学看SREng 日志分析 报告.doc

学看 SREng 日志分析 报告 .2008年09月05日 星期五 13:29学看 SRE 报告 第一讲很早就想写，关于如何看SRE报告的文章。 只是这东西，我觉得不是用文字，就能完全表达清楚的。做为教程的第一帖，我先讲一下SRE报告的“结构”。掌握了结构，大家就不会对满屏的英文，感到头疼了。一。SRE报告整体结构说明一份完整的 SRE 报告，分为如下 13 部分：1. 注册表启动项目2. 启动文件夹3. 系统服务项目4. 系统驱动文件5. 浏览器加载项6. 正在运行的进程（包括进程模块信息）7. 文件关联8. Winsock 提供者9. Autorun.inf10.HOSTS 文件11.进程特权扫描12.API HOOK13.隐藏进程其中，判断一台电脑，是否存在异常，主要是查看：1. 注册表启动项目3. 系统服务项目4. 系统驱动文件6. 正在运行的进程8. Winsock 提供者9. Autorun.inf10.进程特权扫描在这次的教程中，我先讲解第一项：注册表启动项目， 的结构看法。二。SRE报告注册表启动项目，结构讲解在任何一份SRE报告中，注册表启动项目，都有相同的结构，我下面随便举个例子：HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionRun (Verified)Microsoft Windows 2000 Publisher第一行：HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionRun ，代表的是：这个启动项目，在注册表中的详细位置。第二行： (Verified)Microsoft Windows 2000 Publisher，由三部分组成：1. ，这个项目，是指该启动项，在注册表中的名称。不同的启动项目，自然名称也不会相同。2. ，这个项目，分两种情况： 对于（经过验证的）系统关键文件，SRE则直接列出该项目的文件名称，而不给出相应的详细路径。这种文件，一般在后面都会标有“(Verified)”，我后面解释。 对于普通文件，则会在这个项目中，给出详细的文件路径和名称，比如：c:windowssystem32abc.exe在我们这次的例子中，是满足：的。引用:说明：这个说法有误。其实在此处，显示的就是该注册表键完整的键值，无论其是否是正常的文件或经过验证的文件。对于键值为相对路径的情况（如Explorer.exe），系统自动遍历环境变量PATH中的文件夹列表，来查找文件。3.(Verified)Microsoft Windows 2000 Publisher，这项代表：该文件，是否含有“公司签名认证”SRE这个软件，自身具备了对“系统关键文件”和一些“众所周知的软件的文件”（如：explorer.exe,winlogon.exe,userinit.exe等）的“验证检测”，凡是通过了检测的系统关键文件，SRE在公司名这里，都会标有：Verified，这个英文。换个角度来说：在SRE报告中，凡是出现“Verified”这个英文的启动项目，都100是正常的启动项目。引用:100%这个说法太绝对了。其实看被机器狗修改的文件就知道，有这个字样，但是没有公司名称，也是有问题的。严格意义上来说，这叫“数字签名验证”，使用的是一定的对称散列算法。总结一下，在SRE报告的：注册表启动项目中，虽然条目有很多，但是，全部都遵守这个结构：【启动项目的详细注册表位置】【启动项目的名称】【启动项目对应的文件的详细路径】【公司签名】我们再来看个例子，大家对照着，看一下：HKEY_LOCAL_MACHINESoftwareMicrosoftWindows NTCurrentVersionWinlogon (Verified)Microsoft Windows 2000 Publisher看完这两行，大家应该得到如下结论：此启动项目名称：Shell此启动项目对应文件： Explorer.exe此启动项目在注册表中对应的位置：HKEY_LOCAL_MACHINESoftwareMicrosoftWindows NTCurrentVersionWinlogon公司签名：Microsoft Windows 2000 Publisher是否经过SRE“验证”：是 （因为有Verified）引用:Microsoft Windows 2000 Publisher在这里不止是公司的名称。系统文件的版本信息中可见的公司名称，其实是Microsoft Corporation然而对于系统文件，SREng可以显示更具体的细节，因此这里显示的是这样一个结果。