学看-SREng-日志分析-报告下

学看SREng日志分析报告.<下>2008年09月05日星期五13:54学看SRE报告————第四讲[折叠]

一。浏览器加载项结构

还是以例子来说明：

[ThunderAtOnceClass]

{01443AEC-0FD1-40fd-9C87-E93D1494C233}<d:\ProgramFiles\Thunder\ComDlls\TDAtOnce_Now.dll,ThunderNetworkingTechnologies,LTD>

●[ThunderAtOnceClass]：该加载项名称

●{01443AEC-0FD1-40fd-9C87-E93D1494C233}：在注册表中的名称

●<d:\ProgramFiles\Thunder\ComDlls\TDAtOnce_Now.dll,ThunderNetworkingTechnologies,LTD>：对应文件的完整位置＋公司签名

二。判断方法

很少有病毒会涉及到这个项目，倒是流氓软件，100％绝对会在这里创建键值。

1.加载项名称，这里。特别需要注意的是：如果有[]，这样的加载项，则代表该项键值有问题，当然，不能就此断定是病毒创建的。至少，有一点可以保证，对于IE浏览网页，它是绝对没用的。

2.公司签名

这个说过很多次了，没公司签名的，或者为N/A的，需要仔细查验其对应文件的详细路径。一般通过路径，就能判断出是否是病毒文件。

[雅虎助手]

{5D73EE86-05F1-49ed-B850-E423120EC338}</start.htm?source=yzs_icon&btn=yassistnew,N/A>

万人皆知的流氓了，自己都懒着给自己的文件，做公司签名，要来有何用？

[使用迅雷下载]

<d:\ProgramFiles\Thunder\Program\geturl.htm,N/A>

连迅雷，都犯懒，不做签名。。。。。。通过路径，应该能看出是迅雷吧？Thunder～引用:

这个说法有误。浏览器加载项是一个很综合的项目，包括BHO，ActiveX插件，浏览器工具栏等多个项目，在SREng的界面中可以看到明显的说明。

这些项目中，不仅仅有dll类型的加载PE文件（BHO或ActiveX项目），也有工具栏附加按钮，浏览器的右键菜单项目等等，特别是后两者，经常是一些网页链接。

显然这里就是两个网页链接，目标是雅虎的一个网页，以及迅雷保存在本机的一个网页（作为迅雷的组件，当你右键点“使用迅雷下载”时，浏览器后台运行了这个网页）。网页链接不是可执行文件，当然就没有数字签名，这不是人家公司不做签名，而是压根就不需要做，也没法做得上去！

浏览器加载项这里，几乎不会有什么问题，多看报告，积累总结出windows常见的，正常的浏览器加载项，就行了。除了windows自带的，基本上95％都是流氓软件的加载项了。流氓软件，在手工杀毒的过程中，可以忽略不管。毕竟，它不算真正意义上的病毒。但是，如果作报告的电脑，出现：某个网页，无法访问，或者修复了winsock后，仍不能访问网页，则需要从浏览器加载项入手考虑了。学看SRE报告————第五讲[折叠]

一."正在运行的进程"结构说明

这部分,在SRE报告中,比重是最大的,其实,说白了,就是列出电脑当前运行的所有程序的进程信息,包括各自的模块(包括哪些同时运行,或者程序调用的DLL文件等)信息.

为了减少看报告的工作量,提高效率.我们建议,在做报告之前,应该尽量关闭windows系统第三方的程序,比如QQ,IE,千千等等.尽量做到:只保留windows自身的进程.这样有助于我们更快速的判断,大家不用担心,关闭第三方程序,不会对查毒产生负面影响.

