SRENG系统安全扫描工具 to be continue...
System Repair Engineer (SREng)[url=http://www.kztechs.com/sreng/download.html]http://www.kztechs.com/sreng/download.html[/url]
sreng是一款计算机安全辅助和系统维护辅助软件。主要用于发现、发掘潜在的系统故障和大多数由于计算机病毒造成的破坏,并提供一系列的修改建议和自动修复方法。 该软件是由 [url=http://www.kztechs.com/][color=#d04040]KZTechs.COM [/color][/url]网站站长 [url=http://www.kztechs.com/sreng/index1.html#][color=#d04040]Smallfrogs[/color][/url] 开发的,能够运行在所有主流的 Windows 操作系统上。
在 System Repair Engineer (SREng) 的帮助下,您可以自己诊断您操作系统可能存在的普遍性问题,即使您是计算机的初学者,您也可以使用 System Repair Engineer (SREng) 的智能扫描功能将您系统的概况生成一份简要的日志,然后将该日志传送给对操作系统熟悉的朋友或网友,在他们的帮助下解决您系统可能存在的问题。
System Repair Engineer 智能扫描
System Repair Engineer 的智能扫描功能是扫描系统信息,包括文件关联、启动组、正在运行的进程等,并产生一个报告,用于提供给别人分析使用的一项功能。
在 System Repair Engineer 2.5 版本里面,提供了10种扫描对象:启动项目、浏览器加载项、正在运行的进程和文件关联、Winsock 提供者、所有驱动器的 Autorun.inf 文件以及 Hosts 文件、进程特权扫描、API HOOK扫描和隐藏进程扫描。
[align=center][img]http://i213.photobucket.com/albums/cc112/pingring/c88bac3a.jpg[/img][/align]
[align=left]选择好扫描目标以后,点击扫描按钮就可以启动扫描过程。[/align][align=left]根据不同的选项,扫描时间也是不相同的。扫描过程中会有一个进度条出现,进度条可以大致的反应扫描的进度。[/align][align=center][img]http://i213.photobucket.com/albums/cc112/pingring/f0ff8e60.jpg[/img][/align][align=left]扫描完成以后进度条将自动关闭,并出现一个报告窗口。报告窗口用于查看扫描后的结果并能够将扫描结果保存下来。[/align][align=center][img]http://i213.photobucket.com/albums/cc112/pingring/53788ec6.jpg[/img][/align]为了减少报告的体积,智能扫描功能将把发行者是 Microsoft 的项目过滤掉,并不会出现在报告里面。
System Repair Engineer 启动项目
[indent]System Repair Engineer 启动项目由 8 个部分组成:
[list][*][color=#800080]注册表类[/color][*][color=#800080]启动文件夹类[/color][*][color=#800080]配置文件类[/color]WIN.INI、SYSTEM.INI、AUTOEXEC.BAT、CONFIG.SYS)[*][color=#800080]BOOT.INI文件类[/color][*][color=#800080]Win32 服务类[/color][color=#333333](仅用于 Windows 2000 或更高版本)[/color][/list]
[img=12,12]mk:@MSITStore:E:\SREngHelp2.chm::/images/biaozhu1.gif[/img] [b]注册表类:[/b]
注册表类的启动项目由十多个注册表键值所含数据组成。包括常见的HKLM\Software\Microsoft\Windows\CurrentVersion\Run 、HKCU\Software\Microsoft\Windows\CurrentVersion\Run 等,另外还有一些鲜为人知的隐蔽值。打开注册表类启动项目窗口以后,System Repair Engineer 会检测系统里面所有的被支持的能够随机启动注册表键值,然后把相关结果显示出来。
如果 System Repair Engineer 发现默认的键值被修改成非默认值,且这个键值经常被计算机病毒修改,那么会弹出一个警告提示提醒用户注意。
