[共享]学看 SREng 日志分析 报告

学看 SREng 日志分析 报告 .<上>

一。SRE报告整体结构说明
一份完整的 SRE 报告，分为如下 13 部分：
1. 注册表启动项目
2. 启动文件夹
3. 系统服务项目
4. 系统驱动文件
5. 浏览器加载项
6. 正在运行的进程（包括进程模块信息）
7. 文件关联
8. Winsock 提供者
9. Autorun.inf
10.HOSTS 文件
11.进程特权扫描
12.API HOOK
13.隐藏进程
其中，判断一台电脑，是否存在异常，主要是查看：
1. 注册表启动项目
3. 系统服务项目
4. 系统驱动文件
6. 正在运行的进程
8. Winsock 提供者
9. Autorun.inf
10.进程特权扫描
在这次的教程中，我先讲解第一项：注册表启动项目， 的结构看法。


二。SRE报告——注册表启动项目，结构讲解

在任何一份SRE报告中，注册表启动项目，都有相同的结构，我下面随便举个例子：
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run]
    <Synchronization Manager><mobsync.exe /logon> [(Verified)Microsoft Windows 2000 Publisher]
第一行：[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run] ，代表的是：这个启动项目，在注册表中的详细位置。
第二行：<Synchronization Manager><mobsync.exe /logon> [(Verified)Microsoft Windows 2000 Publisher]，由三部分组成：
1. <Synchronization Manager>，这个项目，是指该启动项，在注册表中的名称。不同的启动项目，自然名称也不会相同。
2. <mobsync.exe /logon>，这个项目，分两种情况：
⑴ 对于（经过验证的）系统关键文件，SRE则直接列出该项目的文件名称，而不给出相应的详细路径。这种文件，一般在后面都会标有“(Verified)”，我后面解释。
⑵ 对于普通文件，则会在这个项目中，给出详细的文件路径和名称，比如：c:\windows\system32\abc.exe
在我们这次的例子中，是满足：⑴的。

引用:
说明：这个说法有误。
其实在此处，显示的就是该注册表键完整的键值，无论其是否是正常的文件或经过验证的文件。对于键值为相对路径的情况（如Explorer.exe），系统自动遍历环境变量PATH中的文件夹列表，来查找文件。


3.[(Verified)Microsoft Windows 2000 Publisher]，这项代表：该文件，是否含有“公司签名认证”
SRE这个软件，自身具备了对“系统关键文件”和一些“众所周知的软件的文件”（如：explorer.exe,winlogon.exe,userinit.exe等）的“验证检测”，凡是通过了检测的系统关键文件，SRE在公司名这里，都会标有：Verified，这个英文。
换个角度来说：在SRE报告中，凡是出现“Verified”这个英文的启动项目，都100％是正常的启动项目。

引用:
100%这个说法太绝对了。其实看被机器狗修改的文件就知道，有这个字样，但是没有公司名称，也是有问题的。
严格意义上来说，这叫“数字签名验证”，使用的是一定的对称散列算法。



总结一下，在SRE报告的：注册表启动项目中，虽然条目有很多，但是，全部都遵守这个结构：
【启动项目的详细注册表位置】
【启动项目的名称】【启动项目对应的文件的详细路径】【公司签名】
我们再来看个例子，大家对照着，看一下：
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon]
    <shell><Explorer.exe> [(Verified)Microsoft Windows 2000 Publisher]
看完这两行，大家应该得到如下结论：
●此启动项目名称：Shell
●此启动项目对应文件： Explorer.exe
●此启动项目在注册表中对应的位置：HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon
●公司签名：Microsoft Windows 2000 Publisher
●是否经过SRE“验证”：是 （因为有Verified）

引用:
Microsoft Windows 2000 Publisher在这里不止是公司的名称。系统文件的版本信息中可见的公司名称，其实是Microsoft Corporation
然而对于系统文件，SREng可以显示更具体的细节，因此这里显示的是这样一个结果。可以发现，SREng2.5和2.6在这个地方显示的结果不同。


三。启动项目的“特例”
1. 咱们上面讲的，是标准的启动项目信息，有些文件的启动项目，稍微“拐了一个弯”，我们来看个例子，我再讲解：
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run]
<NvMediaCenter><RUNDLL32.EXE C:\WINNT\system32\NvMcTray.dll,NvTaskbarInit> [NVIDIA Corporation]
这个启动项目，算是比较复杂的了，但还算是够常见，第一行，不解释了。。。。。。。主要解释第二行的中间：
<RUNDLL32.EXE C:\WINNT\system32\NvMcTray.dll,NvTaskbarInit>
和我们上面讲解的结构不同。这个启动项目，具有一层隐含意思。在windows中，DLL类型的文件（动态数据库链接文件），是不能自己独立运行的。它必须找“载体”来运行。在windows系统中，运行 DLL 类型的文件的载体，就是：Rundll32.exe。
所以，我们分析一下上面那行文件信息：RUNDLL32.EXE C:\WINNT\system32\NvMcTray.dll,NvTaskbarInit
意思就是：C:\WINNT\system32\NvMcTray.dll，这个真正的启动文件，正在依靠 RUNDLL32.EXE，这个程序，进行启动。
对于这种启动项目，在文件详细信息这里，其结构就发生了变化，变为：载体 主运行文件的详细位置。这个大家能理解就行了。
在windows系统中，载体，不止包括：rundll32.exe，常见的，还包括：svchost.exe，大家照猫画虎，应该可以想到的。

引用:
在这里更加正确和根本的解释是：
键值所显示的，是系统按此项启动时，执行的命令行。
因此这里说的实际上是命令行的构成。
这里其实是启动Rundll32.exe，把dll名和其他相应参数作为命令行（CommandLine）参数传递。


2. 在windows系统中，有一项及其特殊的启动项目，其名称为：AppInit_dlls
对于这个键值，正常的情况是：该项目的值，为空。也就是说，正常的电脑，这个启动项目，应该是这样的：
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Windows]
    <AppInit_DLLs><> [N/A]
如果在一份报告中，此项的“文件信息”，这个位置，出现东西，则分两种情况考虑：
★被美化软件，修改
目前许多朋友，都喜欢通过美化软件，来美化系统。据我所知，有些高级美化软件，为了达到彻底美化系统的效果，会修改此键值，典型的软件：Windows Blinds
这款软件安装后，此项目的值被修改为：wbsys.sys。大家知道就行了。

注意： 此项注册表启动信息，绝对不能删除，只能在SRE中，双击－进入编辑模式，然后把里面的文件名称去掉，留为空值，就可以了。

★被病毒修改。
遇到上面的美化情况，可以问一下电脑的使用者，是否美化了系统，使用了什么美化软件。如果没有用，而且，此键值出现了文件信息，则中毒的几率非常大。比如下面的例子：
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Windows]
    <AppInit_DLLs><kamabas.dll> [N/A]
如果这个启动项目，出现在报告中，必须要引起100000000000％的高度重视，必须看清是空值（即正常值），还是有其他信息。
判断方法： 看这个文件（如我的例子中的：kamabas.dll），是不是在报告的“正在运行的系统进程”，中，插入了大部分进程。如果是：则100％为病毒。（后面我会再次讲到的）

