雷特反病毒教学第11课

1、雷特反病毒教学第11课:sreng日志分析基础第10课:雷特反病毒学员每次看帖后必须回复(无特殊情况连续三次不回复取消学员资格)回复格式如下(非学员可自由回复):ID:看帖日期:看帖前是否已掌握:看帖后是否已掌握:意见或建议:提问:其他:大家好,以前的是不是忘得差不多了,今天讲下sreng日志的分析方法.如果对这一课的内容有疑问的,请复习前面相关课程.与日志分析有关的我基本已经全部讲完了,接下来靠各位的努力了,也许一开始,分析一篇日志要花上你好几个小时,请不要放弃,坚持半个月后,我相信,5分钟就足够了,经验来自于实践.其实网上已经有很多sreng日志分析教程了,只是可能因为你没有基础而看不懂,

2、不妨现在再去看看,只要你看完并掌握我的所有教程内容,现在应该可以看懂了.有了基础,分析日志并不难,但一定要有耐心.接下去的几课教程是具体分析日志实践,基本上不会再有理论性的东西,全部需要自己动手实践,至少也得跟着教程做一遍.其中可能会穿插一些高级话题,等大部分学员会分析日志后,再讲讲处理病毒的一些技巧,特殊方法.接下来就是分析病毒了,了解它的运行机制,剖析其所用的技术手段.sreng可以在病毒救援板置顶帖中下载,或者直接点击下面的地址:也可以到官方网站下载:一样的,官网有时速度可能有些慢.打开后,如果右下角出现提示等,一般不用管,直接关闭即可,比如你开了EQ,它可能会提示你存在隐藏进程,开了卡

3、巴,它可能会提示你API hook等,这些都是正常的.有时可能还会有其他提示,一般直接关闭即可,不用去管,反正这些东西在扫出来的日志中都可以看到.至于新版本提示等,可以不管它.如果上一次sreng不是通过点击关闭按钮正常退出的,下次打开时会有提示,让你选择是否在后台扫描日志.还记得第7课中的演示程序吗?我们先拿它来试试,先运行下这个程序,然后扫日志(怎么扫日志?上面那个下载帖子中有),保存.打开日志文件,什么?双击没反映!打不开!因为你中毒了,呵呵,别急,右击,打开方式,选择写字板.下面一行行来分析: 复制内容到剪贴板 代码:CODE这只是一个DZ代码(确切地说只有一半,另一半是最后的/COD

4、E),与日志无关,关于代码使用可参考这里:这个代码的作用是使内部的文字保持原样,效果有点像"禁用URL识别","禁用表情","禁用Discuz!代码"三者的综合,经常在论坛混的人应该比较清楚大家有时会发现,将日志全部粘贴到论坛帖子中发表后,无法显示此标记的内容,这个应该是DZ论坛的BUG,你可以修改帖子,将此标记去掉后重新发表. 复制内容到剪贴板 代码:2008-08-29,15:39:47这是扫描日志时的时间,如果发现是好几天前的,应要求对方重新扫描日志. 复制内容到剪贴板 代码:System Repair Engineer 2.6

5、.12.1018Smallfrogs ()这是他所用的版本,2为主版本号,6为次版本号,018是作者2008/7/26发布的最新版本.后一行是作者及官方网站地址. 复制内容到剪贴板 代码:Windows XP Professional Service Pack 2 (Build 2600) - 管理权限用户 - 完整功能这一行说明操作系统,用户组,权限.不同系统的文件及目录结构不太一样,比如XP的安装目录为%systemdrive%windows,而2000的目录为%systemdrive%winnt.在分析日志时这是需要注意的其中的%systemdrive%是指系统盘. 复制

6、内容到剪贴板 代码:以下内容被选中：    所有的启动项目（包括注册表、启动文件夹、服务等）    浏览器加载项    正在运行的进程（包括进程模块信息）    文件关联    Winsock 提供者    Autorun.inf    HOSTS 文件    进程特权扫描说明扫描了哪些项目,一般要求全部选择(默认),在让对方扫描日志前一般还应告诉他同时选中下面的"检查进程模块的数字签名",否则会使日志很长,给分析带

7、来麻烦.(扫描前最好把QQ等不必要的程序关闭)启动项目注册表 复制内容到剪贴板 代码:HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionRun    <swg><C:Program FilesGoogleGoogleToolbarNotifierGoogleToolbarNotifier.exe>  (Verified)Google Inc    <ctfmon.exe><C:WINDOWSsystem32ctfmon.exe>