还是拿例子说明:

[PID:664/Administrator][C:\KAV2007\KAVStart.exe][KingsoftCorporation,2007,9,28,295]

[C:\windows\system32\MFC71.DLL][MicrosoftCorporation,7.10.3077.0]

[C:\windows\system32\MSVCR71.dll][MicrosoftCorporation,7.10.3052.4]

[C:\windows\system32\MSVCP71.dll][MicrosoftCorporation,7.10.3077.0]

[C:\windows\system32\MFC71CHS.DLL][MicrosoftCorporation,7.10.3077.0]

[C:\KAV2007\KMailOEBand.DLL][KingsoftCorporation,2006,12,1,139]

[C:\KAV2007\SvcTimer.DLL][KingsoftCorporation,2004]

[C:\KAV2007\KAVPassp.dll][KingsoftCorporation,2006,12,30,271]

[C:\KAV2007\PopSprt3.dll][KingsoftCorporation,2007,3,20,48]

[C:\KAV2007\KASocket.dll][KingsoftCorporation,2007,3,18,241]

第一行分三部分:

1.[PID:664/Administrator]:PID值是指此进程在系统中的"数字标识",它是唯一的.这个项目对于我们查毒杀毒没什么意义,大家知道就行了.后面,是创建此进程的用户名.

2.[C:\KAV2007\KAVStart.exe]:这个是该进程所运行的文件的详细位置.

3.[KingsoftCorporation,2007,9,28,295]:该进程对应文件的公司签名,文件的版本信息.

下面的"相对第一行有缩进"行,是逐行列出了该进程,同时调用了哪些文件,也就是专业术语上称的:模块信息.我随便挑取一行说明:

[C:\KAV2007\SvcTimer.DLL]

1.[C:\KAV2007\SvcTimer.DLL]:该模块对应文件的详细路径及名称

2.[KingsoftCorporation,2004]:模块的公司名称,文件的版本信息

当然,也存在只有一个运行文件,而没有"模块"信息的进程存在,例如:

[PID:1468/SYSTEM][C:\windows\system32\spoolsv.exe][MicrosoftCorporation,5.1.2600.2696(xpsp_sp2_gdr.050610-1519)]

和上面的例子相比,最后多了一部分:(xpsp_sp2_gdr.050610-1519)

SRE对于windows自身的部分程序,在检测的时候,都会附带出"XP系统的版本信息",比如我们上面的:spoolsv.exe(打印机服务),Explorer.EXE,services.exe等.

和以前的各块内容不同,在"正在运行的进程"这部分,SRE加入了"文件版本信息"的内容,这个信息,对于我们判断病毒,起到了很大的作用.一定不能忽略它!

二.判断方法

1.优先注意,公司前面为:N/A的文件

这部分不解释了,只给出一个例外:[C:\ProgramFiles\WinRAR\rarext.dll][N/A,]

大家最常用的WinRAR的文件,无公司前面,连文件版本信息都没有^^^^够郁闷的..........但是是正常的喔!

2.看进程文件的版本,模块文件的版本

目前大部分病毒,虽然会伪造公司前面,但无一例外的,在文件版本上,都没有"下功夫",所以,我们在判断的时候,可以优先注意:无文件/模块,版本信息的文件.

3.凡是标有XP版本信息的文件,一律为正常的系统文件.如:

[C:\windows\system32\msacm32.drv][MicrosoftCorporation,5.1.2600.0(xpclient.010817-1148)]

4.注意报告的整体"联系"

其实,70%的SRE报告,在"注册表启动信息","服务",里面,就基本能挑出90%的病毒文件了.所以到了进程这里,要善于查看"上下文"关系.一般在注册表启动项目里面,罗列出的病毒文件.都会在进程中有所反映(做为模块反映出来的,比较多).

5.同一个DLL类型文件,同时做为模块,插入大部分进程,且,该DLL文件,无公司前面,或者有签名,没文件版本信息.例如:

[PID:560/SYSTEM][C:\WINDOWS\system32\services.exe][MicrosoftCorporation,5.1.2600.0(xpclient.010817-1148)]

[C:\WINDOWS\system32\sidjezy.dll][N/A,]

[PID:572/SYSTEM][C:\WINDOWS\system32\lsass.exe][MicrosoftCorporation,5.1.2600.1106(xpsp1.020828-1920)]

[C:\WINDOWS\system32\sidjezy.dll][N/A,]

[PID:748/SYSTEM][C:\WINDOWS\system32\svchost.exe][MicrosoftCorporation,5.1.2600.0(xpclient.010817-1148)]

[C:\WINDOWS\system32\sidjezy.dll][N/A,]

三.关于AppInit_DLLs

这个东西,我们第一讲就着重提到了,我在这里再说一次.