引用:
这里的说法比较笼统。
实际上，这一个键值显然不是为了病毒而存在的^-^
这个键值的作用，是每一个进程启动加载user32.dll的时候，会自动加载这个键值中保存的所有dll
美化软件就是使用这样的功能，对所有使用图形界面的程序的窗口进行改造。

只是为了能被所有加载user32.dll的进程加载，就可以使用这些项目，包括某些杀毒软件。

SREng对于此项非空的提示，并不表示一定是病毒造成的问题，应谨慎判断。


四。启动项目“通用正常启动信息”
对于windows XP 系统，在任何一台电脑上，都有如下启动信息，这些信息都是正常信息，看到后无须判断，直接精简掉：
1.[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Active Setup\Installed Components\>{26923b43-4d38-484f-9b9e-de460746276c}]
<Internet Explorer><%systemroot%\system32\shmgrate.exe OCInstallUserConfigIE> [N/A]
2.[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Active Setup\Installed Components\>{881dd1c5-3dcf-431b-b061-f3f88e8be88a}]
<Outlook Express><%systemroot%\system32\shmgrate.exe OCInstallUserConfigOE> [N/A]
3.[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Active Setup\Installed Components\{2C7339CF-2B09-4501-B3F3-F3508C9228ED}]
<Themes Setup><%SystemRoot%\system32\regsvr32.exe /s /n /i:/UserInstall %SystemRoot%\system32\themeui.dll> [N/A]
4.[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Active Setup\Installed Components\{44BBA840-CC51-11CF-AAFA-00AA00B6015C}]
<Microsoft Outlook Express 6><"%ProgramFiles%\Outlook Express\setup50.exe" /APP:OE /CALLER:WINNT /user /install> [N/A]
5.[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Active Setup\Installed Components\{44BBA842-CC51-11CF-AAFA-00AA00B6015B}]
<NetMeeting 3.01><rundll32.exe advpack.dll,LaunchINFSection C:\WINDOWS\INF\msnetmtg.inf,NetMtg.Install.PerUser.NT> [(Verified)Microsoft Windows Publisher]
6.[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Active Setup\Installed Components\{5945c046-1e7d-11d1-bc44-00c04fd912be}]
<Windows Messenger 4.7><rundll32.exe advpack.dll,LaunchINFSection C:\WINDOWS\INF\msmsgs.inf,BLC.QuietInstall.PerUser> [(Verified)Microsoft Windows Publisher]
7.[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Active Setup\Installed Components\{6BF52A52-394A-11d3-B153-00C04F79FAA6}]
<Microsoft Windows Media Player><rundll32.exe advpack.dll,LaunchINFSection C:\WINDOWS\INF\wmp11.inf,PerUserStub> [(Verified)Microsoft Windows Component Publisher]
8.[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Active Setup\Installed Components\{7790769C-0471-11d2-AF11-00C04FA35D02}]
<通讯簿 6><"%ProgramFiles%\Outlook Express\setup50.exe" /APP:WAB /CALLER:WINNT /user /install> [N/A]
9.<PHIME2002A><; C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.EXE /IMEName> [N/A]
10.<PHIME2002ASync><; C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.EXE /SYNC> [N/A]
11.<IMJPMIG8.1><; "C:\WINDOWS\IME\imjp8_1\IMJPMIG.EXE" /Spoil /RemAdvDef /Migration32> [(Verified)Microsoft Windows Publisher]

引用:
在这里原作者没有很好的解释（或许他自己也不太清楚）这一项目的作用，可能导致有些读者因此认为Installed Components项目的检测是“鸡肋”。
在此可以告诉大家，全然不是这样，这个项目是我们当时极力向smallfrogs建议加入的项目。
虽然在大部分情况下这个项目下不会存在异常，然而这个项目仍然作为一个可以启动的位置，而且是相比之下极为隐蔽的位置，彩虹桥等木马就曾藏身于此，特别因为此木马是远程注入无进程的，因此一段时间内甚难以发现其踪迹。因此此项绝非虚设。



五。关于 IFEO，在此项目中的反映。
请提前参考：IFEO技术介绍：http://nkevin.blog.163.com/blog/static/448194812007818115139284/
在SRE报告的——注册表启动项目中，如果出现：
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options]
则证明有IFEO，劫持情况出现，这种情况，我在以前的日志写过了，根据下面的文件信息，挑出病毒文件。留着后面删除。最后，用System Detector，这个软件，一键修复即可。举例，大家看一下，是这样的：
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\AppSvc32.exe]
    <IFEO[AppSvc32.exe]><C:\Program Files\Common Files\Microsoft Shared\addslta.exe> []
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\ArSwp.exe]
    <IFEO[ArSwp.exe]><C:\Program Files\Common Files\Microsoft Shared\addslta.exe> []
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\AST.exe]
    <IFEO[AST.exe]><C:\Program Files\Common Files\Microsoft Shared\addslta.exe> []
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\autoruns.exe]
    <IFEO[autoruns.exe]><C:\Program Files\Common Files\Microsoft Shared\addslta.exe> []
典型的IFEO类病毒，参考的SRE报告：http://nkevin.blog.163.com/blog/static/4481948120078299324191/
（大部分安全类软件，都被“IFEO”了）
我简单解释一下“第二行”：
<IFEO[autoruns.exe]>：意思是，利用IFEO技术，劫持正常的文件名为：autoruns.exe 的文件。
<C:\Program Files\Common Files\Microsoft Shared\addslta.exe>：这个就是劫持的主体了，文件名可以看出来吧？
说白了，上面的最后2行，意思就是：当碰到autoruns.exe这个文件的时候，则改为执行：addslta.exe，这个文件。。。。

引用:
准确地来说，是当被IFEO劫持的程序执行时，系统转而调用目标程序，并把被IFEO劫持程序执行时的完整命令行作为命令行参数加在后面进行传递。
因此当被IFEO劫持程序与目标程序是同一个时，将导致此过程不停地循环，最终使命令行长度超过系统限制而使操作失败。


六。如何挑选，区分正常，和不正常的启动项目。
1.正常的系统文件，在不正常的文件位置。（正常的位置，相似的名称）
这个，就需要看报告的人自己去掌握，必须要时刻牢记，windows常见进程，对应的文件名称，位置！我举个例子，大家看一下：
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run]
<svchost><C:\windows\system32\drivers\svchost.exe> [Microsoft Corporation]
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run]
<svhcost><C:\windows\system32\svhcost.exe> [Microsoft Corporation]
这两个启动项目，是正常的？还是不正常的？这里我就不说了，留给大家，思考一下吧～
2.看公司签名
95％的病毒，其病毒文件，都是没有公司签名的，对于没有公司签名的文件，在SRE报告中，其公司名处。显示为：[]，或者[N/A]。
在看报告的时候，特别留心，公司签名是这种的。例如：
<WinSysM><C:\WINDOWS\192896M.exe> [N/A]
<LotusHlp><C:\WINDOWS\LotusHlp.exe> []
<WinSysW><C:\WINDOWS\192896L.exe> [N/A]
当然，剩下的5％，意思就是：也有伪装签名的病毒文件存在噢！这个，就得靠大家的细心了。
3.善用搜索引擎
有些比较“偏”的软件，虽然是正常的文件，但也没有公司签名。这种情况，还不在少数。因此，一定要善用搜索引擎，直接搜索，启动的文件，比如 abc.exe, abc.dll等等。
例子：<kav><; "C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus 6.0\avp.exe"> [N/A]
稍微有点电脑知识的人，应该能看出这个启动项目是什么吧？郁闷不？公司名，居然是[N/A]。。。。。。搞不懂卡巴公司在搞什么。。。
4. 学会积累，总结
每看一份报告，都要知道，这个电脑，安装了哪些软件，他们有哪些的（正常）进程。这个过程，不是教出来的，只能是自己积累出来的。