8、  (Verified)Microsoft Windows PublisherHKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionRun    <AGRSMMSG>< AGRSMMSG.exe>  (Verified)Microsoft Windows Hardware Compatibility Publisher    <KernelFaultCheck>< %systemroot%system32dumpre

9、p 0 -k>   missing    <演示程序><C:WINDOWSsystem32anti3.exe>  雷特反病毒社区HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionRunOnce    <IE 3.0 RegSvr schannel.dll><C:WINDOWSsystem32regsvr32.exe /s C:WINDOWSsystem32schannel.dll> 

10、0; missingHKEY_LOCAL_MACHINESoftwareMicrosoftWindows NTCurrentVersionWinlogon    <shell><Explorer.exe>  (Verified)Microsoft Windows Component Publisher    <Userinit><C:WINDOWSsystem32userinit.exe,>  (Verified)Microsoft Windows Publisher

11、    <UIHost><logonui.exe>  (Verified)Microsoft Windows PublisherHKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionExplorerShellExecuteHooks    <AEB6717E-7E19-11d0-97EE-00C04FD91972><shell32.dll>  (Verified)Microsoft Windows Compon

12、ent PublisherHKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionShellServiceObjectDelayLoad    <PostBootReminder><%SystemRoot%system32SHELL32.dll>  (Verified)Microsoft Windows Component Publisher    <CDBurn><%SystemRoot%system32SHELL32.dll>&

13、#160; (Verified)Microsoft Windows Component Publisher    <WebCheck><%SystemRoot%system32webcheck.dll>  (Verified)Microsoft Windows Publisher    <SysTray><C:WINDOWSsystem32stobject.dll>  (Verified)Microsoft Windows PublisherHKEY_LOC

14、AL_MACHINESOFTWAREMicrosoftWindows NTCurrentVersionWinlogonNotifycrypt32chain    <WinlogonNotify: crypt32chain><crypt32.dll>  (Verified)Microsoft Windows PublisherHKEY_LOCAL_MACHINESOFTWAREMicrosoftWindows NTCurrentVersionWinlogonNotifycryptnet    <Winlog

15、onNotify: cryptnet><cryptnet.dll>  (Verified)Microsoft Windows PublisherHKEY_LOCAL_MACHINESOFTWAREMicrosoftWindows NTCurrentVersionWinlogonNotifycscdll    <WinlogonNotify: cscdll><cscdll.dll>  (Verified)Microsoft Windows PublisherHKEY_LOCAL_MACHINES

16、OFTWAREMicrosoftWindows NTCurrentVersionWinlogonNotifyklogon    <WinlogonNotify: klogon><C:WINDOWSsystem32klogon.dll>  (Verified)Kaspersky LabHKEY_LOCAL_MACHINESOFTWAREMicrosoftWindows NTCurrentVersionWinlogonNotifyScCertProp    <WinlogonNotify: ScCertPro

17、p><wlnotify.dll>  (Verified)Microsoft Windows PublisherHKEY_LOCAL_MACHINESOFTWAREMicrosoftWindows NTCurrentVersionWinlogonNotifySchedule    <WinlogonNotify: Schedule><wlnotify.dll>  (Verified)Microsoft Windows PublisherHKEY_LOCAL_MACHINESOFTWAREMicr

18、osoftWindows NTCurrentVersionWinlogonNotifysclgntfy    <WinlogonNotify: sclgntfy><sclgntfy.dll>  (Verified)Microsoft Windows PublisherHKEY_LOCAL_MACHINESOFTWAREMicrosoftWindows NTCurrentVersionWinlogonNotifySensLogn    <WinlogonNotify: SensLogn><WlN

19、otify.dll>  (Verified)Microsoft Windows PublisherHKEY_LOCAL_MACHINESOFTWAREMicrosoftWindows NTCurrentVersionWinlogonNotifytermsrv    <WinlogonNotify: termsrv><wlnotify.dll>  (Verified)Microsoft Windows PublisherHKEY_LOCAL_MACHINESOFTWAREMicrosoftWindows N

20、TCurrentVersionWinlogonNotifywlballoon    <WinlogonNotify: wlballoon><wlnotify.dll>  (Verified)Microsoft Windows PublisherHKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionExplorerSharedTaskScheduler    <438755C2-A8BA-11D1-B96B-00A0C90312E1><%

