[分享] SREng 操作簡介及惡意程式處理流程簡介

＊HOSTS File的處理與判斷。

Hosts位於C:\WINDOWS\system32\drivers\etc中，若有無法上網或者防軟無法更新的時候，就記得要來檢查一下。
以上圖片是SREng內建的hosts處理功能，正常的hosts因該只有這個項目 127.0.0.1       localhost ，若看到有多的如圖所示，就該把他處理掉囉。
(1)找到問題選項，點選反白。
(2)點選 [Delete] 。
(3)然後點選[是]。
(4)刪除完畢記得按下[Save]存檔，不然有改跟沒改差不多。



熊熊找不到實例，不過基本上只要看到hosts除了127.0.0.1       localhost以外的東西，就可以砍掉了。
但是前面有#號的就可以不用處理。



◆特殊例外狀況說明。
127.0.0.1       bar.baidu.com                   #百度IE搜索
127.0.0.1       3721.com                        #3721
127.0.0.1       3721.net                        #3721
127.0.0.1       cnsmin.3721.com                 #3721
127.0.0.1       cnsmin.3721.net                 #3721
127.0.0.1       download.3721.com               #3721
127.0.0.1       download.3721.net               #3721
127.0.0.1       訪客無法瀏覽此圖片或連結，請先 註冊 或 登入會員 。                    #3721
127.0.0.1       訪客無法瀏覽此圖片或連結，請先 註冊 或 登入會員 。                    #3721
127.0.0.1       zwsw.3721.net                   #3721
127.0.0.1       ad4.sina.com.cn                 #sina
127.0.0.1       ad.cn.doubleclick.net           #sina

這個hosts看起來似乎需要修復，其實不然。
127.0.0.1是本機loopback位址位置，簡單說就是讓連線到這些惡意網站的封包，全部轉送到loopback位址。
所以是一個[預防]瀏覽到惡意網站的措施。


常見小狀況補充說明。
其實判斷hosts部份是否有問題，這是需要看有沒有影響實際使用，曾經有威脅在hosts中加入防毒軟體更新伺服器位置，導致伺服器無法更新，這也需要處理掉。






＊最後的步驟，刪除實體檔案。

使用SREng清除功能所清除掉的都是登錄檔部份，實體檔案也要一併解決掉才能完美落幕。




開啟Icesword主程式，切到File模式。(就是點左下角的File。)




然後在步驟1選單選到目的地位置，然後點要刪除的物件右鍵，點選Delete即可。



真實案例舉例。

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon]
    <Userinit><C:\WINDOWS\system32\userinit.exe,rundll32.exe C:\WINDOWS\system32\winsys16_061220.dll start> [N/A]
這一段看起來似乎有很多部份要刪除，不過請注意，真正要刪除的部份只有紅色標注的winsys16_061220.dll ，藍色標注的則是系統檔案，若刪除可能會造成作業系統損壞，這點請特別注意。

＊Win32 API HOOK說明。


2.4.12.806版SREng，彈跳出API Hook錯誤說明。




或許有人開啟SREng會彈出此視窗，這請不要自行處理，點詳細訊息可以看到詳細路徑。




這些訊息您都不用自行處理，所有訊息都會在報表中呈現，不用擔心版上大大看不到。



至於威脅進入API Hook部份處理，最新版本2.4.12.806已經可以修復，詳細修復操作動作，官方說明非常詳細，我就不贅言了。
訪客無法瀏覽此圖片或連結，請先 註冊 或 登入會員 。



◆特殊例外狀況說明。

==================================
API HOOK
RVA Error:  LoadLibraryA (Dangerous Level: Generic,  Hooked by Module: Dest Addr: 0xAAD4E6E0)
RVA Error:  LoadLibraryExA (Dangerous Level: Generic,  Hooked by Module: Dest Addr: 0xAAD4E820)
RVA Error:  LoadLibraryExW (Dangerous Level: Generic,  Hooked by Module: Dest Addr: 0xAAD4E8E0)
RVA Error:  LoadLibraryW (Dangerous Level: Generic,  Hooked by Module: Dest Addr: 0xAAD4E780)
==================================

這看起來似乎是有威脅利用API Hook達到隱藏目的，其實不然，這只是Kaspersky軟件造成的正常現象，忽略即可。


RVA Error：CreateProcessA (Dangerous Level: Generic,  Hooked by Module: G:\Program Files\360safe\safemon\safemon.dll)
RVA Error：CreateProcessW (Dangerous Level: Generic,  Hooked by Module: G:\Program Files\360safe\safemon\safemon.dll)