行了，第一讲，就写这么多了。今天头有点疼，可能有些我想不到的地方。上面这些，应该涵盖了90%以上的知识了。需要大家慢慢理解和消化。想学看报告，必须就要“多看报告”，至于报告的来源，我推荐瑞星卡卡助手论坛：http://forum.ikaka.com/
这里面，有N多报告，提供给大家看的。刚开始的时候，看报告不要心急，逐行查验，别闲麻烦。我刚开始学看的时候，都是逐个字母的看。看的多了，积累的多了。就会很快的。
下次，我继续往后写，关于 SRE报告中： 服务 这个项目。

学看 SRE 报告 ———— 第二讲

继续第一讲的内容，这次讲解： 服务
一。“服务”在SRE报告中显示的结构
我们还是随便拿个例子说明：
[NOD32 Kernel Service / NOD32krn][Running/Auto Start]
<"C:\Program Files\Eset\nod32krn.exe"><Eset>
第一行，分两部分：
1. [NOD32 Kernel Service / NOD32krn]，代表：该项服务的名称
◆NOD32 Kernel Service，为服务的全称
◆NOD32krn，为服务的简称
2. [Running/Auto Start]，代表：该服务的运行状态，对应几个英文，我分别说明：
◆Running，正在运行
◆Auto Start，自动启动
◆Manual Start,手动启动
◆Disable，禁用
◆Stopped：（目前是）停止
对于服务的运行状态，我们不需要特别关注，对于杀毒操作，我们要删除一项服务的时候，无须区分他们的运行状态。
第二行，也分两部分：
1.<"C:\Program Files\Eset\nod32krn.exe">，服务对应的文件的详细位置和名称
2.<Eset>，服务的公司签名
和讲注册表的时候一样，给个例子帮大家分析：
[NVIDIA Display Driver Service / NVSvc][Stopped/Manual Start]
<C:\WINDOWS\system32\nvsvc32.exe><NVIDIA Corporation>
●该项服务的名称：（全称）NVIDIA Display Driver Service 或 （简称）NVSvc
●运行状态：目前停止/手动启动
●对应的文件及路径：C:\WINDOWS\system32\nvsvc32.exe
●公司：NVIDIA Corporation

引用:
这里对几个概念的解释有点欠标准。
原文提到的“简称”，实际上才是真正的“服务名”（也是注册表中该服务项的真正名称），而这里提到的“全称”，实际上是“显示名”（该服务项的DisplayName键值）。“显示名”只是为了方便用户理解该服务的意义和作用，在系统对服务的实际操作中，如相应的API调用中，“显示名”并没有实质性意义。
所谓“对应的文件及路径”，这里依然应该被称为“映像路径”（ImagePath键值），与启动项类似，这里仍然是服务启动时执行的命令行（CommandLine）。



二。特例（服务）
和第一讲的注册表启动项目特例类似的，举例大家看：
[Workstation / lanmanworkstation][Running/Auto Start]
<C:\WINDOWS\system32\svchost.exe -k netsvcs-->%SystemRoot%\System32\wkssvc.dll><Microsoft Corporation>
如果大家在第一讲中理解了，那么这个应该很容易明白。同样，具有“隐含意思”
意思为：wkssvc.dll，这个真正的启动文件，正在由 C:\WINDOWS\system32\svchost.exe 程序加载执行。这种情况下，前者（这里的svchost.exe），都是正常的文件，我们在杀毒时候，不需要考虑它。而真正要查看，判断，甚至删除的，是后者（这里的：wkssvc.dll）！
三。已知正常的特例服务
下面2个，很常见的，但是没有微软签名，提前告诉大家，他们是正常的：
1. [Human Intexxxce Device Access / HidServ][Stopped/Disabled]
<C:\WINDOWS\System32\svchost.exe -k netsvcs-->%SystemRoot%\System32\hidserv.dll><N/A>
2. [Help and Support / helpsvc][Stopped/Disabled]
<C:\windows\System32\svchost.exe -k netsvcs-->%WINDIR%\PCHealth\HelpCtr\Binaries\pchsvc.dll><N/A>
四。服务的判断方法
1.看公司签名
这个和注册表启动项的看法一样了，特别注意没有公司签名，即显示为：<>或者<N/A>的服务项目！
2.不该添加服务的，正常项目，在SRE报告中出现
大家都知道，SRE中有个功能，可以“屏蔽，隐藏”，已经验证过的微软服务。（操作不说了，以前在SRE删除服务的帖子，写过了）
SRE在做报告的时候，只对：非windows正常服务，做报告，显示出来。也就是说：自动隐藏正常的，经过验证的windows服务。
有些病毒，就是利用正常的windows用户名，添加服务。但是，它们始终逃不过SRE的“眼睛”，别作为：非windows正常服务，在报告中列出来。
举2个例子，大家看一下：
[286EE121 / 286EE121][Stopped/Auto Start]
<C:\WINDOWS\system32\792405C6.EXE -k><>
无公司签名，名称“乱七八糟”，应该没人见过这种“在Syste32文件夹下的“正常系统文件吧”！
[svchost / svchost][Stopped/Auto Start]
<C:\WINDOWS\system32\dllcache\svchost.exe -g><Microsoft Corporation>
文件名上看，是正常的svchost，但是，看位置，这个文件，跑哪里去了？？？？？正常的该在哪里？？？我不说了，大家应该明白了。而且，此病毒，伪造了微软签名喔！
[Yahoo Service / YahooSvr][Running/Auto Start]
<C:\WINDOWS\system32\E312F\svchost.exe><>
先看名字：Yahoo？？？都认识吧～别着急，往后看，
服务文件名：svchost.exe，正常的？？
看路径：C:\WINDOWS\system32\E312F\ 。。。。。。。。。。。。还用解释么？跑哪里去了？
3.善于搜索引擎
这个不说了，你可以直接用服务的“全称或者简称”，来搜索。也可以用服务对应的文件名称来搜索。
4.谨防冒充“微软签名的”
上面例子说过了，目前有些病毒，开始伪造微软签名了，即：公司名是：<Microsoft Corporation>，所以，提醒大家，不要看到是MS的签名，就过去了。要从名称，位置，来综合判断！