21、SystemRoot%system32browseui.dll>  (Verified)Microsoft Windows Component Publisher    <8C7461EF-2B13-11d2-BE35-3078302C2030><%SystemRoot%system32browseui.dll>  (Verified)Microsoft Windows Component PublisherHKEY_LOCAL_MACHINESOFTWAREMicrosoftActive SetupIn

22、stalled Components>22d6f312-b0f6-11d0-94ab-0080c74c7e95    <Microsoft Windows Media Player><C:WINDOWSinfunregmp2.exe /ShowWMP>  (Verified)Microsoft Windows Component PublisherHKEY_LOCAL_MACHINESOFTWAREMicrosoftActive SetupInstalled Components>26923b43-4d38-484f-

23、9b9e-de460746276c    <Internet Explorer><%systemroot%system32shmgrate.exe OCInstallUserConfigIE>   missingHKEY_LOCAL_MACHINESOFTWAREMicrosoftActive SetupInstalled Components>881dd1c5-3dcf-431b-b061-f3f88e8be88a    <Outlook Express><%systemroot%sy

24、stem32shmgrate.exe OCInstallUserConfigOE>   missingHKEY_LOCAL_MACHINESOFTWAREMicrosoftActive SetupInstalled Components2C7339CF-2B09-4501-B3F3-F3508C9228ED    <Themes Setup><%SystemRoot%system32regsvr32.exe /s /n /i:/UserInstall %SystemRoot%system32themeui.dll> 

25、;  missingHKEY_LOCAL_MACHINESOFTWAREMicrosoftActive SetupInstalled Components44BBA840-CC51-11CF-AAFA-00AA00B6015C    <Microsoft Outlook Express 6><"%ProgramFiles%Outlook Expresssetup50.exe" /APP:OE /CALLER:WINNT /user /install>   missingHKEY_LOCAL_MACHI

26、NESOFTWAREMicrosoftActive SetupInstalled Components44BBA842-CC51-11CF-AAFA-00AA00B6015B    <NetMeeting 3.01><rundll32.exe advpack.dll,LaunchINFSection C:WINDOWSINFmsnetmtg.inf,NetMtg.Install.PerUser.NT>  (Verified)Microsoft Windows PublisherHKEY_LOCAL_MACHINESOFTWAREM

27、icrosoftActive SetupInstalled Components6BF52A52-394A-11d3-B153-00C04F79FAA6    <Microsoft Windows Media Player><rundll32.exe advpack.dll,LaunchINFSection C:WINDOWSINFwmp10.inf,PerUserStub>  (Verified)Microsoft Windows Component PublisherHKEY_LOCAL_MACHINESOFTWAREMicr

28、osoftActive SetupInstalled Components7790769C-0471-11d2-AF11-00C04FA35D02    <通讯簿 6><"%ProgramFiles%Outlook Expresssetup50.exe" /APP:WAB /CALLER:WINNT /user /install>   missingHKEY_LOCAL_MACHINESOFTWAREMicrosoftActive SetupInstalled Components89820200-ECBD-1

29、1cf-8B85-00AA005B4340    <Windows 桌面更新><regsvr32.exe /s /n /i:U shell32.dll>  (Verified)Microsoft Windows PublisherHKEY_LOCAL_MACHINESOFTWAREMicrosoftActive SetupInstalled Components89820200-ECBD-11cf-8B85-00AA005B4383    <Internet Explorer 6><%Syst

30、emRoot%system32ie4uinit.exe>  (Verified)Microsoft Windows PublisherHKEY_LOCAL_MACHINESOFTWAREMicrosoftWindows NTCurrentVersionImage Options360Safe.exe    <IFEO360Safe.exe><C:WINDOWSsystem32anti3.exe>  雷特反病毒社区HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindows NTCu

31、rrentVersionImage Options360tray.exe    <IFEO360tray.exe><C:WINDOWSsystem32anti3.exe>  雷特反病毒社区HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindows NTCurrentVersionImage Optionsavp.exe    <IFEOavp.exe><C:WINDOWSsystem32anti3.exe>  雷特反病毒社区HKEY_LOCA

32、L_MACHINESOFTWAREMicrosoftWindows NTCurrentVersionImage OptionsCCenter.exe    <IFEOCCenter.exe><C:WINDOWSsystem32anti3.exe>  雷特反病毒社区HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindows NTCurrentVersionImage Optionscmd.exe    <IFEOcmd.exe><C:WINDOWSsystem32ant