可以发现，SREng2.5和2.6在这个地方显示的结果不同。三。启动项目的“特例”1. 咱们上面讲的，是标准的启动项目信息，有些文件的启动项目，稍微“拐了一个弯”，我们来看个例子，我再讲解：HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionRun NVIDIA Corporation这个启动项目，算是比较复杂的了，但还算是够常见，第一行，不解释了。主要解释第二行的中间：和我们上面讲解的结构不同。这个启动项目，具有一层隐含意思。在windows中，DLL类型的文件（动态数据库链接文件），是不能自己独立运行的。它必须找“载体”来运行。在windows系统中，运行 DLL 类型的文件的载体，就是：Rundll32.exe。所以，我们分析一下上面那行文件信息：RUNDLL32.EXE C:WINNTsystem32NvMcTray.dll,NvTaskbarInit意思就是：C:WINNTsystem32NvMcTray.dll，这个真正的启动文件，正在依靠 RUNDLL32.EXE，这个程序，进行启动。对于这种启动项目，在文件详细信息这里，其结构就发生了变化，变为：载体 主运行文件的详细位置。这个大家能理解就行了。在windows系统中，载体，不止包括：rundll32.exe，常见的，还包括：svchost.exe，大家照猫画虎，应该可以想到的。引用:在这里更加正确和根本的解释是：键值所显示的，是系统按此项启动时，执行的命令行。因此这里说的实际上是命令行的构成。这里其实是启动Rundll32.exe，把dll名和其他相应参数作为命令行（CommandLine）参数传递。2. 在windows系统中，有一项及其特殊的启动项目，其名称为：AppInit_dlls对于这个键值，正常的情况是：该项目的值，为空。也就是说，正常的电脑，这个启动项目，应该是这样的：HKEY_LOCAL_MACHINESoftwareMicrosoftWindows NTCurrentVersionWindows N/A如果在一份报告中，此项的“文件信息”，这个位置，出现东西，则分两种情况考虑：被美化软件，修改目前许多朋友，都喜欢通过美化软件，来美化系统。据我所知，有些高级美化软件，为了达到彻底美化系统的效果，会修改此键值，典型的软件：Windows Blinds这款软件安装后，此项目的值被修改为：wbsys.sys。大家知道就行了。注意： 此项注册表启动信息，绝对不能删除，只能在SRE中，双击进入编辑模式，然后把里面的文件名称去掉，留为空值，就可以了。被病毒修改。遇到上面的美化情况，可以问一下电脑的使用者，是否美化了系统，使用了什么美化软件。如果没有用，而且，此键值出现了文件信息，则中毒的几率非常大。比如下面的例子：HKEY_LOCAL_MACHINESoftwareMicrosoftWindows NTCurrentVersionWindows N/A如果这个启动项目，出现在报告中，必须要引起100000000000的高度重视，必须看清是空值（即正常值），还是有其他信息。判断方法： 看这个文件（如我的例子中的：kamabas.dll），是不是在报告的“正在运行的系统进程”，中，插入了大部分进程。如果是：则100为病毒。（后面我会再次讲到的）引用:这里的说法比较笼统。实际上，这一个键值显然不是为了病毒而存在的-这个键值的作用，是每一个进程启动加载user32.dll的时候，会自动加载这个键值中保存的所有dll美化软件就是使用这样的功能，对所有使用图形界面的程序的窗口进行改造。只是为了能被所有加载user32.dll的进程加载，就可以使用这些项目，包括某些杀毒软件。SREng对于此项非空的提示，并不表示一定是病毒造成的问题，应谨慎判断。四。启动项目“通用正常启动信息”对于windows XP 系统，在任何一台电脑上，都有如下启动信息，这些信息都是正常信息，看到后无须判断，直接精简掉：1.HKEY_LOCAL_MACHINESOFTWAREMicrosoftActive SetupInstalled Components26923b43-4d38-484f-9b9e-de460746276c N/A2.HKEY_LOCAL_MACHINESOFTWAREMicrosoftActive SetupInstalled Components881dd1c5-3dcf-431b-b061-f3f88e8be88a N/A3.HKEY_LOCAL_MACHINESOFTWAREMicrosoftActive SetupInstalled