前面说过,此键值如果不为空,则分为"美化和病毒"两种情况.美化不说了,我说病毒的情况

如果在"注册表启动信息"中,AppInit_DLLs得值,是一个DLL类型文件,而且,此文件,插入了多个"正在运行的进程"中.则此文件99%为病毒文件!例子:

上面,注册表启动信息:

[HKEY_LOCAL_MACHINE\Software\Microsoft\WindowsNT\CurrentVersion\Windows]

<AppInit_DLLs><kvdxsjma.dll>[]

下面,正在运行的进程:

[PID:1744/GOKU][C:\WINDOWS\SOUNDMAN.EXE][RealtekSemiconductorCorp.,4]

[C:\WINDOWS\System32\kvdxsjma.dll][N/A,]

看清楚上面2行噢!C:\WINDOWS\SOUNDMAN.EXE,是正常的声卡文件.但下面的模块,可是被"病毒文件:kvdxsjma.dll"插入了.同样的:

[PID:1948/GOKU][C:\WINDOWS\System32\RUNDLL32.EXE][MicrosoftCorporation,5.1.2600.0(xpclient.010817-1148)]

[C:\WINDOWS\System32\kvdxsjma.dll][N/A,]

这样的结构.......毫无疑问了,100%是病毒了.同时出现在Appinit和进程模块里面,而且无公司前面,无文件版本.引用:

这个说法有点“循环论证”的感觉。

实际上，由于此项的功能（上面已经加了评论说明），在此项的dll文件几乎注定被大部分进程所加载（没有看到在其模块列表中的那些进程，并一定不是启动时不加载，而可能是加载之后该dll判断自身加载环境，对不需要加载的进程，则自动卸载了）因此，这个现象严格来说并不能更加佐证该dll是病毒的推论，还是应该依照文件路径、数字签名信息等诸多方面综合判断。

四.总结

因为这部分是报告中,容量最大的部分,所以看起来确实需要花一段时间.一般就从公司签名,文件签名入手即可.大部分文件,只要看到公司签名和文件版本信息,就可以略过了.这样能节省时间.即便有漏掉的,只要前面,注册表,服务,驱动,3个项目清理的彻底.漏掉的文件,也成了"死的了".学看SRE报告————第六讲[折叠]

还剩下几个有共性的小项目.我一起写了,对于这几个项目,都是有普遍规律的.

一.文件关联

90%的病毒,都必定会修改系统默认的文件关联.我们这里不需要理会.看都不用看.在手工杀毒最后,我们可以用SRE,修复一下就是了.

这部分不需要重视.引用:

90%太多了，其实没有那么多。而真正被病毒修改的文件关联，恰恰不是不需要理会，而是很需要理会。

如果病毒修改的是可执行文件如.exe、.scr、.com的文件关联，指向病毒程序本身，则当你打开任何一个以此为后缀的可执行文件，都会先运行病毒程序。

在删除的病毒程序之后，又没有恢复此键值的话，相应后缀的可执行文件将会打不开！或者，当你删完了病毒的其他注册表启动项，却没有注意这一项，你得意洋洋地准备删除病毒文件，然而这时你双击打开任意一个相应后缀名的文件，则病毒再度被执行，你就前功尽弃了。遇到这种情况，如.exe文件关联被劫持，可以把SREng的主程序后缀改为.scr或.com甚至.bat再运行。由于系统加载PE文件只看其PE结构，而不是文件名，因此以上关联只要有一个正常，改为相应后缀，就可以正常运行SREng，之后再修复文件关联。所以文件关联并不能最后看，而往往要最先考虑！

二.Winsock提供者

这部分有自身的判断标准,分两种情况.但有个总体的前提:

SRE在做报告的时候,是默认只列出"第三方"的winsock提供者.意思就是,凡是在报告中列出的,都不是windows自带的.