如果 System Repair Engineer 发现一个可疑的项目,那么 System Repair Engineer 会以颜色高亮显示。System Repair Engineer 的颜色方案是:
[list][*]高危项目:红色[*]未知安全等级项目:蓝色[*]安全项目:绿色[/list][img]http://i213.photobucket.com/albums/cc112/pingring/bb80d3d8.jpg[/img]
[align=center]
[url=mk:@MSITStore:E:\SREngHelp2.chm::/images/020_1.jpg][color=#0000ff][点击这里看完整图片][/color][/url][/align]System Repair Engineer 能够编辑任何注册表被支持的注册表启动项键值。选择要编辑的内容点击编辑按钮就可以启动编辑对话框。你可以重新给你选择的项目输入新的命令甚至新的名字。
[align=center][img]http://i213.photobucket.com/albums/cc112/pingring/registry.jpg[/img][/align][align=left]另外,System Repair Engineer 还提供了新建注册表启动项目功能,点击新建按钮,输入相关信息,再选择一个储存路径就可以完成注册表启动项目的新建功能。[/align][align=left]而注册表启动项目删除功能则用于删除选定的启动项目。[/align]
[img=12,12]mk:@MSITStore:E:\SREngHelp2.chm::/images/biaozhu1.gif[/img] [b]启动文件夹类:[/b]
启动文件夹指开始——程序——启动。根据Windows的设计,启动文件夹分作公用启动文件夹和私有启动文件夹。公用启动文件夹里面的启动快捷方式对所有用户均有效,而私有启动文件夹里面的快捷方式仅对当前用户有效。System Repair Engineer 能够同时支持共有启动文件夹和私有启动文件夹的信息的获取并将相关信息显示出来。
[align=center][img]http://i213.photobucket.com/albums/cc112/pingring/93f05750.jpg[/img][/align]
[img=12,12]mk:@MSITStore:E:\SREngHelp2.chm::/images/biaozhu1.gif[/img] [b]配置文件类:[/b]
配置文件包括 WIN.INI、SYSTEM.INI、AUTOEXEC.BAT、CONFIG.SYS,这4个配置文件通常用于 Windows 9x 版本的操作系统,Windows 2000 或以上版本已经很少再使用这4个文件了。关于这4个配置文件的使用方法,请参阅 Microsoft 知识库:[url=http://support.microsoft.com/][color=#0000ff]http://support.microsoft.com[/color][/url]。System Repair Engineer 在这里提供了一个简易的操作平台,能够用于删除、新建一个项目而无需用户在计算机磁盘的不同位置寻找和编辑这4个文件。System Repair Engineer 简化了操作的难度。
[img=12,12]mk:@MSITStore:E:\SREngHelp2.chm::/images/biaozhu1.gif[/img] [b]BOOT.INI文件类:[/b]
BOOT.INI 文件作为一个重要的文件,在 Windows 启动过程中有着重要的意义。
针对用户不知道 BOOT.INI 文件在哪和不知道如何编辑的问题,System Repair Engineer 提供了一个编辑窗口用于配置 BOOT.INI,System Repair Engineer 允许用户对 BOOT.INI 采取新建、删除、编辑、设置默认启动项、设置延时时间等操作。
[align=center][img]http://i213.photobucket.com/albums/cc112/pingring/booti.jpg[/img][/align][/indent][align=center][img]http://i213.photobucket.com/albums/cc112/pingring/boot.jpg[/img][/align]
[indent][b][img=12,12]mk:@MSITStore:E:\SREngHelp2.chm::/images/biaozhu1.gif[/img] Win32服务类:[/b]
