]
所谓的映像劫持(IFEO)就是Image File Execution Options,位于注册表的 [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options 由于这个项主要是用来调试程序用的,对一般用户意义不大。默认是只有管理员和local system有权读写修改,简单的说是张冠李戴了
好,病毒怎么通过挟持来启动自己呢 ^_^ 看个例子吧
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\ctfmon.exe]
<IFEO[ctfmon.exe]><C:\WINDOWS\system32\我是病毒> []
貌似就这段时间遇到好多个人说输入法那个状态栏不见了 扫描日志以后发现被病毒挟持了 果然很和谐 利用几乎每台机子都会启动的一个程序来启动自己再好不过了 ^_^ 当系统启动按照注册表设置的那样运行ctfmon.exe经过李代桃僵以后本来不应该执行的病毒程序被启动而我们需要的ctfmon.exe反而没有启动[/indent]
引用:[indent]
4,通过加载命令提示行前的处理加载自身[url=http://hi.baidu.com/nord/blog/item/3eb2078784698f29c65cc31a.html][color=green]菜鸟守卫战 之 【CMD,我就要用】(注册表篇)
[/color][/url]
我们来关注下这个注册表项目
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Command Processor\AutoRun
HKEY_CURRENT_USER\Software\Microsoft\Command Processor\AutoRun
这是 CMD 的自启动项,打开 CMD 和批处理脚本时,CMD 会先检查这两个键值的数据,如果存在数据会先被执行。有的病毒就是把这个值设为自己的路径,使得用户打开 CMD 前,就先运行病毒体
以前为了美化偶的命令提示行整了一个bat文件 内容如下
@echo off
cls
echo ╔-------------------------------------------------╗
echo ┆ 御剑乘风来,除魔天地间。 ┆
echo ┆ 有酒乐逍遥,无酒我亦癩。 ┆
echo ┆ 一饮尽江河,再饮吞日月。 ┆
echo ┆ 干杯醉不倒,唯我酒剑仙。 ┆
echo ╚-------------------------------------------------╝
title 老鬼专用o(∩_∩)o...哈哈
cd \
prompt 万事从这里做起─№‰※→
color 0A
然后修改注册表 这时打开命令提示行的时候就会发现特别之处了,也会明白病毒为什么会看上这里的
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Command Processor]
"AutoRun"="\"D:\\system explorer\\fxd.bat\""[/indent] 哇,很长。。支持 gdccbbs5 喜欢,强悍
页:
[1]