所以,一台干净的,正常的电脑,在SRE报告中,这部分应该是如下显示的:

==================================

Winsock提供者

N/A

==================================

也就是"无(第三方)Winsock提供者".

我前面说的2种情况,正常的"无",是第一种.第二种是:安全类防御软件,会添加winsock,说实话,我现在都不明白,这些软件添加winsock干什么.最常见的,是:NOD32,这个杀毒软件添加的.这样:

NOD32protected[MSAFDTcpip[TCP/IP]]

F:\WINDOWS\system32\imon.dll(Eset,NOD32IMON-Internetscanningsupport)

NOD32protected[MSAFDTcpip[UDP/IP]]

F:\WINDOWS\system32\imon.dll(Eset,NOD32IMON-Internetscanningsupport)

NOD32protected[MSAFDTcpip[RAW/IP]]

F:\WINDOWS\system32\imon.dll(Eset,NOD32IMON-Internetscanningsupport)

NOD32protected[RSVPUDPServiceProvider]

F:\WINDOWS\system32\imon.dll(Eset,NOD32IMON-Internetscanningsupport)

NOD32protected[RSVPTCPServiceProvider]

F:\WINDOWS\system32\imon.dll(Eset,NOD32IMON-Internetscanningsupport)

对于这种情况,我个人建议,删除这些winsock项目,大家可以放心,即便删除它们,对浏览网页等操作,也是毫无影响的.类似的由安全软件添加的,还有:

DrwebSP.MSAFDTcpip[TCP/IP]

F:\WINDOWS\system32\DRWEBSP.DLL(DoctorWeb,Ltd.,Dr.WebWinsockProviderHook)

DrwebSP.MSAFDTcpip[UDP/IP]

F:\WINDOWS\system32\DRWEBSP.DLL(DoctorWeb,Ltd.,Dr.WebWinsockProviderHook)

DrwebSP.RSVPTCPServiceProvider

F:\WINDOWS\system32\DRWEBSP.DLL(DoctorWeb,Ltd.,Dr.WebWinsockProviderHook)

DrwebSP.RSVPUDPServiceProvider

F:\WINDOWS\system32\DRWEBSP.DLL(DoctorWeb,Ltd.,Dr.WebWinsockProviderHook)

不用管是什么软件添加的,如果电脑出现"能上QQ,不能开网页",或者二者都不行的情况,统一删除这些项目!对于杀毒软件添加的Winsock,其对应的DLL文件,不需要理会,删除项目就行了.引用:

还原被正常应用软件修改的winsock供应者项目，或许不会导致上网不正常，但是会影响软件的功能。

安全软件这么做，是因为这一项是负责网络协议的，用自己的组件守住了这一项，有利于监控网络数据流。

第二种情况，则是上网验证的客户端，如TcpipDog.dll，如果恢复了那一项，那真的是用不了这个客户端，也就不能正常上网了。因此，对于是正常软件占据此项的情况，恢复还是要谨慎。

三.Autorun.inf

这个没什么好解释的,必须为空,也就是:

==========================

Autorun.inf

[N/A]

=========================

如果下面有东西,100%为病毒.

对于autorun.inf,以及病毒文件判断的方法,我简单说一下.典型的例子,是这样:

==================================

Autorun.inf

[C:\]

[AuToRuN]

open=soS.Exe

shell\open=打开(&O)

shelL\open\ComMand=soS.Exe

[D:\]

[AuToRuN]

open=soS.Exe

shell\open=打开(&O)

shelL\open\ComMand=soS.Exe

[E:\]

[AuToRuN]

open=soS.Exe

shell\open=打开(&O)

shelL\open\ComMand=soS.Exe

===============================

判断,大家可以照猫画虎,其实,不同的病毒,凡是创建autorun.inf的,只是最后那个"="后面的exe(或者其他的)文件名称不同.这里,从上面的例子中,可以得出如下结论:

