下面,我就SREng日志的各个项目简单解读下.
启动项目
注册表
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run]--------所对应注册表的键值,它会在系统启动后加载里面的信息.
<ctfmon.exe> <C:\windows\system32\ctfmon.exe> [(Verified)Microsoft Windows Publisher]
|____对应在注册表的名称 |______对应的数据 |____这个文件的版权信息,(Verified)表明已经通过了SRENG的验证
==================================
启动文件夹
[WNSO]
<C:\Documents and Settings\All Users\「开始」菜单\程序\启动\WNSO.lnk --> C:\PROGRA~1\COMMON~1\RGGZS\WNSO.exe [软告工作室]><N>
这个相对简单些.就是在「开始」菜单\程序\启动里的快捷方式, 箭头所表达的是这个快捷方式的目标.
==================================
服务(在运行中输入:services.msc可快速打开服务管理)
[SQLSERVERAGENT / SQLSERVERAGENT] [Stopped/Manual Start]
|_____显示名 |______服务名 |__状态 |___启动方式
<C:\PROGRA~1\MICROS~4\MSSQL\binn\sqlagent.exe><Microsoft Corporation>
|______是这个服务的文件. |__同上,文件的版权信息.
==================================
驱动程序
[Service for Realtek AC97 Audio (WDM) / ALCXWDM][Running/Manual Start]
<system32\drivers\ALCXWDM.SYS><Realtek Semiconductor Corp.>
同服务的差不多,不再重复.
==================================
浏览器加载项(这个包括有:BHO钩子, 按钮和右键等项目)
[FGCatchUrl]
{2F364306-AA45-47B5-9F9D-39A8B94E7EF7} <E:\Program XP\FlashGet\jccatch.dll, [url]www.flashget.com[/url]>
|_____CLSID |___对应的文件 |__版权
==================================
正在运行的进程
[PID: 1528]--------进程号 [C:\windows\Explorer.EXE]--------文件的位置 [Microsoft Corporation,-------文件的版权 6.00.2900.2180 (xpsp_sp2_rtm.040803-2158)]-------------文件的版本号
-----------------这是一条进程
[C:\windows\system32\Normaliz.dll]--------文件的位置 [Microsoft Corporation,-------文件的版权 6.0.5441.0 (winmain(wmbla).060628-1735)]-------------文件的版本号
------------------这是EXPLORER的一个模块
==================================
文件关联
.TXT OK. [%SystemRoot%\system32\NOTEPAD.EXE %1]
|__文件类型 |__状态 |___用什么程序打开
==================================
Winsock 提供者
WINSOCK 是在Windows进行网络通信编程的API接口,也是Windws网络编程的事实标准.
如果其出错了,则会无法上网.
==================================
Autorun.inf
这个一般是中了U盘病毒才会出现,但不绝对.其格式如下:
[AutoRun]
OPEN=OSO.exe------------------------一旦双击就运行这个文件.
shellexecute=OSO.exe----------这个不是很明白,哪位懂的指点一二
shell\Auto\command=OSO.exe---------在磁盘上击右键时出现一个Auto选项,点击出会运行OSO.exe
==================================
HOSTS 文件
HOSTS文件是一个主机到IP地址的映射列表(优化大师的快速域名解释功能应该是通过改这个文件).
一般情况下只有一个:
127.0.0.1 localhost
360等辅助工具会用这个功能进行些不良网站的屏蔽,但一些更高级点的病毒已经不再使用此方法了~