学看SREng 日志分析 报告

《学看SREng 日志分析 报告》由会员上传分享，免费在线阅读，更多相关内容在工程资料-天天文库。

1、学看SREng日志分析报告.<上>2008年09月05日星期五13:29学看SRE报告————第一讲很早就想写，关于如何看SRE报告的文章。只是这东西，我觉得不是用文字，就能完全表达清楚的。做为教程的第一帖，我先讲一下SRE报告的“结构”。掌握了结构，大家就不会对满屏的英文，感到头疼了。一。SRE报告整体结构说明一份完整的SRE报告，分为如下13部分：1.注册表启动项目2.启动文件夹3.系统服务项目4.系统驱动文件5.浏览器加载项6.正在运行的进程（包括进程模块信息）7.文件关联8.Winsock提供者9.Autorun.inf10.HOSTS文件11.进程特权扫描12.APIHO

2、OK13.隐藏进程其中，判断一台电脑，是否存在异常，主要是查看：1.注册表启动项目3.系统服务项目4.系统驱动文件6.正在运行的进程8.Winsock提供者9.Autorun.inf10.进程特权扫描在这次的教程中，我先讲解第一项：注册表启动项目，的结构看法。二。SRE报告——注册表启动项目，结构讲解在任何一份SRE报告中，注册表启动项目，都有相同的结构，我下面随便举个例子：[HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionRun]   

3、/logon>[(Verified)MicrosoftWindows2000Publisher]第一行：[HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionRun]，代表的是：这个启动项目，在注册表中的详细位置。第二行：[(Verified)MicrosoftWindows2000Publisher]，由三部分组成：1.，这个项目，是指该启动项，在注册表中的名称。不同的启动项目，

4、自然名称也不会相同。2.，这个项目，分两种情况：⑴对于（经过验证的）系统关键文件，SRE则直接列出该项目的文件名称，而不给出相应的详细路径。这种文件，一般在后面都会标有“(Verified)”，我后面解释。⑵对于普通文件，则会在这个项目中，给出详细的文件路径和名称，比如：c:windowssystem32abc.exe在我们这次的例子中，是满足：⑴的。引用:说明：这个说法有误。其实在此处，显示的就是该注册表键完整的键值，无论其是否是正常的文件或经过验证的文件。对于键值为相对路径的情况（如Explorer.exe），系统自动遍历环境变量PA

5、TH中的文件夹列表，来查找文件。3.[(Verified)MicrosoftWindows2000Publisher]，这项代表：该文件，是否含有“公司签名认证”SRE这个软件，自身具备了对“系统关键文件”和一些“众所周知的软件的文件”（如：explorer.exe,winlogon.exe,userinit.exe等）的“验证检测”，凡是通过了检测的系统关键文件，SRE在公司名这里，都会标有：Verified，这个英文。换个角度来说：在SRE报告中，凡是出现“Verified”这个英文的启动项目，都100％是正常的启动项目。引用:100%这个说法太绝对了。其实看被机器狗修改的文件

6、就知道，有这个字样，但是没有公司名称，也是有问题的。严格意义上来说，这叫“数字签名验证”，使用的是一定的对称散列算法。总结一下，在SRE报告的：注册表启动项目中，虽然条目有很多，但是，全部都遵守这个结构：【启动项目的详细注册表位置】【启动项目的名称】【启动项目对应的文件的详细路径】【公司签名】我们再来看个例子，大家对照着，看一下：[HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsNTCurrentVersionWinlogon]   [(Verified)MicrosoftWindows2000

7、Publisher]看完这两行，大家应该得到如下结论：●此启动项目名称：Shell●此启动项目对应文件：Explorer.exe●此启动项目在注册表中对应的位置：HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsNTCurrentVersionWinlogon●公司签名：MicrosoftWindows2000Publisher●是否经过SRE“验证”：是（因为有Verified）引用:MicrosoftWindows200