该病毒在[C:\],[D:\],[E:\],即C,D,E,这3个分区下面,分别创建了:

1.Autorun.inf

2.soS.Exe

这2个文件.至于清理方法,分三种,

◆利用DOS命令行删除:

,大家可以参考这里:/xiang007/blog/item/77221a55ee5d61c2b745ae3a.html

◆利用批处理文件删除:

批处理,

_________________________________________________________________________________________

cd\

c:

attrib-a-s-h-r*.inf

attrib-a-s-h-rsnow.exe

del*.inf

delsnow.exe

d:

attrib-a-s-h-r*.inf

attrib-a-s-h-rsnow.exe

del*.inf

delsnow.exe

e:

attrib-a-s-h-r*.inf

attrib-a-s-h-rsnow.exe

del*.inf

delsnow.exe

f:

attrib-a-s-h-r*.inf

attrib-a-s-h-rsnow.exe

del*.inf

delsnow.exe

h:

attrib-a-s-h-r*.inf

attrib-a-s-h-rsnow.exe

del*.inf

delsnow.exe

echo如果至此未出现：找不到文件……则证明其他分区下病毒已经删除，请重启电脑，再次执行此程序，如果全是“找不到文件”，就证明彻底删除了。

pause

_________________________________________________________________________________________

就是2条横线中间的红色部分了,复制下来,然后把里面的snow.exe,改为你判断出来的exe,或者其他文件,比如,根据我上面的例子,就应该改为:soS.Exe,然后保存为bat格式,双击运行就可以了.◆利用雨林木风PE系统,删除2个病毒文件

这个简单了,进入PE系统,就像XP下删文件一样简单...................

四.HOST文件

HOST文件的作用,我这里不想解释了,网上解释太多了,不知道的,自己搜索一下就行了.

和winsock类似的,分2中情况:

1.正常情况

正常情况下,该部分只有一行:

==================================

HOSTS文件

localhost

==================================

2.目前,网上流传有一些工具,声称可以通过添加,修改HOSTS文件,来实现屏蔽恶意网站.因此,会添加些HOSTS项目.例如：

HOSTS文件

***********************************

《电脑报》黑榜(R)恶意网址屏蔽文件

版本号：2007.11.12

***********************************

localhost

37698.com

2345.com

上门就是典型的例子了，是用来屏蔽恶意网站的，写在HOST文件里面，意思就是“让电脑禁止访问那些网站”，不过我个人倒是觉得没什么用。呵呵，这个自己看着办了。

对于HOSTS这个项目,无论一台电脑是什么情况,装的什么系统,都应该尽量保证其只有"默认的

localhost"一行.剩下的,如果大家不知道怎么判断,都可以随意大胆的删除!学看SRE报告————第七讲[折叠]

最后剩下几项了.

一.进程特权扫描

在windows系统中,有些软件,比如驱动程序,杀毒软件.需要"时时刻刻"运行.所以,它们对于其他普通软件,比如听歌的,QQ什么的(这些都随时会被关闭).具有更高的进程特权.

说白了,它们更占CPU,为的是时刻监控等等功能.对于这些时时刻刻都需要运行的项目,SRE在报告中,称做:进程特权扫描

例子:

==================================

进程特权扫描

特殊特权被允许：SeDebugPrivilege[PID=1744,C:\WINDOWS\SOUNDMAN.EXE]

特殊特权被允许：SeLoadDriverPrivilege[PID=1744,C:\WINDOWS\SOUNDMAN.EXE]

特殊特权被允许：SeDebugPrivilege[PID=1988,C:\WINDOWS\SYSTEM32\TXHMOU.EXE]

特殊特权被允许：SeLoadDriverPrivilege[PID=1988,C:\WINDOWS\SYSTEM32\TXHMOU.EXE]

特殊特权被允许：SeLoadDriverPrivilege[PID=1888,C:\WINDOWS\SYSTEM32\NVSVC32.EXE]

特殊特权被允许：SeDebugPrivilege[PID=2156,C:\WINDOWS\SYSTEM32\1SVTH.EXE]

特殊特权被允许：SeLoadDriverPrivilege[PID=2156,C:\WINDOWS\SYSTEM32\1SVTH.EXE]

特殊特权被允许：SeDebugPrivilege[PID=3976,D:\聊天工具\TENCENT\QQ\QQ.EXE]

特殊特权被允许：SeLoadDriverPrivilege[PID=3976,D:\聊天工具\TENCENT\QQ\QQ.EXE]

==================================

这里没什么好解释的,结构我不想说了,我们在判断的时候,只能是根据列出的文件的详细路径和名称.来判断是否正常.

