學看-SREng-日志分析-報告下

學看SREng日志分析報告.<下>2008年09月05日星期五13:54學看SRE報告————第四講[折疊]

一。瀏覽器加載項結構

還是以例子來說明：

[ThunderAtOnceClass]

{01443AEC-0FD1-40fd-9C87-E93D1494C233}<d:\ProgramFiles\Thunder\ComDlls\TDAtOnce_Now.dll,ThunderNetworkingTechnologies,LTD>

●[ThunderAtOnceClass]：該加載項名稱

●{01443AEC-0FD1-40fd-9C87-E93D1494C233}：在注冊表中的名稱

●<d:\ProgramFiles\Thunder\ComDlls\TDAtOnce_Now.dll,ThunderNetworkingTechnologies,LTD>：對應文件的完整位置＋公司簽名

二。判斷方法

很少有病毒會涉及到這個項目，倒是流氓軟件，100％絕對會在這里創(chuàng)建鍵值。

1.加載項名稱，這里。特別需要注意的是：如果有[]，這樣的加載項，則代表該項鍵值有問題，當然，不能就此斷定是病毒創(chuàng)建的。至少，有一點可以保證，對于IE瀏覽網頁，它是絕對沒用的。

2.公司簽名

這個說過很多次了，沒公司簽名的，或者為N/A的，需要仔細查驗其對應文件的詳細路徑。一般通過路徑，就能判斷出是否是病毒文件。

[雅虎助手]

{5D73EE86-05F1-49ed-B850-E423120EC338}</start.htm?source=yzs_icon&btn=yassistnew,N/A>

萬人皆知的流氓了，自己都懶著給自己的文件，做公司簽名，要來有何用？

[使用迅雷下載]

<d:\ProgramFiles\Thunder\Program\geturl.htm,N/A>

連迅雷，都犯懶，不做簽名。。。。。。通過路徑，應該能看出是迅雷吧？Thunder～引用:

這個說法有誤。瀏覽器加載項是一個很綜合的項目，包括BHO，ActiveX插件，瀏覽器工具欄等多個項目，在SREng的界面中可以看到明顯的說明。

這些項目中，不僅僅有dll類型的加載PE文件（BHO或ActiveX項目），也有工具欄附加按鈕，瀏覽器的右鍵菜單項目等等，特別是后兩者，經常是一些網頁鏈接。

顯然這里就是兩個網頁鏈接，目標是雅虎的一個網頁，以及迅雷保存在本機的一個網頁（作為迅雷的組件，當你右鍵點“使用迅雷下載”時，瀏覽器后臺運行了這個網頁）。網頁鏈接不是可執(zhí)行文件，當然就沒有數(shù)字簽名，這不是人家公司不做簽名，而是壓根就不需要做，也沒法做得上去！

瀏覽器加載項這里，幾乎不會有什么問題，多看報告，積累總結出windows常見的，正常的瀏覽器加載項，就行了。除了windows自帶的，基本上95％都是流氓軟件的加載項了。流氓軟件，在手工殺毒的過程中，可以忽略不管。畢竟，它不算真正意義上的病毒。但是，如果作報告的電腦，出現(xiàn)：某個網頁，無法訪問，或者修復了winsock后，仍不能訪問網頁，則需要從瀏覽器加載項入手考慮了。學看SRE報告————第五講[折疊]

一."正在運行的進程"結構說明

這部分,在SRE報告中,比重是最大的,其實,說白了,就是列出電腦當前運行的所有程序的進程信息,包括各自的模塊(包括哪些同時運行,或者程序調用的DLL文件等)信息.

為了減少看報告的工作量,提高效率.我們建議,在做報告之前,應該盡量關閉windows系統(tǒng)第三方的程序,比如QQ,IE,千千等等.盡量做到:只保留windows自身的進程.這樣有助于我們更快速的判斷,大家不用擔心,關閉第三方程序,不會對查毒產生負面影響.