作为一类特殊的程序,服务备受关注。虽然 Windows 本身提供了强大的服务配置管理界面,但是这个界面并不允许用户删除服务,也不能隐藏由 Microsoft 自己发行的服务。从简化系统管理的角度出发,System Repair Engineer 加入了服务配置界面,允许用户删除非 Microsoft 发现的服务和改变所有服务的启动类型。考虑到操作系统本身提供了很多的服务,大多数情况下并不需要显示这些服务。因此设置了一个隐藏隐藏微软服务的选项。选中这个选项以后将隐藏掉所有的由微软发现的服务。
在 System Repair Engineer 2.3 里面,服务配置模块被分为两类:Win32服务应用程序和驱动程序。
[img]http://i213.photobucket.com/albums/cc112/pingring/win32.jpg[/img]
[align=left]无论点击Win32服务应用程序还是驱动,均会弹出一个新的对话框,你可以使用鼠标改变这个弹出的对话框大小。对话框如下图所示:[/align]
[align=center][img]http://i213.photobucket.com/albums/cc112/pingring/win32-1.jpg[/img][/align]
[align=left]例:如果你想改变一个服务的启动类型,则执行以下步骤就可以完成:[/align][list=1][list=1][*]选择一个服务项目;[*]在界面下方选择一个启动类型,然后点击“修改启动类型”单选框;[*]点击“设置”按钮即可。[/list][/list]对于服务宿主是SVCHOST.EXE的服务,也可以直接把服务对应的DLL文件列出并给出具体的信息。
[img]http://i213.photobucket.com/albums/cc112/pingring/win322.jpg[/img]
[/indent]System Repair Engineer 系统修复
System Repair Engineer 系统修复功能是在原 RegFix 注册表关键值修复工具的基础上予以强化完成的。
本类别所有功能的使用均需要具有管理员权限,非管理员权限用户无法操作本类别功能。
[img=12,12]mk:@MSITStore:E:\SREngHelp2.chm::/images/biaozhu1.gif[/img] [b]文件关联类[/b]:
文件关联部分在原有基础上增加了自动侦测功能,对于非默认文件关联值会显示一个错误标示并且自动选中修复复选框。
[align=center][img]http://i213.photobucket.com/albums/cc112/pingring/4034bd84.jpg[/img][/align][align=left][img=12,12]mk:@MSITStore:E:\SREngHelp2.chm::/images/biaozhu1.gif[/img][b] Windows Shell 类[/b]:[/align][align=left]Windows Shell 主要指 Windows 外壳程序,包括资源管理器等。在 System Repair Engineer 里面,重新对 Windows Shell 进行了归类处理,合并了一些针对同一个问题的修复措施。[/align]
[align=left][img=12,12]mk:@MSITStore:E:\SREngHelp2.chm::/images/biaozhu1.gif[/img] [b]Internet Explorer 类[/b]:[/align][align=left]在 System Repair Engineer 里面,重新对 Internet Explorer 进行了归类处理,合并了一些针对同一个问题的修复措施。[/align]
[align=left][img=12,12]mk:@MSITStore:E:\SREngHelp2.chm::/images/biaozhu1.gif[/img] [b]浏览器加载项类[/b]:[/align][align=left]浏览器加载项是目前大多数“流氓软件”使用的一种自我加载方法。由于浏览器加载项在系统里面进行了注册,手工清除多有不便,而且浏览器不完善的加载项会导致 Internet Explorer 或 Windows 资源管理器崩溃,因此需要能够删除不需要的浏览器加载项。 System Repair Engineer 增加了浏览器加载项管理功能。提供了删除/禁用/查看浏览器加载项等功能。另外,还额外提供了显示 Shell 扩展内容的功能。[/align][align=left]浏览器加载项配置主界面:[/align][align=left][img]http://i213.photobucket.com/albums/cc112/pingring/49303c71.jpg[/img][/align]
[align=left]详情查看主界面:[/align][align=center][img]http://i213.photobucket.com/albums/cc112/pingring/2.jpg[/img][/align]