33、i3.exe>  雷特反病毒社区HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindows NTCurrentVersionImage OptionsMSConfig.exe    <IFEOMSConfig.exe><C:WINDOWSsystem32anti3.exe>  雷特反病毒社区HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindows NTCurrentVersionImage Optionsnod32.exe    &

34、lt;IFEOnod32.exe><C:WINDOWSsystem32anti3.exe>  雷特反病毒社区HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindows NTCurrentVersionImage Optionsnotepad.exe    <IFEOnotepad.exe><C:WINDOWSsystem32anti3.exe>  雷特反病毒社区HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindows NTCurrentVe

35、rsionImage Optionsqq.exe    <IFEOqq.exe><C:WINDOWSsystem32anti3.exe>  雷特反病毒社区HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindows NTCurrentVersionImage Optionsregedit.exe    <IFEOregedit.exe><C:WINDOWSsystem32anti3.exe>  雷特反病毒社区HKEY_CURRENT_USERC

36、ontrol PanelDesktop    <SCRNSAVE.EXE><C:WINDOWSsystem32logon.scr>  Microsoft Corporation=这一段比较长,格式是这样的: 引用:注册表路径    <项目><键值>  (Verified)公司/ missing/<N/A>    .(Verified)表明键值所指示的文件已通过数字签名. missing表明文件不存在.<N/A>表示无公司版权

37、相关信息,这类文件一般是比较可疑的.注意这里的项目并不一定键名.好了,现在可以看下哪些是可需要删除的.被家里人用了N久,发现我的系统很糟糕.第一个注册表位置正常,不管它,第二处就有问题了:HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionRun    <AGRSMMSG>< AGRSMMSG.exe>  (Verified)Microsoft Windows Hardware Compatibility Publisher    <Kernel

38、FaultCheck>< %systemroot%system32dumprep 0 -k>   missing    <演示程序><C:WINDOWSsystem32anti3.exe>  雷特反病毒社区AGRSMMSG对我来说没什么用,该文件的描述为SoftModem Messaging Applet,一般也不用管.KernelFaultCheck是MS的错误报告程序,前面的分号表示不启用.下面这个要注意了,相信你也早看到了,这是需要删除的,太明显了,真正的病毒可不会这么做.往下看,有(V

39、erified)字样的项目不用看,有数字签名,一般很难伪造.所以可以跳过很多.中间还有一些文件不存在的项目,这些是可删可不删的.另外可能还有一些值为空的项目,或者仅仅只有一个分号,这些也是可删可不删的.跳过一大段后看到这里:HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindows NTCurrentVersionImage Options360Safe.exe    <IFEO360Safe.exe><C:WINDOWSsystem32anti3.exe>  雷特反病毒社区这里是映像劫持项,应全部删除.

40、最后那个logon.scr是屏保程序,也没什么问题.启动文件夹N/A=N/A表示该处没有相关项.服务 复制内容到剪贴板 代码:卡巴斯基反病毒软件 7.0 / AVPStopped/Disabled  <"X:Program FilesKaspersky LabKaspersky Anti-Virus 7.0avp.exe" -r><Kaspersky Lab>EQService / EQServiceStopped/Manual Start  <X:Program FilesEQSecureEQServi

41、ce.exe><EQSecure>Google Updater Service / gusvcStopped/Manual Start  <"C:Program FilesGoogleCommonGoogle UpdaterGoogleUpdaterService.exe"><Google>Human Interface Device Access / HidServStopped/Disabled  <C:WINDOWSSystem32svchost.exe -k netsvcs-&g

42、t;%SystemRoot%System32hidserv.dll><N/A>MSSQLSERVER / MSSQLSERVERStopped/Manual Start  <x:PROGRA1MICROS2MSSQLbinnsqlservr.exe><Microsoft Corporation>Remote Packet Capture Protocol v.0 (experimental) / rpcapdStopped/Manual Start  <"C:Program FilesWinPca

43、prpcapd.exe" -d -f "C:Program FilesWinPcaprpcapd.ini"><CACE Technologies>Sandboxie Service / SbieSvcStopped/Manual Start  <X:Program FilesSandboxieSbieSvc.exe><tzuk>SQLSERVERAGENT / SQLSERVERAGENTStopped/Manual Start  <x:PROGRA1MICROS2MSSQLb