可以结合前面判断出来的病毒文件来判断.大家想想就能明白,病毒,它也是要时时刻刻运行的,所以,肯定会在"进程特权"里面出现.如果这里出现了,你前面判断出的病毒,那么,无疑坚定了你的判断.比如上面的例子,有问题的:

C:\WINDOWS\SYSTEM32\TXHMOU.EXE

C:\WINDOWS\SYSTEM32\1SVTH.EXE

具体这两个是什么,就得从前面去判断了,凡是在这里出现的,肯定在"正在运行的服务"里面有反映.去那里找吧,看看公司签名,版本.引用:

原作者应该好好看看Privilege到底是什么。权限令牌是程序执行相应操作所需要的。如对系统进程进行内存读取（有时仅仅是为了遍历进程，得到其映像文件名，要对目标进程的PEB进行读取）需要SeDebugPrivilege权限，用程序调用ExitWindowsEx关闭或重启计算机需要SeShutdownPrivilege等等，如果没有相应权限，相应操作就会被系统阻止。二.APIHOOK

HOOK,意思为"挂钩,劫持".但它不一定是恶意的.相反,现在的病毒,恶意的进行:APTHOOK,倒是很少.

在这个项目里面,最容易出现的,是杀毒软件,杀毒软件为了从更深的层次监控电脑,保护电脑,就会修改此处.目的,大家应该明白了.

对于一台正常的电脑,这项应该是N/A,如果有值,可以根据路径判断,一般,95%的情况,都是杀毒软件搞的"鬼",比如:

APIHOOK

入口点错误：LoadLibraryExW(危险等级:高,被下面模块所HOOK:C:\KAV2007\KASocket.dll)

金山2007的HOOK了~其实这个没什么的,大家不必大惊小怪.被杀毒软件HOOK,是最正常的事情了,我们不必理会.特例:

APIHOOK

RVA错误：LoadLibraryA(危险等级:高,被下面模块所HOOK:\??\C:\WINDOWS\system32\drivers\klif.sys)

RVA错误：LoadLibraryExA(危险等级:高,被下面模块所HOOK:\??\C:\WINDOWS\system32\drivers\klif.sys)

RVA错误：LoadLibraryExW(危险等级:高,被下面模块所HOOK:\??\C:\WINDOWS\system32\drivers\klif.sys)

RVA错误：LoadLibraryW(危险等级:高,被下面模块所HOOK:\??\C:\WINDOWS\system32\drivers\klif.sys)

RVA错误：GetProcAddress(危险等级:高,被下面模块所HOOK:\??\C:\WINDOWS\system32\drivers\klif.sys)

C:\WINDOWS\system32\drivers\klif.sys为卡巴斯基杀毒软件,用于HOOK的文件!大家记住就行了.

三.隐藏进程

一般情况下,都是N/A,如果有值,分两种情况考虑:

1.杀毒软件

有一部分杀毒软件,为了保护自身不被病毒干掉,创建了隐藏进程,典型的就是江民杀毒.如果一台电脑装有江民,在这里可能会出现.根据路径判断就行了.比如C:\KV\..........类似的.