還是拿例子說明:

[PID:664/Administrator][C:\KAV2007\KAVStart.exe][KingsoftCorporation,2007,9,28,295]

[C:\windows\system32\MFC71.DLL][MicrosoftCorporation,7.10.3077.0]

[C:\windows\system32\MSVCR71.dll][MicrosoftCorporation,7.10.3052.4]

[C:\windows\system32\MSVCP71.dll][MicrosoftCorporation,7.10.3077.0]

[C:\windows\system32\MFC71CHS.DLL][MicrosoftCorporation,7.10.3077.0]

[C:\KAV2007\KMailOEBand.DLL][KingsoftCorporation,2006,12,1,139]

[C:\KAV2007\SvcTimer.DLL][KingsoftCorporation,2004]

[C:\KAV2007\KAVPassp.dll][KingsoftCorporation,2006,12,30,271]

[C:\KAV2007\PopSprt3.dll][KingsoftCorporation,2007,3,20,48]

[C:\KAV2007\KASocket.dll][KingsoftCorporation,2007,3,18,241]

第一行分三部分:

1.[PID:664/Administrator]:PID值是指此進程在系統(tǒng)中的"數(shù)字標識",它是唯一的.這個項目對于我們查毒殺毒沒什么意義,大家知道就行了.后面,是創(chuàng)建此進程的用戶名.

2.[C:\KAV2007\KAVStart.exe]:這個是該進程所運行的文件的詳細位置.

3.[KingsoftCorporation,2007,9,28,295]:該進程對應文件的公司簽名,文件的版本信息.

下面的"相對第一行有縮進"行,是逐行列出了該進程,同時調用了哪些文件,也就是專業(yè)術語上稱的:模塊信息.我隨便挑取一行說明:

[C:\KAV2007\SvcTimer.DLL]

1.[C:\KAV2007\SvcTimer.DLL]:該模塊對應文件的詳細路徑及名稱

2.[KingsoftCorporation,2004]:模塊的公司名稱,文件的版本信息

當然,也存在只有一個運行文件,而沒有"模塊"信息的進程存在,例如:

[PID:1468/SYSTEM][C:\windows\system32\spoolsv.exe][MicrosoftCorporation,5.1.2600.2696(xpsp_sp2_gdr.050610-1519)]

和上面的例子相比,最后多了一部分:(xpsp_sp2_gdr.050610-1519)

SRE對于windows自身的部分程序,在檢測的時候,都會附帶出"XP系統(tǒng)的版本信息",比如我們上面的:spoolsv.exe(打印機服務),Explorer.EXE,services.exe等.

和以前的各塊內容不同,在"正在運行的進程"這部分,SRE加入了"文件版本信息"的內容,這個信息,對于我們判斷病毒,起到了很大的作用.一定不能忽略它!

二.判斷方法

1.優(yōu)先注意,公司前面為:N/A的文件

這部分不解釋了,只給出一個例外:[C:\ProgramFiles\WinRAR\rarext.dll][N/A,]

大家最常用的WinRAR的文件,無公司前面,連文件版本信息都沒有^^^^夠郁悶的..........但是是正常的喔!

2.看進程文件的版本,模塊文件的版本

目前大部分病毒,雖然會偽造公司前面,但無一例外的,在文件版本上,都沒有"下功夫",所以,我們在判斷的時候,可以優(yōu)先注意:無文件/模塊,版本信息的文件.

3.凡是標有XP版本信息的文件,一律為正常的系統(tǒng)文件.如:

[C:\windows\system32\msacm32.drv][MicrosoftCorporation,5.1.2600.0(xpclient.010817-1148)]

4.注意報告的整體"聯(lián)系"

其實,70%的SRE報告,在"注冊表啟動信息","服務",里面,就基本能挑出90%的病毒文件了.所以到了進程這里,要善于查看"上下文"關系.一般在注冊表啟動項目里面,羅列出的病毒文件.都會在進程中有所反映(做為模塊反映出來的,比較多).

5.同一個DLL類型文件,同時做為模塊,插入大部分進程,且,該DLL文件,無公司前面,或者有簽名,沒文件版本信息.例如:

[PID:560/SYSTEM][C:\WINDOWS\system32\services.exe][MicrosoftCorporation,5.1.2600.0(xpclient.010817-1148)]

[C:\WINDOWS\system32\sidjezy.dll][N/A,]

[PID:572/SYSTEM][C:\WINDOWS\system32\lsass.exe][MicrosoftCorporation,5.1.2600.1106(xpsp1.020828-1920)]

[C:\WINDOWS\system32\sidjezy.dll][N/A,]

[PID:748/SYSTEM][C:\WINDOWS\system32\svchost.exe][MicrosoftCorporation,5.1.2600.0(xpclient.010817-1148)]

[C:\WINDOWS\system32\sidjezy.dll][N/A,]

三.關于AppInit_DLLs

這個東西,我們第一講就著重提到了,我在這里再說一次.