Components2C7339CF-2B09-4501-B3F3-F3508C9228ED N/A4.HKEY_LOCAL_MACHINESOFTWAREMicrosoftActive SetupInstalled Components44BBA840-CC51-11CF-AAFA-00AA00B6015C N/A5.HKEY_LOCAL_MACHINESOFTWAREMicrosoftActive SetupInstalled Components44BBA842-CC51-11CF-AAFA-00AA00B6015B (Verified)Microsoft Windows Publisher6.HKEY_LOCAL_MACHINESOFTWAREMicrosoftActive SetupInstalled Components5945c046-1e7d-11d1-bc44-00c04fd912be (Verified)Microsoft Windows Publisher7.HKEY_LOCAL_MACHINESOFTWAREMicrosoftActive SetupInstalled Components6BF52A52-394A-11d3-B153-00C04F79FAA6 (Verified)Microsoft Windows Component Publisher8.HKEY_LOCAL_MACHINESOFTWAREMicrosoftActive SetupInstalled Components7790769C-0471-11d2-AF11-00C04FA35D02 N/A9. N/A10. N/A11. (Verified)Microsoft Windows Publisher引用:在这里原作者没有很好的解释（或许他自己也不太清楚）这一项目的作用，可能导致有些读者因此认为Installed Components项目的检测是“鸡肋”。在此可以告诉大家，全然不是这样，这个项目是我们当时极力向smallfrogs建议加入的项目。虽然在大部分情况下这个项目下不会存在异常，然而这个项目仍然作为一个可以启动的位置，而且是相比之下极为隐蔽的位置，彩虹桥等木马就曾藏身于此，特别因为此木马是远程注入无进程的，因此一段时间内甚难以发现其踪迹。因此此项绝非虚设。五。关于 IFEO，在此项目中的反映。请提前参考：IFEO技术介绍：/blog/static/448194812007818115139284/在SRE报告的注册表启动项目中，如果出现：HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindows NTCurrentVersionImage File Execution Options则证明有IFEO，劫持情况出现，这种情况，我在以前的日志写过了，根据下面的文件信息，挑出病毒文件。留着后面删除。最后，用System Detector，这个软件，一键修复即可。举例，大家看一下，是这样的：HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindows NTCurrentVersionImage File Execution OptionsAppSvc32.exe HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindows NTCurrentVersionImage File Execution OptionsArSwp.exe HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindows NTCurrentVersionImage File Execution OptionsAST.exe HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindows NTCurrentVersionImage File Execution Optionsautoruns.exe 典型的IFEO类病毒，参考的SRE报告：/blog/static/4481948120078299324191/（大部分安全类软件，都被“IFEO”了）我简单解释一下“第二行”：意思是，利用IFEO技术，劫持正常的文件名为：autoruns.exe 的文件。：这个就是劫持的主体了，文件名可以看出来吧？说白了，上面的最后2行，意思就是：当碰到autoruns.exe这个文件的时候，则改为执行：addslta.exe，这个文件。