[align=left][img=12,12]mk:@MSITStore:E:\SREngHelp2.chm::/images/biaozhu1.gif[/img] [b]HOSTS文件类[/b]:[/align]HOSTS文件是一个用于将主机名和IP地址对应起来的文件。目前被很多计算机病毒用作限制用户进行升级或限制访问某些网站。System Repair Engineer 提供了对HOSTS文件的配置、管理功能。用户可以新建/删除/编辑/注释HOSTS文件记录。而无需在 Windows 安装目录里面寻找HOSTS文件,以简化操作。
HOSTS文件编辑主界面:
[img]http://i213.photobucket.com/albums/cc112/pingring/host1.jpg[/img]
[align=left]编辑对话框[/align][align=center][img]http://i213.photobucket.com/albums/cc112/pingring/host.jpg[/img][/align]
[align=left][img=12,12]mk:@MSITStore:E:\SREngHelp2.chm::/images/biaozhu1.gif[/img] [b]Winsock Provider 提供类[/b]:[/align][align=left]Winsock Provider 用于提供系统网络访问,如果 Winsock Provider 出现问题,将导致不能使用网络功能,包括ICMP协议、TCP 协议等。
Winsock Provider 重置功能用于将 Winsock Provider 重置为系统初始的默认值。此功能用于解决由于 Winsock Provider 被破坏导致的网络访问异常。[/align][align=left][img]http://i213.photobucket.com/albums/cc112/pingring/windowsock.jpg[/img][/align]
[align=left][img=12,12]mk:@MSITStore:E:\SREngHelp2.chm::/images/biaozhu1.gif[/img] [b]自动修复类 [/b][/align][align=left]自动修复分为两种等级:推荐修复级别和高强修复级别。推荐修复级别针对常见、已知的非正常修改进行修复;而高强修复级别则针对所有的修改进行修复,而不管这种修改是否是正常的。
只有在特殊的情况下才建议使用高强修复级别。
[b]注:System Repair Engineer API HOOK检测功能是一项高级功能,仅供参考使用。本文档可能会在未通知的情况下予以变更。[/b]
[b][img=11,11]mk:@MSITStore:E:\SREngHelp2.chm::/images/arrowrt.gif[/img]什么是 API HOOK[/b]
[/align][indent]在 Windows 操作系统里面,API是指由操作系统提供功能的、由应用程序调用的函数。这些函数在Windows操作系统里面有上千个之多,分布于不同的DLL文件里面或者EXE文件里面。应用程序通过调用这些函数来获得一些功能的支持。
API HOOK:API HOOK技术是一种用于改变API执行结果的技术,Microsoft 自身也在Windows操作系统里面使用了这个技术,如Windows兼容模式等。
API HOOK 技术并不是计算机病毒专有技术,但是计算机病毒经常使用这个技术来达到隐藏自己的目的。
隐藏:是Rootkits各种表现形式里面的一种,也是最重要的一种。
如果一个计算机病毒实现了自我隐藏,那么99%的软件将无法发现他们,包括:资源管理器、任务管理器等。
[/indent][img=11,11]mk:@MSITStore:E:\SREngHelp2.chm::/images/arrowrt.gif[/img][b]System Repair Engineer API HOOK 检测[/b]
鉴于很多计算机病毒(如灰鸽子后门程序等)采用 Win32 API HOOK 技术来达到隐藏自身的目的,System Repair Engineer (SREng) 从 [b]2.3[/b] 版本开始正式提供对Win32 API HOOK 检测的支持。
System Repair Engineer API HOOK 检测 功能是专门为有一定计算机知识的人设计的一个高级功能,其主要目的是警示用户系统里面的哪些API和预期值不符。一个有经验的分析人员能够从不符的API名称里面得知潜在的危险是什么。
SREng 2.4 版本新增功能