前面說過,此鍵值如果不為空,則分為"美化和病毒"兩種情況.美化不說了,我說病毒的情況

如果在"注冊表啟動信息"中,AppInit_DLLs得值,是一個DLL類型文件,而且,此文件,插入了多個"正在運行的進程"中.則此文件99%為病毒文件!例子:

上面,注冊表啟動信息:

[HKEY_LOCAL_MACHINE\Software\Microsoft\WindowsNT\CurrentVersion\Windows]

<AppInit_DLLs><kvdxsjma.dll>[]

下面,正在運行的進程:

[PID:1744/GOKU][C:\WINDOWS\SOUNDMAN.EXE][RealtekSemiconductorCorp.,4]

[C:\WINDOWS\System32\kvdxsjma.dll][N/A,]

看清楚上面2行噢!C:\WINDOWS\SOUNDMAN.EXE,是正常的聲卡文件.但下面的模塊,可是被"病毒文件:kvdxsjma.dll"插入了.同樣的:

[PID:1948/GOKU][C:\WINDOWS\System32\RUNDLL32.EXE][MicrosoftCorporation,5.1.2600.0(xpclient.010817-1148)]

[C:\WINDOWS\System32\kvdxsjma.dll][N/A,]

這樣的結構.......毫無疑問了,100%是病毒了.同時出現(xiàn)在Appinit和進程模塊里面,而且無公司前面,無文件版本.引用:

這個說法有點“循環(huán)論證”的感覺。

實際上，由于此項的功能（上面已經加了評論說明），在此項的dll文件幾乎注定被大部分進程所加載（沒有看到在其模塊列表中的那些進程，并一定不是啟動時不加載，而可能是加載之后該dll判斷自身加載環(huán)境，對不需要加載的進程，則自動卸載了）因此，這個現(xiàn)象嚴格來說并不能更加佐證該dll是病毒的推論，還是應該依照文件路徑、數(shù)字簽名信息等諸多方面綜合判斷。

四.總結

因為這部分是報告中,容量最大的部分,所以看起來確實需要花一段時間.一般就從公司簽名,文件簽名入手即可.大部分文件,只要看到公司簽名和文件版本信息,就可以略過了.這樣能節(jié)省時間.即便有漏掉的,只要前面,注冊表,服務,驅動,3個項目清理的徹底.漏掉的文件,也成了"死的了".學看SRE報告————第六講[折疊]

還剩下幾個有共性的小項目.我一起寫了,對于這幾個項目,都是有普遍規(guī)律的.

一.文件關聯(lián)

90%的病毒,都必定會修改系統(tǒng)默認的文件關聯(lián).我們這里不需要理會.看都不用看.在手工殺毒最后,我們可以用SRE,修復一下就是了.

這部分不需要重視.引用:

90%太多了，其實沒有那么多。而真正被病毒修改的文件關聯(lián)，恰恰不是不需要理會，而是很需要理會。

如果病毒修改的是可執(zhí)行文件如.exe、.scr、.com的文件關聯(lián)，指向病毒程序本身，則當你打開任何一個以此為后綴的可執(zhí)行文件，都會先運行病毒程序。

在刪除的病毒程序之后，又沒有恢復此鍵值的話，相應后綴的可執(zhí)行文件將會打不開！或者，當你刪完了病毒的其他注冊表啟動項，卻沒有注意這一項，你得意洋洋地準備刪除病毒文件，然而這時你雙擊打開任意一個相應后綴名的文件，則病毒再度被執(zhí)行，你就前功盡棄了。遇到這種情況，如.exe文件關聯(lián)被劫持，可以把SREng的主程序后綴改為.scr或.com甚至.bat再運行。由于系統(tǒng)加載PE文件只看其PE結構，而不是文件名，因此以上關聯(lián)只要有一個正常，改為相應后綴，就可以正常運行SREng，之后再修復文件關聯(lián)。所以文件關聯(lián)并不能最后看，而往往要最先考慮！

二.Winsock提供者

這部分有自身的判斷標準,分兩種情況.但有個總體的前提:

SRE在做報告的時候,是默認只列出"第三方"的winsock提供者.意思就是,凡是在報告中列出的,都不是windows自帶的.