44、innsqlagent.exe><Microsoft Corporation>=这里的格式是这样的: 引用:显示名称 / 服务名称服务状态/启动类型<映像文件路径(->服务动态链接库)><公司名>/<>/<N/A>这里不显示已认证的微软项目.大部分没有(->服务动态链接库)这一部分.<>表示没有公司信息,<N/A>表示可能文件已不存在.服务状态有两种,分别是running(已启动)和Stopped(已停止).启动类型有Auto Start(自动),Manual Start(手动),Disabl

45、ed(已禁用)我这里的几项都没有问题,如果大家对这几个服务不熟悉可以百度一下.这里我只想讲一下第四个,有些特别,文件为svchost.exe,大家可以回想一下这个程序的作用,它是用来加载另外一个文件的,通常是一个动态链接库(扩展名为DLL),符号->后面的%SystemRoot%System32hidserv.dll就是该服务的动态链接库.驱动程序复制内容到剪贴板 代码:.BeatTrojanHelperOne / BeatTrojanHelperOneStopped/Manual Start  <?X:Program Files绿伞杀毒软件BeatTrojan

46、HelperOne.sys><N/A>DBKDRVR54 / DBKDRVR54Stopped/Manual Start  <?D:tempdelphiCheat Enginedbk32.sys><N/A>npkcrypt / npkcryptStopped/Manual Start  <?C:WINDOWSsystem32npkcrypt.sys><N/A>npkycryp / npkycrypStopped/Manual Start  <?C:WINDOWSs

47、ystem32npkycryp.sys><N/A>VirtualFD / VirtualFDStopped/Manual Start  <?D:bootvfd.sys><>.=这里的格式和服务是一样的,也不显示已认证的微软项目(通过windows徽标测试,也即具有Microsoft提供的数字签名,通过Windows的兼容性测试,且测试以后没有进行过改动).与服务的不同处为,这里的启动方式多了Boot Start(启动)和System Start(系统),也没有动态链接库.大多数驱动在system32drivers目录下.(注意Sys

48、tem32BIRD目录为木鸟驱动包安装后的路径,是正常的)默认情况下,设备管理器中不显示这种软件驱动,如果需要更改可点击查看,显示隐藏的设备,展开非即插即用驱动程序即可看到,如果要查看其路径可以点击某项的属性,驱动程序,驱动程序详细信息.我只复制了一小部分(无公司信息的),完整内容见附件.这几个是正常的:绿伞早已卸了,文件也不存在了,dbk32.sys是CE的驱动,经常玩游戏的一定的知道.npkcrypt.sys和npkycryp.sys(这两个文件均不存在)据说是QQ的键盘加密驱动,还有个KeyCrypt.sys也是.vfd.sys是虚拟软驱驱动浏览器加载项  =这部分我

49、就不复制了,说明一下格式: 引用:名字  CLSID <映像文件路径, (Signed) ,公司名>有(Signed)字样的,说明该文件已标识,分析时一般可以跳过,2.6之前的版本是没有这一功能的.其实这部分内容比较复杂,往往是从一个CLSID关联到另一个CLSID,有些连名称都没有,有些没有路径,但病毒相关文件一定是有路径信息的.正在运行的进程 复制内容到剪贴板 代码:.PID: 3496 / dreamC:Program FilesWinRARWinRAR.exe  N/A,     C:WINDOWSsystem32

50、uxtheme.dll  Microsoft Corporation, 6.00.2900.2180 (xpsp_sp2_rtm.040803-2158)    C:WINDOWSsystem32freeime.ime  极点五笔工作室, 6.10.950PID: 2324 / dreamC:DOCUME1dreamLOCALS1TempRar$EX12.843SREngLdr.EXE  Smallfrogs Studio, 018PID: 1976 / dreamC:DOCUME1dreamLOC

51、ALS1TempRar$EX12.843SRE89810e44.EXE  Smallfrogs Studio, 018    C:WINDOWSsystem32uxtheme.dll  Microsoft Corporation, 6.00.2900.2180 (xpsp_sp2_rtm.040803-2158)    C:WINDOWSsystem32freeime.ime  极点五笔工作室, 6.10.950    C:WINDOWSsystem32sfc

52、_os.dll  Microsoft Corporation, 5.1.2600.2180 (xpsp_sp2_rtm.040803-2158)    C:DOCUME1dreamLOCALS1TempRar$EX12.843Upload3rdUpd.DLL  Smallfrogs Studio, 2, 1, 0, 15PID: 3436 / dreamE:eduantivirusantianti3.exe  雷特反病毒社区,     C:WINDOWSsystem32uxthem

