恶意程式分析工具(2) SREng 网页：http://www.kztechs.com/sreng/index1.html 下载：http://download.kztechs.com/files/sreng2.zip 优点：可以发现许多可疑的程式，很详尽。 缺点：功能强大，但人工分析费时，也容易漏看。 建议：适合当作第二个分析工具，辅助 HijackThis 不足之处。 如是否有恶意的 dll, hosts file，或 Autorun.inf 。 产生报告 执行後，选择【Smart Scan/智慧扫描】， 然後勾选【Verify the digital signature of process modules】/ 中文是【检查进程模组的数位签章】，并开始【Scan/扫描】。 结束後，按【Save Reports/保存报告】，会产生 SREngLOG.txt是纯文字档。 开启後，将内容贴到网路空间上。 处理流程 分析产生的报告 ↓ 首先看是否有恶意的 dll: "Running Processes" 的区段 第1眼: 快速扫过未有厂商签章的程序 (1) 第2眼: 看是否有可疑的程序名称 (2) ↓ 第二步: Winsock Provider 区段 看是否有恶意程式 (3) ↓ 第三步: Autorun.inf 区段 看是否有恶意的自动执行档 (3) ↓ 第四步: HOSTS file 区段 看是否有恶意的 DNS 指向 (3) ↓ 第五步: Process Privileges Scan 区段 看是否有恶意的程序 (3) ↓ 第六步: API HOOK 区段 看是否有恶意的 API HOOK (3) ↓ 第七步: Hidden Process 区段 看是否有恶意的隐藏程序在执行 (3) ↓ 初步分析完成，若有很多时间可全篇分析 ↓ 完成 说明 (1) 厂商签章会显示在每个档案後面，往往恶意程式都没有签章 型式如下： [C:\Program Files\WinRAR\rarext.dll] [N/A, ] [C:\Program Files\avp.exe] [] 注意: 并非没有签章都是恶意程式；反之有签章也未必是正常程式。 (2) 恶意程式有时会产生很奇怪的档名，如： [C:\WINDOWS\Dll42DF534D.dll] [N/A, ] (3) 如果不懂是哪个程式，可上 http://www.google.com/ 查询资料。 实战 如果你拿到以下的 SREng Log 。你会怎麽处理？ http://antbsd.twbbs.org/~ant/antivirus/tutorial/SREng_Sample1.txt 解答 有问题的程序为： 执行 SREng， 1. [HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Windows] <AppInit_DLLs><e1.dll> [N/A] 左边点选 "Boot Items"，然後在右边的页签选择 "Registry"， 找到 AppInit_DLLs 的项目，将值清空。 注意: AppInit_DLLs 的项目不能删除，否则可能会有问题，只能清空。 2. [HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run] <myZt1><C:\DOCUME~1\Users\LOCALS~1\Temp\Zt1\SVCH0ST.EXE> [N/A] 左边点选 "Boot Items"，然後在右边的页签选择 "Registry"， 找到 myZt1 的项目，将值删除 delete → Yes。 3. [PID: 884 / NETWORK SERVICE][C:\WINDOWS\system32\svchost.exe] [Micro... [C:\WINDOWS\system32\od3mdi.dll] [N/A, ] [PID: 1596 / Wus][C:\WINDOWS\Explorer.EXE] [Microsoft Corporation, [C:\WINDOWS\system32\od3mdi.dll] [N/A, ] [C:\WINDOWS\ZFTMP\ZMenu9861.DLL] [N/A, ] [PID: 508 / Wus][C:\Documents and Settings\Wus\桌面\SREng.PIF] [Smal... [C:\WINDOWS\system32\od3mdi.dll] [N/A, ] SREng 不支援直接砍档，可以下载 icesword 来删除。 http://mail.ustc.edu.cn/%7Ejfpan/download/IceSword122en.zip 如果系统是 Vista 则下载 http://202.38.64.10/%7Ejfpan/download/is120en_vista.zip 执行後，点选左边栏下方的 "file"，然後找到该档案的路径， 右键点选该档案 → "delete"。 4. MSAFD Tcpip [TCP/IP] C:\WINDOWS\system32\od3mdi.dll(, N/A) MSAFD Tcpip [RAW/IP] C:\WINDOWS\system32\od3mdi.dll(, N/A) SREng 左边点选 "System Repair"，然後在右边的页签选择 "Winsock provider"， 找到上面的项目後，按右下方的 "Delete Selected"。 5. HOSTS File SREng 左边点选 "System Repair"，然後在右边的页签选择 "HOSTS file"， 只留下 "127.0.0.1 localhost"， 注意: 并不是每次都只留 localhost。 补充 关於解答的第4项，於前一篇 HijackThis 一样，在处理 WinSock 时， 有两种解决方式。 1. 在删除 WinSock 前，Windows XP 版本请先下载 WinSockXPFix http://www.pchell.com/downloads/WinsockXPFix.exe Windows 2000 以前版本请下载 WinSockFix http://www.softpedia.com/get/Tweak/Network-Tweak/WinSockFix.shtml 在修复後若发现无法上网，则使用这些工类修复。 2. 不使用 SREng 删除，改用 LSP-Fix 修复。 http://cexx.org/lspfix.htm 执行後，勾选 "I know what I'm doing"，然後在左边选择有问题的清单， 再按中间的 ">>" 键将项目移到右边，最後按右下角的 "finish >>" 即可。 --

※ 发信站: 批踢踢实业坊(ptt.cc) ◆ From: 218.167.59.179 ※ 编辑: blman 来自: 218.167.59.179 (11/04 12:20)