2.InternetExplorer.exe

如果出现此隐藏进程,则必定电脑里面存在木马!典型的灰鸽子,就是这样,中毒后,创建隐藏的IE进程.但是,这个项目里面,不会列出病毒文件.只能从上面去查.引用:

不是InternetExplorer.exe，而是iexplore.exeSRE已知不成文规律总结1.XP统一的启动项目[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\ActiveSetup\InstalledComponents\>{26923b43-4d38-484f-9b9e-de460746276c}]

<InternetExplorer访问><"C:\WINNT\system32\shmgrate.exe"OCInstallUserConfigIE>[N/A]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\ActiveSetup\InstalledComponents\>{881dd1c5-3dcf-431b-b061-f3f88e8be88a}]

<OutlookExpress访问><"C:\WINNT\system32\shmgrate.exe"OCInstallUserConfigOE>[N/A]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\ActiveSetup\InstalledComponents\{44BBA840-CC51-11CF-AAFA-00AA00B6015C}]

<MicrosoftOutlookExpress6><"%ProgramFiles%\OutlookExpress\setup50.exe"/APP:OE/CALLER:WINNT/user/install>[N/A]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\ActiveSetup\InstalledComponents\{44BBA842-CC51-11CF-AAFA-00AA00B6015B}]

<NetMeeting3.01><rundll32.exeadvpack.dll,LaunchINFSectionC:\WINNT\INF\msnetmtg.inf,NetMtg.Install.PerUser.NT>[(Verified)MicrosoftWindows2000Publisher]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\ActiveSetup\InstalledComponents\{6BF52A52-394A-11d3-B153-00C04F79FAA6}]

<MicrosoftWindowsMediaPlayer><rundll32.exeadvpack.dll,LaunchINFSectionC:\WINNT\INF\wmp.inf,PerUserStub>[]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\ActiveSetup\InstalledComponents\{7790769C-0471-11d2-AF11-00C04FA35D02}]

<AddressBook5><"%ProgramFiles%\OutlookExpress\setup50.exe"/APP:WAB/CALLER:WINNT/user/install>[N/A]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\ActiveSetup\InstalledComponents\{9EF0045A-CDD9-438e-95E6-02B9AFEC8E11}]以上各注册表启动项目，为XP系统通用启动项目，即：正常启动项2.系统服务没有什么特别的，只有一个服务，值得注意：[HumanInterfaceDeviceAccess/HidServ][Stopped/Disabled]

<C:\WINDOWS\System32\svchost.exe-knetsvcs-->%SystemRoot%\System32\hidserv.dll><N/A>这项虽然没经过微软签名，但为正常的系统服务项目3.驱动程序和上面的一样，已知的未经过微软签名的，正常的驱动程序：⑴[Secdrv/Secdrv][Stopped/ManualStart]

<system32\DRIVERS\secdrv.sys><N/A>⑵[d347bus/d347bus]和[d347prt/d347prt]

此程序，为虚拟光驱软件：Daemontools这个软件的第三方驱动4.关于AppInit这个项目，一般在sre报告里面分为2种，在报告中，它是如下样子显示：

[HKEY_LOCAL_MACHINE\Software\Microsoft\WindowsNT\CurrentVersion\Windows]

<AppInit_DLLs><>[N/A]注：此值不能删除！！！！！！！！！！！！只能在SRE里面，双击后编辑，设置为空即可！此值正常情况下，为空，在SRE报告中，也就是反应为：[N/A]。如果出现值，则分两种情况考虑：

⑴经过美化的系统，一些美化软件，如：WindowsBlinds，美化系统后，会修改此键值，并把它的值改为：wbsys.sys，这个是正常的

⑵病毒文件。这种，就靠自己判断了。一般都是无规则的字母、数字组成的DLL类型文件。5.关于APIHOOK

这个项目，目前大部分杀毒软件，都会修改此键值，目的是为了从更深层次的角度，查杀病毒。大家判断的时候，根据里面列出的文件路径判断就行了。常见的，大家经常迷惑的，就是卡巴斯基，它的HOOK，在SRE报告中的反应是这样：

RVA错误：LoadLibraryA(危险等级:高,被下面模块所HOOK:\??\C:\WINDOWS\system32\drivers\klif.sys)

RVA错误：LoadLibraryExA(危险等级:高,被下面模块所HOOK:\??\C:\WINDOWS\system32\drivers\klif.sys)

R