总结，相比注册表启动项目，服务，算是比较好“看”的了。关键还是在于积累。每台电脑，都或多或少的，有些重复的启动项目。随便去网上找2份报告，如果一个服务，在2份报告中都出现，那么，它基本上就是正常的服务了。要学会善于对比。

学看 SRE 报告 ———— 第三讲

[折叠]
一。驱动 的重要性
驱动文件，对于任何一台电脑，都具有“最高等级”的重要性，在查毒，杀毒的过程中，必须给予最高程度的重视！
windows正常的驱动文件，为：*.sys，类型的文件，位于：c:\windows\system32\drivers ，这个文件夹下面。当然，病毒文件，如果创建驱动的话，也会向这里写入信息。这就给我们判断病毒，带来了难度
无论你的电脑水平有多“高”，我个人都不建议你主观臆断！对于怀疑是病毒的驱动文件，即我们这次后面会提到的：*.sys文件，一律采用：先备份 － 后删除的方法。
即：如果一台电脑，根据SRE报告，怀疑有多处病毒驱动文件，则采用：雨林木风PE工具箱，在PE系统，先行把病毒文件，移动到随意一个位置。这样，原来的驱动，就不能运行了。其他病毒文件删除后，最后解决驱动文件。这样最保险！不要主观判断某个驱动文件，一定是病毒！
二。SRE报告中，驱动 的结构
驱动文件的显示结构，和 服务，完全相同。也是符合如下结构：
【全称/简称】【运行状态】
【驱动项目对应的文件的详细位置】【公司签名】
例子：
[Microsoft Kernel Acoustic Echo Canceller / aec][Stopped/Manual Start]
<system32\drivers\aec.sys><Microsoft Corporation>
这里我就不再详细说明了。
三。判断方法
1.字母数字组合（项目名称，或者文件名称）
现在很多病毒，自身创建的病毒文件（也包括第二讲里面提到的服务的文件），都是 没有“组合规律”的，即：乱七八糟的数字组合，乱七八糟的字母组合，以及：乱七八糟的 字母＋数字组合。
这种例子，已经很多了，如果，再加上此项目没有公司签名，则可以 90％断定：是病毒创建的驱动项目。
对于这种项目，我个人还是建议 先备份－再删除。因为我以前遇到过“例外”。
例子：
[maojrdkc / maojrdkc][Running/Boot Start]
<\SystemRoot\\SystemRoot\System32\drivers\maojrdkc.sys><N/A>
[o1394bul / o1394bul][Stopped/Manual Start]
<\??\C:\DOCUME~1\WHATHA~1\LOCALS~1\Temp\o1394bul.sys><N/A>
[R2A / R2A][Stopped/Disabled]
<\??\C:\WINDOWS\system32a2.sys><N/A>
这3个，都是符合我说的这条规律，积累的多了，自然就懂了。
2. 例外，在驱动中，和服务一样，也有个例外的，没有经过微软签名的正常驱动项目：
[Secdrv / Secdrv][Stopped/Manual Start]
<system32\DRIVERS\secdrv.sys><N/A>

驱动文件，在SRE报告的全部13项中，是最难判断的，刚接触SRE报告的朋友，我建议这部分不要着急，要多看报告，总结，积累，常见的，正常的驱动文件，比如杀毒软件的，防火墙的，常见软件的。希望大家不要随意拿“驱动文件”开刀！

学看 SREng 日志分析 报告 .<下>
SRE 报告 ———— 第四讲

[折叠]
一。浏览器加载项结构
还是以例子来说明：
[ThunderAtOnce Class]
{01443AEC-0FD1-40fd-9C87-E93D1494C233} <d:\Program Files\Thunder\ComDlls\TDAtOnce_Now.dll, Thunder Networking Technologies,LTD>
●[ThunderAtOnce Class]： 该加载项名称
●{01443AEC-0FD1-40fd-9C87-E93D1494C233}：在注册表中的名称
●<d:\Program Files\Thunder\ComDlls\TDAtOnce_Now.dll, Thunder Networking Technologies,LTD>：对应文件的完整位置 ＋ 公司签名
二。判断方法
很少有病毒会涉及到这个项目，倒是流氓软件，100％绝对会在这里创建键值。
1.加载项名称 ，这里。特别需要注意的是：如果有 []，这样的加载项，则代表该项键值有问题，当然，不能就此断定是病毒创建的。至少，有一点可以保证，对于IE浏览网页，它是绝对没用的。
2.公司签名
这个说过很多次了，没公司签名的，或者为 N/A 的，需要仔细查验其对应文件的详细路径。一般通过路径，就能判断出是否是病毒文件。
[雅虎助手]
{5D73EE86-05F1-49ed-B850-E423120EC338} <http://cn.zs.yahoo.com/start.htm?source=yzs_icon&btn=yassistnew, N/A>
万人皆知的流氓了，自己都懒着给自己的文件，做公司签名，要来有何用？
[使用迅雷下载]
<d:\Program Files\Thunder\Program\geturl.htm, N/A>
连迅雷，都犯懒，不做签名。。。。。。通过路径，应该能看出是迅雷吧？Thunder～

引用:
这个说法有误。浏览器加载项是一个很综合的项目，包括BHO，ActiveX插件，浏览器工具栏等多个项目，在SREng的界面中可以看到明显的说明。
这些项目中，不仅仅有dll类型的加载PE文件（BHO或ActiveX项目），也有工具栏附加按钮，浏览器的右键菜单项目等等，特别是后两者，经常是一些网页链接。
显然这里就是两个网页链接，目标是雅虎的一个网页，以及迅雷保存在本机的一个网页（作为迅雷的组件，当你右键点“使用迅雷下载”时，浏览器后台运行了这个网页）。网页链接不是可执行文件，当然就没有数字签名，这不是人家公司不做签名，而是压根就不需要做，也没法做得上去！



浏览器加载项这里，几乎不会有什么问题，多看报告，积累总结出windows常见的，正常的浏览器加载项，就行了。除了windows自带的，基本上95％都是流氓软件的加载项了。

流氓软件，在手工杀毒的过程中，可以忽略不管。毕竟，它不算真正意义上的病毒。但是，如果作报告的电脑，出现：某个网页，无法访问，或者修复了winsock后，仍不能访问网页，则需要从浏览器加载项入手考虑了。