這個也有蠻常見到的，安裝360安全衛士會造成這種狀況，一樣忽略即可。






＊Hidden Process的說明。

==================================
Hidden Process
N/A

==================================
這像功能是在 2.4.12.806版本推出的，處於實驗階段，SREng無內建處理程式，只能提供訊息。
這些訊息請勿自行處理，此資訊建議交由版上大大判斷。

至於如何處理，若確認是威脅也不用擔心，他只是在大部分進程管理器(工作管理員)看不到罷了。
Icesword、syscheck都可以看見在運行的隱藏進程，可以從Process功能終止。

基本上今天測試結果，若有任何訊息也不必太緊張，還蠻會誤判的，請見下述例外說明。



真實案例舉例。

Hidden Process
[1976] c:\windows\system32\webpnt.exe
前幾天終於看到真正有問題的了，不過是不是真的是Hide，就不清楚囉。



◆特殊例外狀況說明。

Hidden Process
[461] C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus 5.0 for Windows Workstations\kavsvc.exe
[661] C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus 5.0 for Windows Workstations\klswd.exe
[2145] C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus 5.0 for Windows Workstations\kav.exe

這看起來似乎也是隱藏的進程，不過是Kaspersky進程所以忽略，重點來了。
照理說Hide的定義，因該是會看不到，不過很遺憾，不論在Windows工作管理員，或者任何一款進程管理器，都有辦法看見此進程。

＊可變通應用之工具。
◣清除動作不是只能使用固定工具、固定方法，可以有很多的變通，以上說明的都是較容易上手的方法，以下幾隻工具可以進行變通，請各位自行判斷應用時機。◢

工具(1)--KillBox。


這是KillBox的主介面，相信不少人很熟悉。




假設我們要刪除某個dll檔，首先按下圖片所標示的紅色圖案，在照路徑選取檔案。




因為我們要讓他重開自動刪除，順便卸載Windows登錄，所以要變更幾個設置。
左邊選項選擇到 Delete on Reboot ，右邊選項勾選 Unregister dll Before Delete 。
◣若是只要刪除exe檔，右邊選項則不用選擇。




然後會跳出此視窗，請記得按下"否"，等待全部處理完畢在手動重開。



工具(2)--Gmer


通常啟動Gmer會在Rookit偵測介面，點右上角的>>>就會切到此介面了。
這是Gmer的進程管理介面，隱藏進程會以紅色標示，若要終止進程只要選擇該進程，點右鍵在選擇 KillProcess即可。




這是Gmer的檔案管理介面，進入方法就是在Process介面，按下旁邊的 "Files.."按鈕。
這是啟動Gmer Safe Mode之後刪除實體檔案的方法，找到指定檔案右側有三個鍵可以選擇，簡單英文就不說明了。
至於什麼是Safe Mode，下張圖就會說明。




Gmer的好用功能之一，Safe Mode，進入方法是在Process視窗，按下"Safe.."按鈕。
之後會彈出此警告視窗，按下"是"即進入Safe Mode。
礙於在Safe Mode下無法拍圖，所以只進行文字講解，若有需要的人請注意看。

Gmer的Safe Mode不同於Windows Safe Mode，Gmer的SafeMode下只有執行四個進程(system、System Idle Process、csrss.exe、gmer.exe)。
可以大大減少dll注入機會，惡意程式進程也會無法啟動。
進入Safe Mode常常會跳出錯誤訊息，印象中是顯示這不是Windows的ooxx(忘記了)，這請不要在意，只是安全軟件or惡意進程加載錯誤。

在Safe Mode下只能運用Gmer內建的功能進行處理動作，不能呼叫其他工具，這是Safe Mode美中不足的地方...。




這是Gmer的驅動列表，可惜沒辦法進行直接處理，只能觀賞。




這是Gmer的Services列表，同SREng一樣，可以處理Delete及編輯啟動狀態。




這是Gmer的啟動項偵測功能，剛開來是白的，按下右側的Scan就會自動掃描。




然後會跑出一整串的啟動項，可惜沒辦法處理，按下右側的Copy可以複製全部內容，再去找個地方貼上就可以檢查系統的啟動項了，不過不很實用。




重要功能Rookit偵測，照理說初次使用Gmer會是白的，可是我之前Scan過，所以請別在意。
右側勾勾可以自行勾選要掃描的項目，通常建議是全數勾選，右側也可以勾選要掃描的磁碟機，一樣全數勾選。
之後按下Scan即可掃描。




一樣掃完之後可以按下Copy複製報告，在找一個地方貼上即可。
至於怎麼處理，由於並不是很多威脅會使用Rookit，處理起來也比較麻煩，就先不提了。




這是Gmer的好用功能，有內建註冊表編輯器及命令提示字元，這部份要有一些系統基礎的人比較好操作。




這是Gmer最複雜的功能，可以對系統進行監控，及可以使用Kaspersky引擎掃描，若有興趣研究，就請見官方了。
訪客無法瀏覽此圖片或連結，請先 註冊 或 登入會員 。



