SREng日志报告确实有解决不了问题的时候,它不是万能的,所以扫描日志只是解决途径之一。不过既然让人扫描了日志,你就得看,不是叫人扫了,自己就跑掉,要负责任的。怎么看日志?用软件智能分析,不是我推荐的,如果软件能做到杀毒软件就能做得更好,所以建议自己看。再说一遍,SREng日志分析助手之类的工具只是用来分类排列,更方便观察,而不是用来自动生成的,所以不要到处喊为什么“我用了助手得出的报告与你们不一样”。有多少能力做多少事,下面主要就怎么看日志做一些说明,尽最大努力挖掘SREng日志的作用,更高的要求就不是它能做的了。
很多人说日志好长好多、看着晕,每次我听到这种话就想砍人,但我毕竟是温和的人、理智的人、高尚的人。可以看看SREng日志分析实例讲解,实际挑出的可疑对象并不多,大部分都是正常文件。那如何在一堆文件中进行分辨?
1、看文件信息。日志中的文件信息只包括公司厂商及版本号等信息,新版本的SREng加强了对系统文件的识别,会对被感染的系统文件标识“Infected ”,对通过数字签名的文件标识“Verified”,在浏览器加载项中则以“Signed"表示通过数字签名的插件,这些都对我们剔除正常文件有一定的帮助,如果你真的嫌日志太长,可以忽略掉掉有“Verified”、“Signed"的项目。
除了以上标识外,其余无标识但又有完整厂商公司及版本信息的文件、进程我们仍可以进一步区分。相对而言,通过文件的厂商公司信息,我们可以在一定程度上辨析该文件,比如 [mdmxsdk / mdmxsdk][Running/Auto Start] <system32\DRIVERS\mdmxsdk.sys><Conexant> 不要觉得mdmxsdk.sys这样的文件名很奇怪,象随机组成的,以为是病毒,实际上看文件后面的<Conexant>,是该公司出的MODEM驱动(它们出的都这样)。还有INTEL、HP等都能指示出它们自己的驱动程序文件。因此对此类信息要注意不要误判。
对于文件厂商、版本信息显示<N/A>的,需要予以关注,应该说它们的嫌疑很大。不过这不是说<N/A>就一定是病毒或木马文件,比如这个系统服务[Human Interface Device Access / HidServ][Stopped/Disabled] <C:\WINDOWS\System32\svchost.exe -k netsvcs-->%SystemRoot%\System32\hidserv.dll><N/A> SREng日志中一直都标示为<N/A>,但是只要对照一下你自己的电脑就知道它是正常的系统服务项。不光此项,所以不能见<N/A>就删,具体的判断方法分散在后面说。
还有一种情况是有公司厂商的信息,甚至也有版本号,但却是病毒文件假冒的。假冒当中以微软为最普遍,其次为杀毒软件,还可能有硬件驱动,后两种假冒以相同或相似文件名为多,不过假冒公司厂商名称也有。一般看到Microsoft Corporation标识,而又没有“Verified”的,就要注意一下了,但仍强调与上面的<N/A>一样,没有“Verified”的Microsoft Corporation不一定罪大恶极,比如更改过并发连接数的tcpip.sys,想让它过verified是不可能的,因此只是要求多看两眼、细心分辨。
其实,从实践中,我仍然会大量略过这些无“Verified”的Microsoft Corporation,甚至包括其它有厂商信息、版本号的项目,除非日志中实在找不到可疑点或问题未解决,才回头再检视它们,如果你想偷点懒或畏惧超长的日志,也可以这样做,但要知道这种看日志的方法是不完全的,可能重要的内容就在你略过的内容中(在一定程度上,也是由于SREng本身所限造成的,这一点后面再说)。(更新:并非所有Verified都是安全的,如机器狗修改的文件就可能造成有Verified而列无公司名称的情况)
2、对比。如果你对一个系统服务、或某个系统文件无法确认,可以参考一下自己电脑或其它正常电脑,看正常情况下是否同样有该服务或该文件(例见上面的Human Interface Device Access服务)。前提对比对象一定要是正常的状况,并且最好没有被精简过,有时少一个两个原系统的东东也是能正常运行的。此类主要针对的是系统对象,如果是其它应用程序,除非你能找到装一模一样程序的电脑(不易)。此法也适用于找出被篡改服务参数(可执行文件的路径)。