学看 SRE 报告 ———— 第五讲

[折叠]
一."正在运行的进程"结构说明
这部分,在SRE报告中,比重是最大的,其实,说白了,就是列出电脑当前运行的所有程序的进程信息,包括各自的模块(包括哪些同时运行,或者程序调用的DLL文件等)信息.
为了减少看报告的工作量,提高效率.我们建议,在做报告之前,应该尽量关闭windows系统第三方的程序,比如QQ,IE,千千等等.尽量做到:只保留windows自身的进程.这样有助于我们更快速的判断,大家不用担心,关闭第三方程序,不会对查毒产生负面影响.
还是拿例子说明:
[PID: 664 / Administrator][C:\KAV2007\KAVStart.exe] [Kingsoft Corporation, 2007, 9, 28, 295]
    [C:\windows\system32\MFC71.DLL] [Microsoft Corporation, 7.10.3077.0]
    [C:\windows\system32\MSVCR71.dll] [Microsoft Corporation, 7.10.3052.4]
    [C:\windows\system32\MSVCP71.dll] [Microsoft Corporation, 7.10.3077.0]
    [C:\windows\system32\MFC71CHS.DLL] [Microsoft Corporation, 7.10.3077.0]
    [C:\KAV2007\KMailOEBand.DLL] [Kingsoft Corporation, 2006, 12, 1, 139]
    [C:\KAV2007\SvcTimer.DLL] [Kingsoft Corporation, 2006.12.22.84]
    [C:\KAV2007\KAVPassp.dll] [Kingsoft Corporation, 2006, 12, 30, 271]
    [C:\KAV2007\PopSprt3.dll] [Kingsoft Corporation, 2007, 3, 20, 48]
    [C:\KAV2007\KASocket.dll] [Kingsoft Corporation, 2007, 3, 18, 241]
第一行分三部分:
1. [PID: 664 / Administrator]: PID值是指此进程在系统中的"数字标识",它是唯一的.这个项目对于我们查毒杀毒没什么意义,大家知道就行了.后面,是创建此进程的用户名.
2. [C:\KAV2007\KAVStart.exe]: 这个是该进程所运行的文件的详细位置.
3. [Kingsoft Corporation, 2007, 9, 28, 295]: 该进程对应文件的公司签名,文件的版本信息.
下面的"相对第一行有缩进"行,是逐行列出了该进程,同时调用了哪些文件,也就是专业术语上称的:模块信息.我随便挑取一行说明:
[C:\KAV2007\SvcTimer.DLL]
1. [C:\KAV2007\SvcTimer.DLL]: 该模块对应文件的详细路径及名称
2. [Kingsoft Corporation, 2006.12.22.84]: 模块的公司名称,文件的版本信息
当然,也存在只有一个运行文件,而没有"模块"信息的进程存在,例如:
[PID: 1468 / SYSTEM][C:\windows\system32\spoolsv.exe] [Microsoft Corporation, 5.1.2600.2696 (xpsp_sp2_gdr.050610-1519)]
和上面的例子相比,最后多了一部分: (xpsp_sp2_gdr.050610-1519)
SRE对于windows自身的部分程序,在检测的时候,都会附带出"XP系统的版本信息",比如我们上面的:spoolsv.exe(打印机服务),Explorer.EXE,services.exe等.
和以前的各块内容不同,在"正在运行的进程"这部分,SRE加入了"文件版本信息"的内容,这个信息,对于我们判断病毒,起到了很大的作用.一定不能忽略它!
二.判断方法
1. 优先注意,公司前面为: N/A 的文件
这部分不解释了,只给出一个例外: [C:\Program Files\WinRAR\rarext.dll] [N/A, ]
大家最常用的WinRAR的文件,无公司前面,连文件版本信息都没有^^^^够郁闷的..........但是是正常的喔!
2.看进程文件的版本,模块文件的版本
目前大部分病毒,虽然会伪造公司前面,但无一例外的,在文件版本上,都没有"下功夫",所以,我们在判断的时候,可以优先注意: 无文件/模块,版本信息的文件.
3.凡是标有XP版本信息的文件,一律为正常的系统文件.如:
[C:\windows\system32\msacm32.drv] [Microsoft Corporation, 5.1.2600.0 (xpclient.010817-1148)]
4.注意报告的整体"联系"
其实,70%的SRE报告,在"注册表启动信息","服务",里面,就基本能挑出90%的病毒文件了.所以到了进程这里,要善于查看"上下文"关系.一般在注册表启动项目里面,罗列出的病毒文件.都会在进程中有所反映(做为模块反映出来的,比较多).
5. 同一个DLL类型文件,同时做为模块,插入大部分进程,且,该DLL文件,无公司前面,或者有签名,没文件版本信息.例如:
[PID: 560 / SYSTEM][C:\WINDOWS\system32\services.exe] [Microsoft Corporation, 5.1.2600.0 (xpclient.010817-1148)]
    [C:\WINDOWS\system32\sidjezy.dll] [N/A, ]
[PID: 572 / SYSTEM][C:\WINDOWS\system32\lsass.exe] [Microsoft Corporation, 5.1.2600.1106 (xpsp1.020828-1920)]
    [C:\WINDOWS\system32\sidjezy.dll] [N/A, ]
[PID: 748 / SYSTEM][C:\WINDOWS\system32\svchost.exe] [Microsoft Corporation, 5.1.2600.0 (xpclient.010817-1148)]
    [C:\WINDOWS\system32\sidjezy.dll] [N/A, ]
三.关于AppInit_DLLs
这个东西,我们第一讲就着重提到了,我在这里再说一次.
前面说过,此键值如果不为空,则分为"美化和病毒"两种情况.美化不说了,我说病毒的情况
如果在"注册表启动信息"中,AppInit_DLLs得值,是一个DLL类型文件,而且,此文件,插入了多个"正在运行的进程"中.则此文件 99% 为病毒文件! 例子:
上面,注册表启动信息:
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Windows]
    <AppInit_DLLs><kvdxsjma.dll> []
下面,正在运行的进程:
[PID: 1744 / GOKU][C:\WINDOWS\SOUNDMAN.EXE] [Realtek Semiconductor Corp., 5.1.0.34]
    [C:\WINDOWS\System32\kvdxsjma.dll] [N/A, ]
看清楚上面2行噢! C:\WINDOWS\SOUNDMAN.EXE,是正常的声卡文件.但下面的模块,可是被"病毒文件:kvdxsjma.dll"插入了.同样的:
[PID: 1948 / GOKU][C:\WINDOWS\System32\RUNDLL32.EXE] [Microsoft Corporation, 5.1.2600.0 (xpclient.010817-1148)]
    [C:\WINDOWS\System32\kvdxsjma.dll] [N/A, ]
这样的结构.......毫无疑问了,100%是病毒了.同时出现在Appinit和进程模块里面,而且无公司前面,无文件版本.

引用:
这个说法有点“循环论证”的感觉。
实际上，由于此项的功能（上面已经加了评论说明），在此项的dll文件几乎注定被大部分进程所加载（没有看到在其模块列表中的那些进程，并一定不是启动时不加载，而可能是加载之后该dll判断自身加载环境，对不需要加载的进程，则自动卸载了）

因此，这个现象严格来说并不能更加佐证该dll是病毒的推论，还是应该依照文件路径、数字签名信息等诸多方面综合判断。



四.总结
因为这部分是报告中,容量最大的部分,所以看起来确实需要花一段时间.一般就从公司签名,文件签名入手即可.大部分文件,只要看到公司签名和文件版本信息,就可以略过了.这样能节省时间.即便有漏掉的,只要前面,注册表,服务,驱动,3个项目清理的彻底.漏掉的文件,也成了"死的了".


学看 SRE 报告 ———— 第六讲

[折叠]
还剩下几个有共性的小项目.我一起写了,对于这几个项目,都是有普遍规律的.
一. 文件关联
90%的病毒,都必定会修改系统默认的文件关联.我们这里不需要理会.看都不用看.在手工杀毒最后,我们可以用SRE,修复一下就是了.
这部分不需要重视.