53、e.dll  Microsoft Corporation, 6.00.2900.2180 (xpsp_sp2_rtm.040803-2158)    C:WINDOWSsystem32freeime.ime  极点五笔工作室, 6.10.950=对于常见进程,相信大家已经比较熟悉了.这一部分的格式是这样的: 引用:PID: 进程PID /用户名映像路径  公司名, 文件版本   模块名  公司名, 文件版本   .公司名处为Microsoft Corpor

54、ation的一般可以不管,但假冒者偶尔也会出现,这比数字签名更容易假冒,也很容易修改,比如最后一个进程,如果我把公司,版本等改成Microsoft Corporation, 5.1.2600.2180 (xpsp_sp2_rtm.040803-2158)再把文件名改改.所以平时的经验很重要,进程名路径等靠平时慢慢积累,日志看得多了就不会那么生疏了.还要充分利用搜索引擎等.这个地址也可以利用一下(不仅仅是exe,也可以是dll,sys等,但结果并不一定可靠).文件关联 复制内容到剪贴板 代码:.TXT  Error. C:WINDOWSnotepad.exe %1.EXE&#

55、160; Error. exefile2.COM  OK. "%1" %*.PIF  OK. "%1" %*.REG  OK. regedit.exe "%1".BAT  OK. "%1" %*.SCR  OK. "%1" /S.CHM  Error. "hh.exe" %1.HLP  OK. %SystemRoot%Syste

56、m32winhlp32.exe %1.INI  Error. C:WINDOWSSystem32NOTEPAD.EXE %1.INF  OK. %SystemRoot%System32NOTEPAD.EXE %1.VBS  Error. EditPlus 3.vbs.JS   OK. %SystemRoot%System32WScript.exe "%1" %*.LNK  OK. 00021401-0000-0000-C0046=这部分相对简单多了,只要看一下显示为ERROR

57、的就可以了,它说错误,只是说明不是默认的而已,并不一定是病毒更改的,再说不同系统此处也常不同.通常以下三个显示为ERROR是正常的(需要注意的是路径):.TXT  Error. C:WINDOWSnotepad.exe %1.CHM  Error. "hh.exe" %1.INI  Error. C:WINDOWSSystem32NOTEPAD.EXE %1这三个你可能会经常看到.还有一些可能是使用者自己更改的,不过EXE的关联一般没人会去改,我这里的好像是以前做前面某课教程时改的,这里sreng做得不是很好,没有

58、进一步读取exefile2项下的内容,EditPlus 3.vbs也是,EditPlus是一个很好用的文本编辑器.Winsock 提供者N/A=这里不显示已认证的微软项目Autorun.infN/A=如果有的话,会显示Autorun.inf的路径及该文件的内容.HOSTS 文件 复制内容到剪贴板 代码:       localhost     =这里显示了HOSTS文件中的非注释部分,这里主要看是否有安全地址被屏蔽或转向到恶意网址.进程特权扫描 复制内容到剪贴板 代码:特殊特权被允许： SeLoad

59、DriverPrivilege PID = 3496, C:PROGRAM FILESWINRARWINRAR.EXE特殊特权被允许： SeLoadDriverPrivilege PID = 2324, C:DOCUME1DREAMLOCALS1TEMPRAR$EX12.843SRENGLDR.EXE特殊特权被允许： SeLoadDriverPrivilege PID = 3436, E:EDUANTIVIRUSANTIANTI3.EXE=特权应该共七种,上面的SeLoadDriverPrivilege是加载或卸载驱动程序,一般都是这个,不知道作者是如何判断的,感觉总是很不可靠,我一般是忽略.

60、特权说明如下:SeTcbPrivilege特权:表明一个用户通过充当操作系统的一部分来试图提升安全权限,如一个进程试图将某账户添加到管理员组就会使用此特权SeSystemTimePrivilege特权:更改系统时间SeRemoteShutDownPrivilege:从远程系统强制关闭SeloadDriverPrivilege:加载或卸载驱动程序SeSecurityPrivilege：管理审计和安全日志.在清除事件日志或向安全日志写入有关特权使用的事件时发生SeShutDownPrivilege:关闭系统SeTakeOwnershipPrivilege:取得文件或其他对象的所有权.表明有进程正在通过取得一个对象的所有权来尝试绕过当前的安全设置以上的说法可能不是很明确,我手头也没什么资料可以参考,大家大致了解下吧.API HOOKN/A=