工具(3)--syscheck


這是syscheck的進程管理介面，點右鍵有很多選擇，由於都是中文，就不講解了。
至於下面那串，由於我不會用，所以省略囧。




這是服務管理器，可以看到在運行、終止的，也可以點右鍵進行操作管理。




這是修復檢測，修復簡單說就是刪除，圖中顯示的是註冊表的修復檢測，可惜內建項目有點少。




跳過的那些功能，有部份比較深入，有些是在我系統上會有error現象，所以跳過那幾項。
這是內建修復功能，可以修復項目如下。
Winsock-無法上網可以試試看。
磁盤關聯=無法雙擊開啟硬碟。
顯示隱藏=點下去會自動更改資料夾選項顯示隱藏檔。
清理Autorun=經典功能，自動清除所有硬碟上得Autorun.inf，清除之後若無法雙擊開啟，則在使用磁盤關聯修復。




端口查看，簡單說就是Prot查看。




內建搜尋器，這樣在尋找威脅上更加方便，不用經過設置就可以找到Windows內建搜尋找不到的檔案。
還支援批次刪除批次移動、萬用字元、大小過濾等等等..。
不過記得要把右下角過濾微軟文件勾勾取消掉，以免有東西被隱藏。




文件瀏覽，也就是所謂的檔案總管，作者說明可以偵測Rookit。
那個延遲刪除功能就跟KillBox一樣，強制刪除好像並不怎麼強制，我拿來刪除沒卸載的dll刪不掉。




安全環境，也是不錯的功能，類似Gmer Safe Mode，不過沒有那麼完善。
一樣礙於不能拍圖，就在這邊文字說明。
安全環境下會啟動很多系統進程，不過殺軟、危險進程、不相干進程，都會被關閉，加上此款工具內建功能詳細，可以在清淨環境下刪除檔案。
若碰到無法刪除的，使用延遲刪除即可。



工具(4)--ArPick
這是我在對岸挖到的工具，收集樣本超級好幫手，非常實用。


這是主畫面，尋找樣本不再需要一個一個手動找，路徑Copy上去就會自動找了。




按下提取之後，要先找個資料夾存檔。




不過還是得修改資料夾選項，否則這隻工具Copy檔案出來，有些不修改使用者是看不到的..。




通通都提出來了，尋找樣本非常快速。

＊如何學會判斷SREng報表？

  相信不少人都有這個問題，看著版上大大判斷報表好厲害？要怎麼學會看報表？
其實看報表沒什麼了不起，有耐性、有時間、肯搜尋、肯詢問，看久之後一些常出現的就會記起來了，判斷報表也沒什麼不二法門，花時間去學、花時間去研究，久而久之就會瞭解哪個地方有問題了。

  其實處理威脅最困難的不是判斷報表，是運用工具及視狀況而變通，世界工具百百種，處理方法也百百種，不一定哪個對哪個錯，只要最後結果一樣，中間過程都是對的。

  如何判斷報表？我認為沒什麼不二法門，就只有很簡單的『經驗+Google』！



＊更新狀況表。

[2006/12/21][參考相關SREng文章，開始著手製作說明。]
[2006/12/23][SREng簡介出現。]
[2007/01/01][小部份修改及更新，載點更換至Iceword最新版本/增加API HOOK部份簡述說明/增加Icesword刪除實體檔案說明。]
[2007/01/06][增加Icesword/ProcessExplorer結束進程方法。]
[2007/01/18][小部份排版整理，小部份修改API HOOK部份說明，修正圖片小錯誤，增加Reason = 1072錯誤說明。]
[2007/02/23][挪動圖片空間，若發現有錯誤請速告知。]
[2007/02/25][增加Hosts及File Associations例外說明。]
[2007/02/26][Unlocker操作方法及下載點補上。]
[2007/02/28][Winsock Provider案例及例外補充。]
[2007/03/09][Hosts、Running Processes小部份修正。]
[2007/03/10][對應2.4.12.806版本進行說明，增加API HOOK、Hidden Process說明，增修舊有部份說明，錯字修正。]
[2007/03/11][API HOOK、Hidden Process說明修正，文章重新排版整理，錯誤修正，增加無法開啟硬碟說明。]
[2007/03/18][新增五隻工具，Registry編輯使用時機說明，部份錯誤修正，增加幾個小提示。]
[2007/03/29][修正語法錯誤導致標題黏在一起的問題，補上一張文章Logo。]
[2007/04/01][產生日誌注意事項修正，產生日誌方法詳細化，增加常見問題關於檔案感染形worm。]
[2007/04/04][錯誤修正。]