引用:
90%太多了，其实没有那么多。

而真正被病毒修改的文件关联，恰恰不是不需要理会，而是很需要理会。
如果病毒修改的是可执行文件如.exe、.scr、.com的文件关联，指向病毒程序本身，则当你打开任何一个以此为后缀的可执行文件，都会先运行病毒程序。
在删除的病毒程序之后，又没有恢复此键值的话，相应后缀的可执行文件将会打不开！

或者，当你删完了病毒的其他注册表启动项，却没有注意这一项，你得意洋洋地准备删除病毒文件，然而这时你双击打开任意一个相应后缀名的文件，则病毒再度被执行，你就前功尽弃了。

遇到这种情况，如.exe文件关联被劫持，可以把SREng的主程序后缀改为.scr或.com甚至.bat再运行。由于系统加载PE文件只看其PE结构，而不是文件名，因此以上关联只要有一个正常，改为相应后缀，就可以正常运行SREng，之后再修复文件关联。

所以文件关联并不能最后看，而往往要最先考虑！



二. Winsock 提供者
这部分有自身的判断标准,分两种情况.但有个总体的前提:
SRE在做报告的时候,是默认只列出"第三方"的winsock提供者.意思就是,凡是在报告中列出的,都不是windows自带的.
所以,一台干净的,正常的电脑,在SRE报告中,这部分应该是如下显示的:
==================================
Winsock 提供者
N/A
==================================
也就是"无(第三方)Winsock提供者".
我前面说的2种情况, 正常的"无",是第一种.第二种是: 安全类防御软件,会添加winsock,说实话,我现在都不明白,这些软件添加winsock干什么.最常见的,是: NOD32,这个杀毒软件添加的.这样:
NOD32 protected [MSAFD Tcpip [TCP/IP]]
    F:\WINDOWS\system32\imon.dll(Eset , NOD32 IMON - Internet scanning support)
NOD32 protected [MSAFD Tcpip [UDP/IP]]
    F:\WINDOWS\system32\imon.dll(Eset , NOD32 IMON - Internet scanning support)
NOD32 protected [MSAFD Tcpip [RAW/IP]]
    F:\WINDOWS\system32\imon.dll(Eset , NOD32 IMON - Internet scanning support)
NOD32 protected [RSVP UDP Service Provider]
    F:\WINDOWS\system32\imon.dll(Eset , NOD32 IMON - Internet scanning support)
NOD32 protected [RSVP TCP Service Provider]
    F:\WINDOWS\system32\imon.dll(Eset , NOD32 IMON - Internet scanning support)
对于这种情况,我个人建议,删除这些winsock项目,大家可以放心,即便删除它们,对浏览网页等操作,也是毫无影响的.类似的由安全软件添加的,还有:
DrwebSP.MSAFD Tcpip [TCP/IP]
    F:\WINDOWS\system32\DRWEBSP.DLL(Doctor Web, Ltd., Dr.Web Winsock Provider Hook)
DrwebSP.MSAFD Tcpip [UDP/IP]
    F:\WINDOWS\system32\DRWEBSP.DLL(Doctor Web, Ltd., Dr.Web Winsock Provider Hook)
DrwebSP.RSVP TCP Service Provider
    F:\WINDOWS\system32\DRWEBSP.DLL(Doctor Web, Ltd., Dr.Web Winsock Provider Hook)
DrwebSP.RSVP UDP Service Provider
    F:\WINDOWS\system32\DRWEBSP.DLL(Doctor Web, Ltd., Dr.Web Winsock Provider Hook)
不用管是什么软件添加的,如果电脑出现"能上QQ,不能开网页",或者二者都不行的情况,统一删除这些项目!对于杀毒软件添加的Winsock,其对应的DLL文件,不需要理会,删除项目就行了.

引用:
还原被正常应用软件修改的winsock供应者项目，或许不会导致上网不正常，但是会影响软件的功能。
安全软件这么做，是因为这一项是负责网络协议的，用自己的组件守住了这一项，有利于监控网络数据流。
第二种情况，则是上网验证的客户端，如TcpipDog.dll，如果恢复了那一项，那真的是用不了这个客户端，也就不能正常上网了。

因此，对于是正常软件占据此项的情况，恢复还是要谨慎。



三.Autorun.inf
这个没什么好解释的, 必须为空,也就是:
==========================
Autorun.inf
[N/A]
=========================
如果下面有东西,100%为病毒.
对于autorun.inf,以及病毒文件判断的方法,我简单说一下.典型的例子,是这样:
==================================
Autorun.inf
[C:\]
[AuToRuN]
open=soS.Exe
shell\open=打开(&O)
shelL\open\ComMand=soS.Exe
[D:\]
[AuToRuN]
open=soS.Exe
shell\open=打开(&O)
shelL\open\ComMand=soS.Exe
[E:\]
[AuToRuN]
open=soS.Exe
shell\open=打开(&O)
shelL\open\ComMand=soS.Exe
===============================
判断,大家可以照猫画虎,其实,不同的病毒,凡是创建autorun.inf的,只是最后那个"="后面的exe(或者其他的)文件名称不同.这里,从上面的例子中,可以得出如下结论:
该病毒在 [C:\],[D:\],[E:\],即 C,D,E,这3个分区下面,分别创建了:
1.Autorun.inf
2.soS.Exe
这2个文件.至于清理方法,分三种,
◆利用DOS命令行删除:
,大家可以参考这里:http://hi.baidu.com/xiang007/blog/item/77221a55ee5d61c2b745ae3a.html
◆利用批处理文件删除:
批处理,
_________________________________________________________________________________________
cd\
c:
attrib -a -s -h -r *.inf
attrib -a -s -h -r snow.exe
del *.inf
del snow.exe
d:
attrib -a -s -h -r *.inf
attrib -a -s -h -r snow.exe
del *.inf
del snow.exe
e:
attrib -a -s -h -r *.inf
attrib -a -s -h -r snow.exe
del *.inf
del snow.exe
f:
attrib -a -s -h -r *.inf
attrib -a -s -h -r snow.exe
del *.inf
del snow.exe
h:
attrib -a -s -h -r *.inf
attrib -a -s -h -r snow.exe
del *.inf
del snow.exe
echo 如果至此未出现：找不到文件……则证明其他分区下病毒已经删除，请重启电脑，再次执行此程序，如果全是“找不到文件”，就证明彻底删除了。
pause
_________________________________________________________________________________________
就是2条横线中间的红色部分了,复制下来,然后把里面的 snow.exe,改为你判断出来的exe,或者其他文件,比如,根据我上面的例子,就应该改为: soS.Exe,然后保存为 bat格式,双击运行就可以了.