另一种形式的对比需要一定的积累,如果你看的日志多了,很明显能够知道什么是正常项、正常文件,如输入法、屏保,如各种品牌笔记本常见的OEM启动程序,如一些未知API HOOK修改,甚至一些所谓的关联错误(虽然SREng经常会显示“文件关联”中有Error,但实际上对于TXT打开方法而言,c:\windows\notepad.exe与%SystemRoot%\system32\notepad.exe并无什么安全上的区别,可以不必修复,其它的关联也一样)。某些关键和常见的文件要记住,不是要你去死记,要有印象,能回忆起来。在熟悉和经验的基础上,你看日志的速度会有很大提高。
3、网络搜索。如果你通过日志怀疑一个文件对象,而无法得到文件样本进行分析(要求高)或上传到多引擎扫描查毒网站检查(要求低),再或者你根本到不了那台问题电脑上作实地勘测(别跟我说QQ远程),那么你手头上就只有一个文件名以及它的路径等有限的名义上的资源可用,最简单的方法就是去网上搜索,Google、百度,查吧,从纷繁复杂的资料中找出真实和需要。对比一大堆网上资源确实很麻烦,这也是我一直在收集可疑、易混文件信息的原因。
搜索是很困难的事(一击就中的不说了),要么找不到,真找不到可疑度就很大,一般系统文件在网上都找得到,甚至还有提供下载,提供下载的文件应该不会病毒吧(我是说文件名),除非真的是很冷僻的程序;要么一找一大堆,同时也是日志中的,SREng、360、Hijackthis、Autoruns、狙剑等等,当然如果后面有人能提供较准确的分析报告也好,一般没这好事,空在哪没解决的居多,这就价值不高了;如果找出来的是什么文件库、进程库的,也要进行分析,因为确实有冲突的地方,因为病毒文件可能与正常文件同名(所以文件路径很重要,但很多文件库、进程库不一定有文件路径的说明),所以不能盲目相信,但大部分还是可以参考的,至于文件库,有的会标明未定或未知,有的标安全百分比(比如卡卡的文件库,收集的是不少,但未知的占了大部分,为什么未知,足以证明所谓的云安全目前并不真的在收集文件样本,或者就是收了后继的分析工作跟不上,前者的可能性大,卡卡只上传了文件版本、所属公司、大小、MD5等属性信息,然后与已知的病毒库和白名单对比,能对上的就标出来,不能对上就未知。),最好看看具体文件描述,如是什么公司出的,做什么的,不能光看比例。
总之,网上搜索要细心、耐心,多翻翻,多对比,如果文件名找不出合适的结果,可以加上路径,或者搜索它的服务名、驱动名,有时会有意想不到的收获,比如你会惊奇地发现某个启动项名称在网上却能找到它后面会跟两个截然不同的文件,如果同时这相同启动项的不同文件又没有相应的文件信息,如直接显示<N/A>,就可以拿下它了。
4、多学点外文。懂英文会有帮助的,至少你会发现很多文件名字中随机乱起与有规律组合的区别,这种识别是有用的,否则taskmgr对你也毫无意义。同时会英文的话,到网上搜索可以看看英文网站,很可能找到你要的信息,虽然Google会翻译,但那种机器翻译简直惨不忍睹,还是看原文好些。
5、仔细些。正如上面所说,SREng不是万能,它也不是所有的东西都能扫描出来,虽然我看日志一般只注意启动项目(注册表、服务、驱动),有浏览器问题才注意浏览器加载项、网络问题看winsock及HOSTS,但是病毒木马、包括恶意软件现在越来越狡猾了,有的真的是SREng扫不出来的,所以看日志时要仔细些,日志已经扫不全了,就不要漏掉某些细节。比如“正在运行的进程”,有时我们要找的东西就在它们当中(却不在前面的启动项与插件中),如前不久的mshtmldx.dll,而且也是微软公司的信息、版本号俱全,不仔细比对真发现不了(你真的会为这么个不显眼的文件搜索自己的硬盘或网上查找吗?)。
由于功能所限,SREng日志做不了太多事,但仍然可以应付一部分的(这部分也不少)安全分析工作,不管怎么说,不要误杀是首要的,至少不要误杀系统文件(应用程序的大不了重装一下,倒没什么要紧),SREng解决不了的,至少保留个现场,也许有更好的或更有效的方法。
>> 除非说明均为原创,如转载请注明来源于http://www.stormcn.cn/post/316.html