引用:准确地来说，是当被IFEO劫持的程序执行时，系统转而调用目标程序，并把被IFEO劫持程序执行时的完整命令行作为命令行参数加在后面进行传递。因此当被IFEO劫持程序与目标程序是同一个时，将导致此过程不停地循环，最终使命令行长度超过系统限制而使操作失败。六。如何挑选，区分正常，和不正常的启动项目。1.正常的系统文件，在不正常的文件位置。（正常的位置，相似的名称）这个，就需要看报告的人自己去掌握，必须要时刻牢记，windows常见进程，对应的文件名称，位置！我举个例子，大家看一下：HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionRun Microsoft CorporationHKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionRun Microsoft Corporation这两个启动项目，是正常的？还是不正常的？这里我就不说了，留给大家，思考一下吧2.看公司签名95的病毒，其病毒文件，都是没有公司签名的，对于没有公司签名的文件，在SRE报告中，其公司名处。显示为：，或者N/A。在看报告的时候，特别留心，公司签名是这种的。例如： N/A N/A当然，剩下的5，意思就是：也有伪装签名的病毒文件存在噢！这个，就得靠大家的细心了。3.善用搜索引擎有些比较“偏”的软件，虽然是正常的文件，但也没有公司签名。这种情况，还不在少数。因此，一定要善用搜索引擎，直接搜索，启动的文件，比如 abc.exe, abc.dll等等。例子： N/A稍微有点电脑知识的人，应该能看出这个启动项目是什么吧？郁闷不？公司名，居然是N/A。搞不懂卡巴公司在搞什么。4. 学会积累，总结每看一份报告，都要知道，这个电脑，安装了哪些软件，他们有哪些的（正常）进程。这个过程，不是教出来的，只能是自己积累出来的。行了，第一讲，就写这么多了。今天头有点疼，可能有些我想不到的地方。上面这些，应该涵盖了90%以上的知识了。需要大家慢慢理解和消化。想学看报告，必须就要“多看报告”，至于报告的来源，我推荐瑞星卡卡助手论坛：/这里面，有N多报告，提供给大家看的。刚开始的时候，看报告不要心急，逐行查验，别闲麻烦。我刚开始学看的时候，都是逐个字母的看。看的多了，积累的多了。就会很快的。下次，我继续往后写，关于 SRE报告中： 服务 这个项目。学看 SRE 报告 第二讲继续第一讲的内容，这次讲解： 服务一。“服务”在SRE报告中显示的结构我们还是随便拿个例子说明：NOD32 Kernel Service / NOD32krnRunning/Auto Start第一行，分两部分：1. NOD32 Kernel Service / NOD32krn，代表：该项服务的名称NOD32 Kernel Service，为服务的全称NOD32krn，为服务的简称2. Running/Auto Start，代表：该服务的运行状态，对应几个英文，我分别说明：Running，正在运行Auto Start，自动启动Manual Start,手动启动Disable，禁用Stopped：（目前是）停止对于服务的运行状态，我们不需要特别关注，对于杀毒操作，我们要删除一项服务的时候，无须区分他们的运行状态。第二行，也分两部分：1.，服务对应的文件的详细位置和名称2.，服务的公司签名和讲注册表的时候一样，给个例子帮大家分析：NVIDIA Display Driver Service / NVSvcStopped/Manual Start该项服务的名称：（全称）NVIDIA Display Driver Service 或 （简称）NVSvc运行状态：目前停止/手动启动对应的文件及路径：C:WINDOWSsystem32nvsvc32.exe公司：NVIDIA Corporation引用:这里对几个概念的解释有点欠标准。原文提到的“简称”，实际上才是真正的“服务名”（也是注册表中该服务项的真正名称），而这里提到的“全称”，实际上是“显示名”（该服务项的DisplayName键值）。“显示名”只是为了方便用户理解该服务的意义和作用，在系统对服务的实际操作中，如相应的API调用中，“显示名”并没有实质性意义。所谓“对应的文件及路径”，这里依然应该被称为“映像路径”（ImagePath键值），与启动项类似，这里仍然是服务启动时执行的命令行（CommandLine）。二。特例（服务）和第一讲的注册表启动项目特例类似的，举例大家看：Workstation / lanmanworkstationRunning/Auto Start%SystemRoot%System32wkssvc.dll如果大家在第一讲中理解了，那么这个应该很容易明白。