◆ 利用雨林木风PE系统,删除2个病毒文件
这个简单了,进入PE系统,就像XP下删文件一样简单...................
四.HOST 文件
HOST文件的作用,我这里不想解释了,网上解释太多了,不知道的,自己搜索一下就行了.
和winsock类似的,分2中情况:
1. 正常情况
正常情况下,该部分只有一行:
==================================
HOSTS 文件
127.0.0.1      localhost
==================================
2.目前,网上流传有一些工具,声称可以通过添加,修改HOSTS文件,来实现屏蔽恶意网站.因此,会添加些HOSTS项目.例如：
HOSTS 文件
***********************************
《电脑报》黑榜(R)恶意网址屏蔽文件
版本号：2007.11.12
***********************************
127.0.0.1 localhost
127.0.0.1 www.zzzz1.com
127.0.0.1 zzzz1.com
127.0.0.1 www.baidu345.com
127.0.0.1 baidu345.com
127.0.0.1 www.ttsou.cn
127.0.0.1 ttsou.cn
127.0.0.1 www.zhaomeimei.cn
127.0.0.1 www.511u.com
127.0.0.1www.37698.com
127.0.0.1 37698.com
127.0.0.1 www.2345.com
127.0.0.1 2345.com
127.0.0.1 www.hk0707.com
127.0.0.1 www.hk0909.com
127.0.0.1 www2.99vod.net

上门就是典型的例子了，是用来屏蔽恶意网站的，写在HOST文件里面，意思就是“让电脑禁止访问那些网站”，不过我个人倒是觉得没什么用。呵呵，这个自己看着办了。
对于HOSTS这个项目,无论一台电脑是什么情况,装的什么系统,都应该尽量保证其只有"默认的127.0.0.1      localhost"一行.剩下的,如果大家不知道怎么判断,都可以随意大胆的删除!

学看 SRE 报告 ———— 第七讲

[折叠]
最后剩下几项了.
一. 进程特权扫描
在windows系统中,有些软件,比如驱动程序,杀毒软件.需要"时时刻刻"运行.所以,它们对于其他普通软件,比如听歌的,QQ什么的(这些都随时会被关闭).具有更高的 进程特权.
说白了,它们更占CPU,为的是时刻监控等等功能.对于这些时时刻刻都需要运行的项目,SRE在报告中,称做:进程特权扫描
例子:
==================================
进程特权扫描
特殊特权被允许： SeDebugPrivilege [PID = 1744, C:\WINDOWS\SOUNDMAN.EXE]
特殊特权被允许： SeLoadDriverPrivilege [PID = 1744, C:\WINDOWS\SOUNDMAN.EXE]
特殊特权被允许： SeDebugPrivilege [PID = 1988, C:\WINDOWS\SYSTEM32\TXHMOU.EXE]
特殊特权被允许： SeLoadDriverPrivilege [PID = 1988, C:\WINDOWS\SYSTEM32\TXHMOU.EXE]
特殊特权被允许： SeLoadDriverPrivilege [PID = 1888, C:\WINDOWS\SYSTEM32\NVSVC32.EXE]
特殊特权被允许： SeDebugPrivilege [PID = 2156, C:\WINDOWS\SYSTEM32\1SVTH.EXE]
特殊特权被允许： SeLoadDriverPrivilege [PID = 2156, C:\WINDOWS\SYSTEM32\1SVTH.EXE]
特殊特权被允许： SeDebugPrivilege [PID = 3976, D:\聊天工具\TENCENT\QQ\QQ.EXE]
特殊特权被允许： SeLoadDriverPrivilege [PID = 3976, D:\聊天工具\TENCENT\QQ\QQ.EXE]
==================================
这里没什么好解释的,结构我不想说了,我们在判断的时候,只能是根据列出的文件的详细路径和名称.来判断是否正常.
可以结合前面判断出来的病毒文件来判断.大家想想就能明白,病毒,它也是要时时刻刻运行的,所以,肯定会在"进程特权"里面出现.如果这里出现了,你前面判断出的病毒,那么,无疑坚定了你的判断.比如上面的例子,有问题的:
C:\WINDOWS\SYSTEM32\TXHMOU.EXE
C:\WINDOWS\SYSTEM32\1SVTH.EXE
具体这两个是什么,就得从前面去判断了,凡是在这里出现的,肯定在"正在运行的服务"里面有反映.去那里找吧,看看公司签名,版本.

引用:
原作者应该好好看看Privilege到底是什么。权限令牌是程序执行相应操作所需要的。如对系统进程进行内存读取（有时仅仅是为了遍历进程，得到其映像文件名，要对目标进程的PEB进行读取）需要SeDebugPrivilege权限，用程序调用ExitWindowsEx关闭或重启计算机需要SeShutdownPrivilege等等，如果没有相应权限，相应操作就会被系统阻止。



二.API HOOK
HOOK,意思为"挂钩,劫持".但它不一定是恶意的.相反,现在的病毒,恶意的进行:APT HOOK,倒是很少.
在这个项目里面,最容易出现的,是杀毒软件,杀毒软件为了从更深的层次监控电脑,保护电脑,就会修改此处.目的,大家应该明白了.
对于一台正常的电脑,这项应该是 N/A,如果有值,可以根据路径判断,一般,95%的情况,都是杀毒软件搞的"鬼",比如:
API HOOK
入口点错误：LoadLibraryExW (危险等级: 高, 被下面模块所HOOK: C:\KAV2007\KASocket.dll)
金山 2007的HOOK了~其实这个没什么的,大家不必大惊小怪.被杀毒软件HOOK,是最正常的事情了,我们不必理会.

特例:
API HOOK
RVA 错误： LoadLibraryA (危险等级: 高, 被下面模块所HOOK: \??\C:\WINDOWS\system32\drivers\klif.sys)
RVA 错误： LoadLibraryExA (危险等级: 高, 被下面模块所HOOK: \??\C:\WINDOWS\system32\drivers\klif.sys)
RVA 错误： LoadLibraryExW (危险等级: 高, 被下面模块所HOOK: \??\C:\WINDOWS\system32\drivers\klif.sys)
RVA 错误： LoadLibraryW (危险等级: 高, 被下面模块所HOOK: \??\C:\WINDOWS\system32\drivers\klif.sys)
RVA 错误： GetProcAddress (危险等级: 高, 被下面模块所HOOK: \??\C:\WINDOWS\system32\drivers\klif.sys)
C:\WINDOWS\system32\drivers\klif.sys 为卡巴斯基杀毒软件,用于 HOOK的文件!大家记住就行了.
三.隐藏进程
一般情况下,都是 N/A, 如果有值,分两种情况考虑:
1.杀毒软件
有一部分杀毒软件,为了保护自身不被病毒干掉,创建了 隐藏进程,典型的就是江民杀毒.如果一台电脑装有江民,在这里可能会出现.根据路径判断就行了. 比如 C:\KV\..........类似的.
2.Internet Explorer.exe
如果出现此隐藏进程,则必定电脑里面存在木马! 典型的灰鸽子,就是这样,中毒后,创建隐藏的 IE进程.但是,这个项目里面,不会列出病毒文件.只能从上面去查.

