惡意程式分析工具(2) SREng 網頁：http://www.kztechs.com/sreng/index1.html 下載：http://download.kztechs.com/files/sreng2.zip 優點：可以發現許多可疑的程式，很詳盡。 缺點：功能強大，但人工分析費時，也容易漏看。 建議：適合當作第二個分析工具，輔助 HijackThis 不足之處。 如是否有惡意的 dll, hosts file，或 Autorun.inf 。 產生報告 執行後，選擇【Smart Scan/智慧掃描】， 然後勾選【Verify the digital signature of process modules】/ 中文是【檢查進程模組的數位簽章】，並開始【Scan/掃描】。 結束後，按【Save Reports/保存報告】，會產生 SREngLOG.txt是純文字檔。 開啟後，將內容貼到網路空間上。 處理流程 分析產生的報告 ↓ 首先看是否有惡意的 dll: "Running Processes" 的區段 第1眼: 快速掃過未有廠商簽章的程序 (1) 第2眼: 看是否有可疑的程序名稱 (2) ↓ 第二步: Winsock Provider 區段 看是否有惡意程式 (3) ↓ 第三步: Autorun.inf 區段 看是否有惡意的自動執行檔 (3) ↓ 第四步: HOSTS file 區段 看是否有惡意的 DNS 指向 (3) ↓ 第五步: Process Privileges Scan 區段 看是否有惡意的程序 (3) ↓ 第六步: API HOOK 區段 看是否有惡意的 API HOOK (3) ↓ 第七步: Hidden Process 區段 看是否有惡意的隱藏程序在執行 (3) ↓ 初步分析完成，若有很多時間可全篇分析 ↓ 完成 說明 (1) 廠商簽章會顯示在每個檔案後面，往往惡意程式都沒有簽章 型式如下： [C:\Program Files\WinRAR\rarext.dll] [N/A, ] [C:\Program Files\avp.exe] [] 注意: 並非沒有簽章都是惡意程式；反之有簽章也未必是正常程式。 (2) 惡意程式有時會產生很奇怪的檔名，如： [C:\WINDOWS\Dll42DF534D.dll] [N/A, ] (3) 如果不懂是哪個程式，可上 http://www.google.com/ 查詢資料。 實戰 如果你拿到以下的 SREng Log 。你會怎麼處理？ http://antbsd.twbbs.org/~ant/antivirus/tutorial/SREng_Sample1.txt 解答 有問題的程序為： 執行 SREng， 1. [HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Windows] <AppInit_DLLs><e1.dll> [N/A] 左邊點選 "Boot Items"，然後在右邊的頁籤選擇 "Registry"， 找到 AppInit_DLLs 的項目，將值清空。 注意: AppInit_DLLs 的項目不能刪除，否則可能會有問題，只能清空。 2. [HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run] <myZt1><C:\DOCUME~1\Users\LOCALS~1\Temp\Zt1\SVCH0ST.EXE> [N/A] 左邊點選 "Boot Items"，然後在右邊的頁籤選擇 "Registry"， 找到 myZt1 的項目，將值刪除 delete → Yes。 3. [PID: 884 / NETWORK SERVICE][C:\WINDOWS\system32\svchost.exe] [Micro... [C:\WINDOWS\system32\od3mdi.dll] [N/A, ] [PID: 1596 / Wus][C:\WINDOWS\Explorer.EXE] [Microsoft Corporation, [C:\WINDOWS\system32\od3mdi.dll] [N/A, ] [C:\WINDOWS\ZFTMP\ZMenu9861.DLL] [N/A, ] [PID: 508 / Wus][C:\Documents and Settings\Wus\桌面\SREng.PIF] [Smal... [C:\WINDOWS\system32\od3mdi.dll] [N/A, ] SREng 不支援直接砍檔，可以下載 icesword 來刪除。 http://mail.ustc.edu.cn/%7Ejfpan/download/IceSword122en.zip 如果系統是 Vista 則下載 http://202.38.64.10/%7Ejfpan/download/is120en_vista.zip 執行後，點選左邊欄下方的 "file"，然後找到該檔案的路徑， 右鍵點選該檔案 → "delete"。 4. MSAFD Tcpip [TCP/IP] C:\WINDOWS\system32\od3mdi.dll(, N/A) MSAFD Tcpip [RAW/IP] C:\WINDOWS\system32\od3mdi.dll(, N/A) SREng 左邊點選 "System Repair"，然後在右邊的頁籤選擇 "Winsock provider"， 找到上面的項目後，按右下方的 "Delete Selected"。 5. HOSTS File SREng 左邊點選 "System Repair"，然後在右邊的頁籤選擇 "HOSTS file"， 只留下 "127.0.0.1 localhost"， 注意: 並不是每次都只留 localhost。 補充 關於解答的第4項，於前一篇 HijackThis 一樣，在處理 WinSock 時， 有兩種解決方式。 1. 在刪除 WinSock 前，Windows XP 版本請先下載 WinSockXPFix http://www.pchell.com/downloads/WinsockXPFix.exe Windows 2000 以前版本請下載 WinSockFix http://www.softpedia.com/get/Tweak/Network-Tweak/WinSockFix.shtml 在修復後若發現無法上網，則使用這些工類修復。 2. 不使用 SREng 刪除，改用 LSP-Fix 修復。 http://cexx.org/lspfix.htm 執行後，勾選 "I know what I'm doing"，然後在左邊選擇有問題的清單， 再按中間的 ">>" 鍵將項目移到右邊，最後按右下角的 "finish >>" 即可。 -- ※ 發信站: 批踢踢實業坊(ptt.cc) ◆ From: 218.167.59.179 ※ 編輯: blman 來自: 218.167.59.179 (11/04 12:20)