同样，具有“隐含意思”意思为：wkssvc.dll，这个真正的启动文件，正在由 C:WINDOWSsystem32svchost.exe 程序加载执行。这种情况下，前者（这里的svchost.exe），都是正常的文件，我们在杀毒时候，不需要考虑它。而真正要查看，判断，甚至删除的，是后者（这里的：wkssvc.dll）！三。已知正常的特例服务下面2个，很常见的，但是没有微软签名，提前告诉大家，他们是正常的：1. Human Intexxxce Device Access / HidServStopped/Disabled%SystemRoot%System32hidserv.dll2. Help and Support / helpsvcStopped/Disabled%WINDIR%PCHealthHelpCtrBinariespchsvc.dll四。服务的判断方法1.看公司签名这个和注册表启动项的看法一样了，特别注意没有公司签名，即显示为：或者的服务项目！2.不该添加服务的，正常项目，在SRE报告中出现大家都知道，SRE中有个功能，可以“屏蔽，隐藏”，已经验证过的微软服务。（操作不说了，以前在SRE删除服务的帖子，写过了）SRE在做报告的时候，只对：非windows正常服务，做报告，显示出来。也就是说：自动隐藏正常的，经过验证的windows服务。有些病毒，就是利用正常的windows用户名，添加服务。但是，它们始终逃不过SRE的“眼睛”，别作为：非windows正常服务，在报告中列出来。举2个例子，大家看一下：286EE121 / 286EE121Stopped/Auto Start无公司签名，名称“乱七八糟”，应该没人见过这种“在Syste32文件夹下的“正常系统文件吧”！svchost / svchostStopped/Auto Start文件名上看，是正常的svchost，但是，看位置，这个文件，跑哪里去了？正常的该在哪里？我不说了，大家应该明白了。而且，此病毒，伪造了微软签名喔！Yahoo Service / YahooSvrRunning/Auto Start先看名字：Yahoo？都认识吧别着急，往后看，服务文件名：svchost.exe，正常的？看路径：C:WINDOWSsystem32E312F 。还用解释么？跑哪里去了？3.善于搜索引擎这个不说了，你可以直接用服务的“全称或者简称”，来搜索。也可以用服务对应的文件名称来搜索。4.谨防冒充“微软签名的”上面例子说过了，目前有些病毒，开始伪造微软签名了，即：公司名是：，所以，提醒大家，不要看到是MS的签名，就过去了。要从名称，位置，来综合判断！总结，相比注册表启动项目，服务，算是比较好“看”的了。关键还是在于积累。每台电脑，都或多或少的，有些重复的启动项目。随便去网上找2份报告，如果一个服务，在2份报告中都出现，那么，它基本上就是正常的服务了。要学会善于对比。学看 SRE 报告 第三讲折叠 一。驱动 的重要性驱动文件，对于任何一台电脑，都具有“最高等级”的重要性，在查毒，杀毒的过程中，必须给予最高程度的重视！windows正常的驱动文件，为：*.sys，类型的文件，位于：c:windowssystem32drivers ，这个文件夹下面。当然，病毒文件，如果创建驱动的话，也会向这里写入信息。这就给我们判断病毒，带来了难度无论你的电脑水平有多“高”，我个人都不建议你主观臆断！对于怀疑是病毒的驱动文件，即我们这次后面会提到的：*.sys文件，一律采用：先备份 后删除的方法。即：如果一台电脑，根据SRE报告，怀疑有多处病毒驱动文件，则采用：雨林木风PE工具箱，在PE系统，先行把病毒文件，移动到随意一个位置。这样，原来的驱动，就不能运行了。其他病毒文件删除后，最后解决驱动文件。这样最保险！不要主观判断某个驱动文件，一定是病毒！二。SRE报告中，驱动 的结构驱动文件的显示结构，和 服务，完全相同。也是符合如下结构：【全称/简称】【运行状态】【驱动项目对应的文件的详细位置】【公司签名】例子：Microsoft Kernel Acoustic Echo Canceller / aecStopped/Manual Start这里我就不再详细说明了。三。判断方法1.字母数字组合（项目名称，或者文件名称）现在很多病毒，自身创建的病毒文件（也包括第二讲里面提到的服务的文件），都是 没有“组合规律”的，即：乱七八糟的数字组合，乱七八糟的字母组合，以及：乱七八糟的 字母数字组合。这种例子，已经很多了，如果，再加上此项目没有公司签名，则可以 90断定：是病毒创建的驱动项目。