引用:
不是Internet Explorer.exe，而是iexplore.exe

SRE 已知不成文规律总结

1.XP统一的启动项目

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Active Setup\Installed Components\>{26923b43-4d38-484f-9b9e-de460746276c}]
    <Internet Explorer 访问><"C:\WINNT\system32\shmgrate.exe" OCInstallUserConfigIE> [N/A]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Active Setup\Installed Components\>{881dd1c5-3dcf-431b-b061-f3f88e8be88a}]
    <Outlook Express 访问><"C:\WINNT\system32\shmgrate.exe" OCInstallUserConfigOE> [N/A]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Active Setup\Installed Components\{44BBA840-CC51-11CF-AAFA-00AA00B6015C}]
    <Microsoft Outlook Express 6><"%ProgramFiles%\Outlook Express\setup50.exe" /APP:OE /CALLER:WINNT /user /install> [N/A]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Active Setup\Installed Components\{44BBA842-CC51-11CF-AAFA-00AA00B6015B}]
    <NetMeeting 3.01><rundll32.exe advpack.dll,LaunchINFSection C:\WINNT\INF\msnetmtg.inf,NetMtg.Install.PerUser.NT> [(Verified)Microsoft Windows 2000 Publisher]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Active Setup\Installed Components\{6BF52A52-394A-11d3-B153-00C04F79FAA6}]
    <Microsoft Windows Media Player><rundll32.exe advpack.dll,LaunchINFSection C:\WINNT\INF\wmp.inf,PerUserStub> []
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Active Setup\Installed Components\{7790769C-0471-11d2-AF11-00C04FA35D02}]
    <Address Book 5><"%ProgramFiles%\Outlook Express\setup50.exe" /APP:WAB /CALLER:WINNT /user /install> [N/A]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Active Setup\Installed Components\{9EF0045A-CDD9-438e-95E6-02B9AFEC8E11}]

以上各注册表启动项目，为XP系统通用启动项目，即：正常启动项

2.系统服务

没有什么特别的，只有一个服务，值得注意：

[Human Interface Device Access / HidServ][Stopped/Disabled]
<C:\WINDOWS\System32\svchost.exe -k netsvcs-->%SystemRoot%\System32\hidserv.dll><N/A>

这项虽然没经过微软签名，但为正常的系统服务项目

3. 驱动程序

和上面的一样，已知的未经过微软签名的，正常的驱动程序：

⑴ [Secdrv / Secdrv][Stopped/Manual Start]
<system32\DRIVERS\secdrv.sys><N/A>

⑵ [d347bus / d347bus]和[d347prt / d347prt]
此程序，为虚拟光驱软件：Daemon tools 这个软件的第三方驱动

4.关于 AppInit

这个项目，一般在sre报告里面分为2种，在报告中，它是如下样子显示：
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Windows]
    <AppInit_DLLs><> [N/A]

注： 此值不能删除！！！！！！！！！！！！只能在SRE里面，双击后编辑，设置为 空 即可！

此值正常情况下，为 空，在SRE报告中，也就是反应为：[N/A]。如果出现值，则分两种情况考虑：
⑴ 经过美化的系统，一些美化软件，如：Windows Blinds，美化系统后，会修改此键值，并把它的值改为：wbsys.sys，这个是正常的
⑵ 病毒文件。这种，就靠自己判断了。一般都是无规则的字母、数字组成的DLL类型文件。

5. 关于 API HOOK
这个项目，目前大部分杀毒软件，都会修改此键值，目的是为了从更深层次的角度，查杀病毒。大家判断的时候，根据里面列出的文件路径判断就行了。常见的，大家经常迷惑的，就是卡巴斯基，它的HOOK，在SRE报告中的反应是这样：


RVA 错误： LoadLibraryA (危险等级: 高, 被下面模块所HOOK: \??\C:\WINDOWS\system32\drivers\klif.sys)
RVA 错误： LoadLibraryExA (危险等级: 高, 被下面模块所HOOK: \??\C:\WINDOWS\system32\drivers\klif.sys)
RVA 错误： LoadLibraryExW (危险等级: 高, 被下面模块所HOOK: \??\C:\WINDOWS\system32\drivers\klif.sys)
RVA 错误： LoadLibraryW (危险等级: 高, 被下面模块所HOOK: \??\C:\WINDOWS\system32\drivers\klif.sys)
RVA 错误： GetProcAddress (危险等级: 高, 被下面模块所HOOK: \??\C:\WINDOWS\system32\drivers\klif.sys)

即：klif.sys，为卡巴斯基反病毒软件的正常系统驱动程序。


6.在SRE报告中，凡是出现：(Verified) 英文的值，均为正常值！

7.winrar

winrar，有一个没有经过签名的值，在SRE中，反应为：

[C:\Program Files\WinRAR\rarext.dll] [N/A, ]

其实，大家根据路径判断就行了。这里还是给出来，这个 rarext.dll，为rar中，添加“右键菜单”的DLL文件。

8.Winsock 提供者
此项默认的正常值为：N/A ，就是空，目前发现，一些安全类型的软件，（已知的有 NOD32）会添加一些项目，但可以肯定，这项项目，跟系统没任何关系。是没用的

例子：

Winsock 提供者
NVIDIA App Filter over [MSAFD Tcpip [TCP/IP]]
    C:\WINDOWS\system32\nvappfilter.dll(NVIDIA, NVIDIA IAM LSP)
NVIDIA App Filter over [MSAFD Tcpip [UDP/IP]]
    C:\WINDOWS\system32\nvappfilter.dll(NVIDIA, NVIDIA IAM LSP)
NVIDIA App Filter over [MSAFD Tcpip [RAW/IP]]
    C:\WINDOWS\system32\nvappfilter.dll(NVIDIA, NVIDIA IAM LSP)
NVIDIA App Filter
    C:\WINDOWS\system32\nvappfilter.dll(NVIDIA, NVIDIA IAM LSP)

9.Autorun.inf
此值必须为：N/A，如果有东西，则为病毒添加的！

10.HOSTS 文件
默认值就是一行：
127.0.0.1       localhost

有些系统，会添加一些项目，用来屏蔽黄色网站，广告等等。但和winsock类似，都是无关紧要的。如果遇到不好判断的，只保留最上面那行即可，剩下的，一律全部删除！

11.进程特权扫描

这个项目，需要大家根据详细的文件路径来判断。无论是正常的软件，还是病毒，都会在里面涉及到。

12.隐藏进程
⑴Internet Explore.exe
为灰鸽子变种之类的病毒，调用的正常文件，此进程本身没任何问题，只是被病毒文件调用。根据日志，清理病毒文件。如果清理的准确，则此项目，自动消失；
⑵杀毒软件，已知的，江民杀毒，会创建隐藏进程，用来保护自己！根据路径判断即可；
⑶Rundll32.exe
这个，和上面的IE性质是一样的，只是被病毒调用了。根据报告，删除病毒文件，就行了。此文件（Rundll32.exe）为正常的系统文件。

13. 系统字体目录（xp）为： C:\WINDOWS\Fonts，在此文件夹下，只有，只会出现： *.ttf 这种文件，除此之外，不可能出现任何其他类型的文件，如：DLL,exe，等等。如果出现，均为病毒文件！

14. 系统驱动程序文件目录 为： C:\WINDOWS\system32\drivers，在此文件夹下，只有，只会出现： *.sys 这种文件，除此之外，不可能出现任何其他类型的文件，如：DLL,exe，等等。如果出现，均为病毒文件！

其实不是很明白，有图比文字容易理解