所以,一臺干凈的,正常的電腦,在SRE報告中,這部分應該是如下顯示的:

==================================

Winsock提供者

N/A

==================================

也就是"無(第三方)Winsock提供者".

我前面說的2種情況,正常的"無",是第一種.第二種是:安全類防御軟件,會添加winsock,說實話,我現(xiàn)在都不明白,這些軟件添加winsock干什么.最常見的,是:NOD32,這個殺毒軟件添加的.這樣:

NOD32protected[MSAFDTcpip[TCP/IP]]

F:\WINDOWS\system32\imon.dll(Eset,NOD32IMON-Internetscanningsupport)

NOD32protected[MSAFDTcpip[UDP/IP]]

F:\WINDOWS\system32\imon.dll(Eset,NOD32IMON-Internetscanningsupport)

NOD32protected[MSAFDTcpip[RAW/IP]]

F:\WINDOWS\system32\imon.dll(Eset,NOD32IMON-Internetscanningsupport)

NOD32protected[RSVPUDPServiceProvider]

F:\WINDOWS\system32\imon.dll(Eset,NOD32IMON-Internetscanningsupport)

NOD32protected[RSVPTCPServiceProvider]

F:\WINDOWS\system32\imon.dll(Eset,NOD32IMON-Internetscanningsupport)

對于這種情況,我個人建議,刪除這些winsock項目,大家可以放心,即便刪除它們,對瀏覽網頁等操作,也是毫無影響的.類似的由安全軟件添加的,還有:

DrwebSP.MSAFDTcpip[TCP/IP]

F:\WINDOWS\system32\DRWEBSP.DLL(DoctorWeb,Ltd.,Dr.WebWinsockProviderHook)

DrwebSP.MSAFDTcpip[UDP/IP]

F:\WINDOWS\system32\DRWEBSP.DLL(DoctorWeb,Ltd.,Dr.WebWinsockProviderHook)

DrwebSP.RSVPTCPServiceProvider

F:\WINDOWS\system32\DRWEBSP.DLL(DoctorWeb,Ltd.,Dr.WebWinsockProviderHook)

DrwebSP.RSVPUDPServiceProvider

F:\WINDOWS\system32\DRWEBSP.DLL(DoctorWeb,Ltd.,Dr.WebWinsockProviderHook)

不用管是什么軟件添加的,如果電腦出現(xiàn)"能上QQ,不能開網頁",或者二者都不行的情況,統(tǒng)一刪除這些項目!對于殺毒軟件添加的Winsock,其對應的DLL文件,不需要理會,刪除項目就行了.引用:

還原被正常應用軟件修改的winsock供應者項目，或許不會導致上網不正常，但是會影響軟件的功能。

安全軟件這么做，是因為這一項是負責網絡協(xié)議的，用自己的組件守住了這一項，有利于監(jiān)控網絡數(shù)據流。

第二種情況，則是上網驗證的客戶端，如TcpipDog.dll，如果恢復了那一項，那真的是用不了這個客戶端，也就不能正常上網了。因此，對于是正常軟件占據此項的情況，恢復還是要謹慎。

三.Autorun.inf

這個沒什么好解釋的,必須為空,也就是:

==========================

Autorun.inf

[N/A]

=========================

如果下面有東西,100%為病毒.

對于autorun.inf,以及病毒文件判斷的方法,我簡單說一下.典型的例子,是這樣:

==================================

Autorun.inf

[C:\]

[AuToRuN]

open=soS.Exe

shell\open=打開(&O)

shelL\open\ComMand=soS.Exe

[D:\]

[AuToRuN]

open=soS.Exe

shell\open=打開(&O)

shelL\open\ComMand=soS.Exe

[E:\]

[AuToRuN]

open=soS.Exe

shell\open=打開(&O)

shelL\open\ComMand=soS.Exe

===============================

判斷,大家可以照貓畫虎,其實,不同的病毒,凡是創(chuàng)建autorun.inf的,只是最后那個"="后面的exe(或者其他的)文件名稱不同.這里,從上面的例子中,可以得出如下結論:

該病毒在[C:\],[D:\],[E:\],即C,D,E,這3個分區(qū)下面,分別創(chuàng)建了:

1.Autorun.inf

2.soS.Exe

這2個文件.至于清理方法,分三種,

◆利用DOS命令行刪除:

,大家可以參考這里:/xiang007/blog/item/77221a55ee5d61c2b745ae3a.html

◆利用批處理文件刪除:

批處理,

_________________________________________________________________________________________

cd\

c:

attrib-a-s-h-r*.inf

attrib-a-s-h-rsnow.exe

del*.inf

delsnow.exe

d:

attrib-a-s-h-r*.inf

attrib-a-s-h-rsnow.exe

del*.inf

delsnow.exe

e:

attrib-a-s-h-r*.inf

attrib-a-s-h-rsnow.exe

del*.inf

delsnow.exe

f:

attrib-a-s-h-r*.inf

attrib-a-s-h-rsnow.exe

del*.inf

delsnow.exe

h:

attrib-a-s-h-r*.inf

attrib-a-s-h-rsnow.exe

del*.inf

delsnow.exe

echo如果至此未出現(xiàn)：找不到文件……則證明其他分區(qū)下病毒已經刪除，請重啟電腦，再次執(zhí)行此程序，如果全是“找不到文件”，就證明徹底刪除了。

pause

_________________________________________________________________________________________

就是2條橫線中間的紅色部分了,復制下來,然后把里面的snow.exe,改為你判斷出來的exe,或者其他文件,比如,根據我上面的例子,就應該改為:soS.Exe,然后保存為bat格式,雙擊運行就可以了.◆利用雨林木風PE系統(tǒng),刪除2個病毒文件

這個簡單了,進入PE系統(tǒng),就像XP下刪文件一樣簡單...................

四.HOST文件

HOST文件的作用,我這里不想解釋了,網上解釋太多了,不知道的,自己搜索一下就行了.

和winsock類似的,分2中情況:

1.正常情況

正常情況下,該部分只有一行:

==================================

HOSTS文件

localhost

==================================

2.目前,網上流傳有一些工具,聲稱可以通過添加,修改HOSTS文件,來實現(xiàn)屏蔽惡意網站.因此,會添加些HOSTS項目.例如：

HOSTS文件

***********************************

《電腦報》黑榜(R)惡意網址屏蔽文件

版本號：2007.11.12

***********************************

localhost

37698.com

2345.com

上門就是典型的例子了，是用來屏蔽惡意網站的，寫在HOST文件里面，意思就是“讓電腦禁止訪問那些網站”，不過我個人倒是覺得沒什么用。呵呵，這個自己看著辦了。

對于HOSTS這個項目,無論一臺電腦是什么情況,裝的什么系統(tǒng),都應該盡量保證其只有"默認的

localhost"一行.剩下的,如果大家不知道怎么判斷,都可以隨意大膽的刪除!學看SRE報告————第七講[折疊]

最后剩下幾項了.

一.進程特權掃描

在windows系統(tǒng)中,有些軟件,比如驅動程序,殺毒軟件.需要"時時刻刻"運行.所以,它們對于其他普通軟件,比如聽歌的,QQ什么的(這些都隨時會被關閉).具有更高的進程特權.

說白了,它們更占CPU,為的是時刻監(jiān)控等等功能.對于這些時時刻刻都需要運行的項目,SRE在報告中,稱做:進程特權掃描

例子:

==================================

進程特權掃描

特殊特權被允許：SeDebugPrivilege[PID=1744,C:\WINDOWS\SOUNDMAN.EXE]

特殊特權被允許：SeLoadDriverPrivilege[PID=1744,C:\WINDOWS\SOUNDMAN.EXE]

特殊特權被允許：SeDebugPrivilege[PID=1988,C:\WINDOWS\SYSTEM32\TXHMOU.EXE]

特殊特權被允許：SeLoadDriverPrivilege[PID=1988,C:\WINDOWS\SYSTEM32\TXHMOU.EXE]

特殊特權被允許：SeLoadDriverPrivilege[PID=1888,C:\WINDOWS\SYSTEM32\NVSVC32.EXE]

特殊特權被允許：SeDebugPrivilege[PID=2156,C:\WINDOWS\SYSTEM32\1SVTH.EXE]

特殊特權被允許：SeLoadDriverPrivilege[PID=2156,C:\WINDOWS\SYSTEM32\1SVTH.EXE]

特殊特權被允許：SeDebugPrivilege[PID=3976,D:\聊天工具\TENCENT\QQ\QQ.EXE]

特殊特權被允許：SeLoadDriverPrivilege[PID=3976,D:\聊天工具\TENCENT\QQ\QQ.EXE]

==================================

這里沒什么好解釋的,結構我不想說了,我們在判斷的時候,只能是根據列出的文件的詳細路徑和名稱.來判斷是否正常.