对于这种项目，我个人还是建议 先备份再删除。因为我以前遇到过“例外”。例子：maojrdkc / maojrdkcRunning/Boot Starto1394bul / o1394bulStopped/Manual StartR2A / R2AStopped/Disabled这3个，都是符合我说的这条规律，积累的多了，自然就懂了。2. 例外，在驱动中，和服务一样，也有个例外的，没有经过微软签名的正常驱动项目：Secdrv / SecdrvStopped/Manual Start驱动文件，在SRE报告的全部13项中，是最难判断的，刚接触SRE报告的朋友，我建议这部分不要着急，要多看报告，总结，积累，常见的，正常的驱动文件，比如杀毒软件的，防火墙的，常见软件的。希望大家不要随意拿“驱动文件”开刀！学看 SREng 日志分析 报告 .2008年09月05日 星期五 13:54学看 SRE 报告 第四讲折叠 一。浏览器加载项结构还是以例子来说明：ThunderAtOnce Class01443AEC-0FD1-40fd-9C87-E93D1494C233 ThunderAtOnce Class： 该加载项名称01443AEC-0FD1-40fd-9C87-E93D1494C233：在注册表中的名称：对应文件的完整位置 公司签名二。判断方法很少有病毒会涉及到这个项目，倒是流氓软件，100绝对会在这里创建键值。1.加载项名称 ，这里。特别需要注意的是：如果有 ，这样的加载项，则代表该项键值有问题，当然，不能就此断定是病毒创建的。至少，有一点可以保证，对于IE浏览网页，它是绝对没用的。2.公司签名这个说过很多次了，没公司签名的，或者为 N/A 的，需要仔细查验其对应文件的详细路径。一般通过路径，就能判断出是否是病毒文件。雅虎助手5D73EE86-05F1-49ed-B850-E423120EC338 万人皆知的流氓了，自己都懒着给自己的文件，做公司签名，要来有何用？使用迅雷下载连迅雷，都犯懒，不做签名。通过路径，应该能看出是迅雷吧？Thunder引用:这个说法有误。浏览器加载项是一个很综合的项目，包括BHO，ActiveX插件，浏览器工具栏等多个项目，在SREng的界面中可以看到明显的说明。这些项目中，不仅仅有dll类型的加载PE文件（BHO或ActiveX项目），也有工具栏附加按钮，浏览器的右键菜单项目等等，特别是后两者，经常是一些网页链接。显然这里就是两个网页链接，目标是雅虎的一个网页，以及迅雷保存在本机的一个网页（作为迅雷的组件，当你右键点“使用迅雷下载”时，浏览器后台运行了这个网页）。网页链接不是可执行文件，当然就没有数字签名，这不是人家公司不做签名，而是压根就不需要做，也没法做得上去！浏览器加载项这里，几乎不会有什么问题，多看报告，积累总结出windows常见的，正常的浏览器加载项，就行了。除了windows自带的，基本上95都是流氓软件的加载项了。流氓软件，在手工杀毒的过程中，可以忽略不管。毕竟，它不算真正意义上的病毒。但是，如果作报告的电脑，出现：某个网页，无法访问，或者修复了winsock后，仍不能访问网页，则需要从浏览器加载项入手考虑了。学看 SRE 报告 第五讲折叠 一.正在运行的进程结构说明这部分,在SRE报告中,比重是最大的,其实,说白了,就是列出电脑当前运行的所有程序的进程信息,包括各自的模块(包括哪些同时运行,或者程序调用的DLL文件等)信息.为了减少看报告的工作量,提高效率.我们建议,在做报告之前,应该尽量关闭windows系统第三方的程序,比如QQ,IE,千千等等.尽量做到:只保留windows自身的进程.这样有助于我们更快速的判断,大家不用担心,关闭第三方程序,不会对查毒产生负面影响.还是拿例子说明:PID: 664 / AdministratorC:KAV2007KAVStart.exe Kingsoft Corporation, 2007, 9, 28, 295 C:windowssystem32MFC71.DLL Microsoft Corporation, 7.10.3077.0 C:windowssystem32MSVCR71.dll Microsoft Corporation, 7.10.3052.4 C:windowssystem32MSVCP71.dll Microsoft Corporation, 7.10.3077.0 C:windowssystem32MFC71CHS.DLL Microsoft Corporation, 7.10.3077.0 C:KAV2007KMailOEBand.DLL Kingsoft Corporation, 