我不太喜欢加一些耸人听闻的标题,但是SREng(System Repair Engineer)绝对担当的起这些震憾性的标题,SREng由KZTechs.COM的站长编写的系统信息分析工具.本人水平有限,在这里简单介绍一下SREng的基本使用,希望大家能够尽快熟悉这把绝世好剑.
一直以来,最好的清除恶意软件的程序,不是杀毒软件,而是和SREng同类型的分析型工具.他们几乎把系统的所有可疑物全部列在我们的面前,由我们来做最后的甄别.当然了,这又是对技术的一项要求,但是,SREng是现有的工具中操作最简单,智能识别能力最好的软件,只要你够细心,一定能够发现恶意程序在系统中的蛛丝马迹.
-----------------原作者简介--------------------
附原作者简介
什么是 System Repair Engineer?
System Repair Engineer (SREng) 是一款计算机安全辅助和系统维护辅助软件。主要用于发现、发掘潜在的系统故障和大多数由于计算机病毒造成的破坏,并提供一系列的修改建议和自动修复方法。 该软件是由 KZTechs.COM 网站站长 Smallfrogs 开发的,能够运行在所有主流的 Windows 操作系统上。
在 System Repair Engineer (SREng) 的帮助下,您可以自己诊断您操作系统可能存在的普遍性问题,即使您是计算机的初学者,您也可以使用 System Repair Engineer (SREng) 的智能扫描功能将您系统的概况生成一份简要的日志,然后将该日志传送给对操作系统熟悉的朋友或网友,在他们的帮助下解决您系统可能存在的问题。
-------------------原作者简介结束--------------------
废话少说,开始.
打开SREng,该软件为绿色,免费软件,软件下载地址:
http://www.kztechs.com/sreng/download.html 软件主界面(图0)
软件打开之后,就立刻开始检查被修改的系统函数,如图1.
点击查看详情,会弹出对话框,可以在这里查看所有被被修改的函数.(图3)
这幅例图我使用作者提供的被灰鸽子修改了入口的报警图,这样更明显一些,修复了例图中的入口点之后,在服务里就能看到原来隐藏的灰鸽子服务端.OMG,太强悍了.
请大家务必仔细阅读这篇帮助,但请注意不是所有的修改都是恶意的,系统优化软件等等都可能造成系统入口函数改变.如超级兔子就会根据优化内容修改.
--------小知识:什么是API HOOK-----------
原文地址
http://www.kztechs.com/sreng/help2/apihook.htm 这里我简单总结一下,API就像一个组件库,程序员可以通过自己的核心代码+API这种组件的方式来轻松完成需要更多自主代码才能完成的程序功能,API是Windows系统特有的技术,属于正常的系统文件.而APIHOOK就是一种用于改变API函数结果的技术.说到这里,大家也就明白这个东西为什么这么重要了,修改系统,这不就是恶意软件的最终目的吗?
----------小知识结束------------------------------
继续,SREng的主菜单非常简单,一个是工具,一个是帮助.
工具菜单下只有一个检查新版本是需要我们经常检查的.选项可以保持默认.发稿时我使用的是2.4.12.806版本.如果你有兴趣,可以向作者索取2.5.13.896的测试版.
左侧的第一个工具按钮关于SREng,其实就是一个简单的介绍文件,过.
启动项目,系统修复,智能扫描这三个是软件的核心功能,我们一个一个看.
一. 点击启动项目,图4
在这里,我们能够看到几乎所有的启动项,第一个显示的就是注册表标签,最常见的病毒和木马启动隐藏项.ok,不需要的删除吧,不要再抱怨你的机器启动速度过慢了.如果出现红色标记的文件,后面却没有明确的文件,就需要注意一下了,我的意见很简单,可以把它们删掉,实际上,启动项里全空也不影响系统启动,只不过开机之后,需要再打开常用程序,稍为麻烦点而已.
ok,其它几个标签也是一样检查,中间六个标签病毒和木马用的比较少,因为现在的木马技术更高级了,驱动级和服务级变的越来越常用,这就需要我们关注最后一个标签,服务.
服务项包含了两个选项,一个是Win32服务应用程序,一个是驱动程序.
1.Win32服务应用程序,这里就是我们常说的系统服务,木马和恶意软件最喜欢的地方.启动之后,列出了长长的一串,有点晕是吧,没有关系.看到选项"隐藏已认证的微软项目"了吗?OK,选上,嚯嚯.是不是少了很多.已经经过验证的正常服务被隐藏了,现在剩下的全部是第三方程序注册的服务了.检查一下可疑的吧.(图5)
2.驱动程序的使用方法相同,也是勾选上"隐藏已认证的微软项目"之后再检查
二.系统修复
这一部分相对来说就简单多了.