可以結合前面判斷出來的病毒文件來判斷.大家想想就能明白,病毒,它也是要時時刻刻運行的,所以,肯定會在"進程特權"里面出現(xiàn).如果這里出現(xiàn)了,你前面判斷出的病毒,那么,無疑堅定了你的判斷.比如上面的例子,有問題的:

C:\WINDOWS\SYSTEM32\TXHMOU.EXE

C:\WINDOWS\SYSTEM32\1SVTH.EXE

具體這兩個是什么,就得從前面去判斷了,凡是在這里出現(xiàn)的,肯定在"正在運行的服務"里面有反映.去那里找吧,看看公司簽名,版本.引用:

原作者應該好好看看Privilege到底是什么。權限令牌是程序執(zhí)行相應操作所需要的。如對系統(tǒng)進程進行內存讀?。ㄓ袝r僅僅是為了遍歷進程，得到其映像文件名，要對目標進程的PEB進行讀?。┬枰猄eDebugPrivilege權限，用程序調用ExitWindowsEx關閉或重啟計算機需要SeShutdownPrivilege等等，如果沒有相應權限，相應操作就會被系統(tǒng)阻止。二.APIHOOK

HOOK,意思為"掛鉤,劫持".但它不一定是惡意的.相反,現(xiàn)在的病毒,惡意的進行:APTHOOK,倒是很少.

在這個項目里面,最容易出現(xiàn)的,是殺毒軟件,殺毒軟件為了從更深的層次監(jiān)控電腦,保護電腦,就會修改此處.目的,大家應該明白了.

對于一臺正常的電腦,這項應該是N/A,如果有值,可以根據路徑判斷,一般,95%的情況,都是殺毒軟件搞的"鬼",比如:

APIHOOK

入口點錯誤：LoadLibraryExW(危險等級:高,被下面模塊所HOOK:C:\KAV2007\KASocket.dll)

金山2007的HOOK了~其實這個沒什么的,大家不必大驚小怪.被殺毒軟件HOOK,是最正常的事情了,我們不必理會.特例:

APIHOOK

RVA錯誤：LoadLibraryA(危險等級:高,被下面模塊所HOOK:\??\C:\WINDOWS\system32\drivers\klif.sys)

RVA錯誤：LoadLibraryExA(危險等級:高,被下面模塊所HOOK:\??\C:\WINDOWS\system32\drivers\klif.sys)

RVA錯誤：LoadLibraryExW(危險等級:高,被下面模塊所HOOK:\??\C:\WINDOWS\system32\drivers\klif.sys)

RVA錯誤：LoadLibraryW(危險等級:高,被下面模塊所HOOK:\??\C:\WINDOWS\system32\drivers\klif.sys)

RVA錯誤：GetProcAddress(危險等級:高,被下面模塊所HOOK:\??\C:\WINDOWS\system32\drivers\klif.sys)

C:\WINDOWS\system32\drivers\klif.sys為卡巴斯基殺毒軟件,用于HOOK的文件!大家記住就行了.

三.隱藏進程

一般情況下,都是N/A,如果有值,分兩種情況考慮:

1.殺毒軟件

有一部分殺毒軟件,為了保護自身不被病毒干掉,創(chuàng)建了隱藏進程,典型的就是江民殺毒.如果一臺電腦裝有江民,在這里可能會出現(xiàn).根據路徑判斷就行了.比如C:\KV\..........類似的.