2006, 12, 1, 139 C:KAV2007SvcTimer.DLL Kingsoft Corporation, 2004 C:KAV2007KAVPassp.dll Kingsoft Corporation, 2006, 12, 30, 271 C:KAV2007PopSprt3.dll Kingsoft Corporation, 2007, 3, 20, 48 C:KAV2007KASocket.dll Kingsoft Corporation, 2007, 3, 18, 241第一行分三部分:1. PID: 664 / Administrator: PID值是指此进程在系统中的数字标识,它是唯一的.这个项目对于我们查毒杀毒没什么意义,大家知道就行了.后面,是创建此进程的用户名.2. C:KAV2007KAVStart.exe: 这个是该进程所运行的文件的详细位置.3. Kingsoft Corporation, 2007, 9, 28, 295: 该进程对应文件的公司签名,文件的版本信息.下面的相对第一行有缩进行,是逐行列出了该进程,同时调用了哪些文件,也就是专业术语上称的:模块信息.我随便挑取一行说明:C:KAV2007SvcTimer.DLL 1. C:KAV2007SvcTimer.DLL: 该模块对应文件的详细路径及名称2. Kingsoft Corporation, 2004: 模块的公司名称,文件的版本信息当然,也存在只有一个运行文件,而没有模块信息的进程存在,例如:PID: 1468 / SYSTEMC:windowssystem32spoolsv.exe Microsoft Corporation, 5.1.2600.2696 (xpsp_sp2_gdr.050610-1519)和上面的例子相比,最后多了一部分: (xpsp_sp2_gdr.050610-1519)SRE对于windows自身的部分程序,在检测的时候,都会附带出XP系统的版本信息,比如我们上面的:spoolsv.exe(打印机服务),Explorer.EXE,services.exe等.和以前的各块内容不同,在正在运行的进程这部分,SRE加入了文件版本信息的内容,这个信息,对于我们判断病毒,起到了很大的作用.一定不能忽略它!二.判断方法1. 优先注意,公司前面为: N/A 的文件这部分不解释了,只给出一个例外: C:Program FilesWinRARrarext.dll N/A, 大家最常用的WinRAR的文件,无公司前面,连文件版本信息都没有够郁闷的.但是是正常的喔!2.看进程文件的版本,模块文件的版本目前大部分病毒,虽然会伪造公司前面,但无一例外的,在文件版本上,都没有下功夫,所以,我们在判断的时候,可以优先注意: 无文件/模块,版本信息的文件.3.凡是标有XP版本信息的文件,一律为正常的系统文件.如:C:windowssystem32msacm32.drv Microsoft Corporation, 5.1.2600.0 (xpclient.010817-1148)4.注意报告的整体联系其实,70%的SRE报告,在注册表启动信息,服务,里面,就基本能挑出90%的病毒文件了.所以到了进程这里,要善于查看上下文关系.一般在注册表启动项目里面,罗列出的病毒文件.都会在进程中有所反映(做为模块反映出来的,比较多).5. 同一个DLL类型文件,同时做为模块,插入大部分进程,且,该DLL文件,无公司前面,或者有签名,没文件版本信息.例如:PID: 560 / SYSTEMC:WINDOWSsystem32services.exe Microsoft Corporation, 5.1.2600.0 (xpclient.010817-1148) C:WINDOWSsystem32sidjezy.dll N/A, PID: 572 / SYSTEMC:WINDOWSsystem32lsass.exe Microsoft Corporation, 5.1.2600.1106 (xpsp1.020828-1920) C:WINDOWSsystem32sidjezy.dll N/A, PID: 748 / SYSTEMC:WINDOWSsystem32svchost.exe Microsoft Corporation, 5.1.2600.0 (xpclient.010817-1148) C:WINDOWSsystem32sidjezy.dll N/A, 三.关于AppInit_DLLs这个东西,我们第一讲就着重提到了,我在这里再说一次.前面说过,此键值如果不为空,则分为美化和病毒两种情况.