在 System Repair Engineer (SREng) 2.4版本里面,增加了显示被HOOK的API是由系统中的哪一个文件来执行的。同时增加了HOOK 安全级别判定功能,当 System Repair Engineer确认是系统自带的模块或者安全模块来执行HOOK操作的时候,System Repair Engineer会自动的降低安全警告等级到普通,否则会显示为危险。
当 System Repair Engineer (SREng) 发现有Win32 API 被 HOOK 的时候,会在桌面右下角弹出警告气泡,同时,智能扫描的扫描日志里面也能够记录被 HOOK 的API内容。
SREng 2.4 版本新增功能
在 System Repair Engineer (SREng) 2.4版本里面,气泡窗口不同于早期版本,新的气泡窗口优化了显示方法,增加了查看详情的文字链接。 点击这个链接以后能够看到更详细的解释信息以及高级操作方式。
一旦你看到类似于下面的气泡提示,就需要你特别注意了:
[b]例如:[/b]用户机器里面被植入灰鸽子后门程序以后SREng的报警提示信息:
[img]http://i213.photobucket.com/albums/cc112/pingring/api.jpg[/img]
从上图可以看到,在 System Repair Engineer (SREng) 的进程空间里面,有大量的API函数和预期值不符。这是因为在这台计算机上被植入了[b]灰鸽子[/b]后门程序。
从函数名可以得出,被HOOK的API和注册表的各种枚举操作以及文件的枚举操作相关。
上述被HOOK的API函数将造成通过正常的方法是无法发现灰鸽子的文件和注册表键值的。包括一些杀毒软件都会由于这个问题而造成无法发现和清除用户系统里面正在运行的灰鸽子后门程序。
SREng 2.4 版本新增功能
在 System Repair Engineer (SREng) 2.4版本里面,增加了详情显示和高级操作模式。只需要在Pop窗口里面点击“查看详情”文字就可以看到高级操作模式的操作对话框。
[img]http://i213.photobucket.com/albums/cc112/pingring/api2.jpg[/img]
在详细信息操作对话框里面,除了能够显示API是由谁HOOK的以外,还能够对入口点错误类型的API进行还原。只需要点击修复入口点错误按钮即可。
修复入口点以后,再查看服务列表,会发现修复前不能发现的灰鸽子远程后门软件的服务已经出现在服务列表里面了。这是因为API HOOK入口点修复完成以后,依靠API HOOK来实现自我隐藏功能已经失效所致。
[IMG]http://i213.photobucket.com/albums/cc112/pingring/api_hook_v2_3.jpg[/IMG]
[table=98%][tr][td]注意事项:
[list=1][*]一些正常的安全软件也会对一些API进行HOOK操作以实现安全监控功能。这类软件一般都会有明确的标示信息,例如拥有自己的数字签名或文件是存在在厂商自己的软件安装目录之下。[*]对于使用驱动程序进行 HOOK 的软件,例如 Kaspersky Antivirus 6.X,受制于操作系统的权限控制限制,System Repair Engineer (SREng)无法获得具体的文件路径,而只能显示HOOK指向的目标地址。[/list][/td][/tr][/table]
下表归纳了一些重要的基本API,如果发现这些API中的某一个或者多个被HOOK了,那么就需要非常小心的检查是否有Rootkits的存在了。
[table=98%,#bcddff][tr][td]API 函数名里面含有 [b]Enum、Query、First、Next[/b] 字符字样的所有API均属于需要特别关注的API。如:
[list][*]FindFirstFileA[*]FindFirstFileW[*]FindFirstFileExA[*]FindFirstFileExW[*]FindNextFileA[*]FindNextFileW[*]RegEnumKeyA[*]RegEnumKeyW[*]等……[/list][/td][/tr][/table]
[img=11,11]mk:@MSITStore:E:\SREngHelp2.chm::/images/arrowrt.gif[/img][b]System Repair Engineer API HOOK 详细信息指示以及恢复功能[/b]
[indent]入口点修复和HOOK详细信息指示功从 System Repair Engineer (SREng) 2.5 版本开始支持。[/indent]
[[i] 本帖最后由 wing13 于 2008-3-1 23:18 编辑 [/i]] 留位,工程进行中 留位,工程进行中 :lol :lol :lol :lol :lol :lol 留意。。。。 昨天有个朋友给了一个给我
貌似是个好东西
顶顶^_^
页:
[1]