1.文件关联.如果被病毒破坏了文件关联,可以在状态列看到被打上勾的格式,检查确系被破坏的,可以直接点修复完成.
2.Windows Shell /IE这一部分是调整注册表来完成系统设置,是不是很像系统优化软件的东东,哈哈.这些设置在超级兔子,Windows优化大师,WinXP总管里都能见到,愿意用哪个调随你的喜好了.
3.浏览器加载项,就是我们俗称的浏览器插件.这里需要注意一下,SREng只检查IE浏览器,如果你安装了第三方独立内核的浏览器,在这里是检查不出来的.OK,不需要的,喀嚓掉吧.
描述栏里描述了该加载项的类型.可以点击窗口下方的帮助来具体查看是何种加载项
PS:推荐一下,除了杀毒软件内置的插件和一到两个下载插件之外,就不要再多装了,严重影响IE的反应速度
PS的PS:我们常说的恶意插件,几乎都会在这里留下它们可爱的足迹,所以,检查的时候,务必要仔细.
4.HOSTS,这个文件自从9X以来就存在了,用途:浏览器首选在HOSTS中寻找网址对应的IP,然后是临时文件夹,最后再上网寻找DNS解析,更详细的流程可以查阅相关资料.HOSTS文件也是屏蔽我们恶心的网站的一个好方法,只要把你不想去的网站IP加为127.0.0.1,浏览器就永远认不出某个网址了.(图6)
[img]http://www.chinadforce.com/attachments/day_070628/zbw2_BAFLu6qxuvuP.jpg[/img]
[img]http://www.chinadforce.com/images/attachicons/image.gif[/img]
添加格式,点新建.IP地址写127.0.0.1,主机名字写需要屏蔽的网址,确定即可.(图HOSTS)
[img]http://www.chinadforce.com/attachments/day_070628/HOSTS_HntCPrRoGtc8.jpg[/img]
[img]http://www.chinadforce.com/images/attachicons/image.gif[/img]
如果你喜欢的网址IP固定,也可以在这里添加,这样,网址不会由DNS解析,速度会加快.
5.WinSock提供者.
--------小知识:什么是WinSock-------
winsock是用来网络传输的控件,可进行Tcp/ip和udp协议,但帮定端口的形式不一样,winsock可传输字符串和字节,但字节更安全准确,网络传输时,客户端和服务器端,tcp协议,帮定形式不同,Udp基本一样,确定连接时connectionRequest事件,接收数据 dataArray事件
---------小知识结束----------------
还是总结一下,winsock是用来进行网络编程的一个东东.弄不清楚的话,就关注一下发行商吧,除了微软的,其它要注意一下.
6.高级修复,这是前面几项的一个综合,一般只要使用推荐修复级别就可以了
三.智能扫描
这个部分可以智能扫描出前面定义出问题的部分,根据情况进行选择,最后会扫描出一份详细的报告.扫描出的报告可以另存为文件文档,方便传送给维护人员进行分析.图7
[img]http://www.chinadforce.com/attachments/day_070628/zbw3_wec5heaRUiO7.jpg[/img]
[img]http://www.chinadforce.com/images/attachicons/image.gif[/img]
扩展部分:
作者提供了外接口,可以编写自己的插件,现在可用的插件并不多,如果不放心的话,就不要安装了,只要把文件夹下的Plugins下的相关插件删除就可以了.
写的比较啰嗦,不好意思.
在打开的时候,SREng会访问网络(a001.woowoo.cn),被我的卡巴拦截了,实际这是个升级地址信息获取的网址.如果不放心的话,可以屏蔽,不影响使用.
HijackThis也是同类型的工具,但其针对性过强,(只对IE),而且对于DLL劫持等新型技术显的无能为力,这也让我现在越来少的使用它.期待HijackThis的下一个版本吧.
SREng现在已经被病毒盯上了,如果你的SREng已经损坏,那么下载一个新的,如果还是打不开,恭喜你,十有八九你已经中招了.因为它是绿色软件,不会因为系统注册表损坏等等系统问题而崩溃
再说句题外话,个人意见,除了你自己编写的程序之外,你永远不知道程序员在程序之内放置了什么代码,尽管他们赌咒发誓,呵呵.软件的技术含量之高,远超我们的相像,这也是我推崇开源的一个主要原因,但是程序员也是要吃饭的,难难难.
微博帐号登录