2.InternetExplorer.exe

如果出現(xiàn)此隱藏進程,則必定電腦里面存在木馬!典型的灰鴿子,就是這樣,中毒后,創(chuàng)建隱藏的IE進程.但是,這個項目里面,不會列出病毒文件.只能從上面去查.引用:

不是InternetExplorer.exe，而是iexplore.exeSRE已知不成文規(guī)律總結1.XP統(tǒng)一的啟動項目[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\ActiveSetup\InstalledComponents\>{26923b43-4d38-484f-9b9e-de460746276c}]

<InternetExplorer訪問><"C:\WINNT\system32\shmgrate.exe"OCInstallUserConfigIE>[N/A]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\ActiveSetup\InstalledComponents\>{881dd1c5-3dcf-431b-b061-f3f88e8be88a}]

<OutlookExpress訪問><"C:\WINNT\system32\shmgrate.exe"OCInstallUserConfigOE>[N/A]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\ActiveSetup\InstalledComponents\{44BBA840-CC51-11CF-AAFA-00AA00B6015C}]

<MicrosoftOutlookExpress6><"%ProgramFiles%\OutlookExpress\setup50.exe"/APP:OE/CALLER:WINNT/user/install>[N/A]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\ActiveSetup\InstalledComponents\{44BBA842-CC51-11CF-AAFA-00AA00B6015B}]

<NetMeeting3.01><rundll32.exeadvpack.dll,LaunchINFSectionC:\WINNT\INF\msnetmtg.inf,NetMtg.Install.PerUser.NT>[(Verified)MicrosoftWindows2000Publisher]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\ActiveSetup\InstalledComponents\{6BF52A52-394A-11d3-B153-00C04F79FAA6}]

<MicrosoftWindowsMediaPlayer><rundll32.exeadvpack.dll,LaunchINFSectionC:\WINNT\INF\wmp.inf,PerUserStub>[]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\ActiveSetup\InstalledComponents\{7790769C-0471-11d2-AF11-00C04FA35D02}]

<AddressBook5><"%ProgramFiles%\OutlookExpress\setup50.exe"/APP:WAB/CALLER:WINNT/user/install>[N/A]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\ActiveSetup\InstalledComponents\{9EF0045A-CDD9-438e-95E6-02B9AFEC8E11}]以上各注冊表啟動項目，為XP系統(tǒng)通用啟動項目，即：正常啟動項2.系統(tǒng)服務沒有什么特別的，只有一個服務，值得注意：[HumanInterfaceDeviceAccess/HidServ][Stopped/Disabled]

<C:\WINDOWS\System32\svchost.exe-knetsvcs-->%SystemRoot%\System32\hidserv.dll><N/A>這項雖然沒經過微軟簽名，但為正常的系統(tǒng)服務項目3.驅動程序和上面的一樣，已知的未經過微軟簽名的，正常的驅動程序：⑴[Secdrv/Secdrv][Stopped/ManualStart]

<system32\DRIVERS\secdrv.sys><N/A>⑵[d347bus/d347bus]和[d347prt/d347prt]

此程序，為虛擬光驅軟件：Daemontools這個軟件的第三方驅動4.關于AppInit這個項目，一般在sre報告里面分為2種，在報告中，它是如下樣子顯示：

[HKEY_LOCAL_MACHINE\Software\Microsoft\WindowsNT\CurrentVersion\Windows]

<AppInit_DLLs><>[N/A]注：此值不能刪除?。。。。。。。。。。?！只能在SRE里面，雙擊后編輯，設置為空即可！此值正常情況下，為空，在SRE報告中，也就是反應為：[N/A]。如果出現(xiàn)值，則分兩種情況考慮：

⑴經過美化的系統(tǒng)，一些美化軟件，如：WindowsBlinds，美化系統(tǒng)后，會修改此鍵值，并把它的值改為：wbsys.sys，這個是正常的

⑵病毒文件。這種，就靠自己判斷了。一般都是無規(guī)則的字母、數(shù)字組成的DLL類型文件。5.關于APIHOOK

這個項目，目前大部分殺毒軟件，都會修改此鍵值，目的是為了從更深層次的角度，查殺病毒。大家判斷的時候，根據里面列出的文件路徑判斷就行了。常見的，大家經常迷惑的，就是卡巴斯基，它的HOOK，在SRE報告中的反應是這樣：

RVA錯誤：LoadLibraryA(危險等級:高,被下面模塊所HOOK:\??\C:\WINDOWS\system32\drivers\klif.sys)

RVA錯誤：LoadLibraryExA(危險等級:高,被下面模塊所HOOK:\??\C:\WINDOWS\system32\drivers\klif.sys)

R