龙族sreng安全培训课程一.docx
- 文档编号:15316322
- 上传时间:2023-07-03
- 格式:DOCX
- 页数:69
- 大小:60.42KB
龙族sreng安全培训课程一.docx
《龙族sreng安全培训课程一.docx》由会员分享,可在线阅读,更多相关《龙族sreng安全培训课程一.docx(69页珍藏版)》请在冰点文库上搜索。
龙族sreng安全培训课程一
励志篇 我的SRENG之路
版权所有dyd龙之都-龙文化门户友情提供
因岁数大一点,文化只有初中文凭(全日制,后函授大专),英语字母也认不全(初中毕业英语才考了二十几分),所以以前未接触SRENG
同时由于自己早早接触了电脑,从上班起见到的PC1500机(用BASIC编写命令的那种),后接触到286、386、486到现在的机型,多少对电脑有点知识,但因家里没电脑一直未上网。
三年头有了电脑才上网,先是游戏后发现论坛不错有好软件,二年前就加入论坛,先是在电脑救助区发表回复,经半年多回复,并救助区缺人手,经申请加入版主,才一步一步做过来。
在做版主时常看到SRENG日志,开始不知道怎么看,后见多了就到病毒求援区去找那版主请教,多少知道一些了,但自己英语在差怎么办?
第一步先是死记硬背(最笨人法)
好在单位能打印,自己管理着(有花公家钱之嫌),为学习就打了七张纸的自己机器的SRENG日志,字体大了一点,然后就是死记硬背了,将自己机器上的所有项都能背个差不多。
第二步看人家怎么分析
多看以前人家分析,当然是找精英、技术、版主分析,看了以后分析为什么要删除那个这个文件。
第三步是试着分析
先试着分析,感觉自己分析差不多了就跟贴回复,就是回复,用XB删除文件,然后删除注册、服务、驱动,有时未整理,自己都感觉比较乱,好在版主们不太烦,只是扣分、删除回复,就去请教。
请教后才知道还有分析助手,学了二月才知道还有分析助手,唉,没人说自己学不一样,用上分析助手就是不一样省事多了,回复质量好多了。
第四又到了第一步了
为什么到第一步了,原来自己机器上只有一些,与所有比还差远那,就看分析心得及白名单,这些是要记住的,这没有好法,只有死记。
第五步是再分析
对人家分析好的自己再分析再比较,能过分析比较自己与他们的分析找出自己错误,发现他们分析的理论,并用谷歌经常查找。
第六步全新分析
对出现的日志拿出来自己全面的方案,这方面得认真细致不能不错,如出错会使得救助人员的机器崩了的,所以对自己看到不对地方先用分析助手右键删除功能转到分析中,然后再查找是不是有问题。
有时自己也会出错,也会被扣分,要虚心听取对方说明,如看到有人分析错了,少的只是补充说明一下,不加任何其他言语,错多了自己再拿出自己方案,回复的同时也是看个人交流的认知程度,这样可避免不必要的麻烦和他人的误解及言词。
第七步不断更新知识
现出现病毒层出不尽,要不断更新自己所回复所用工具及各种病毒处理方案,有不少新病毒在日志中找不到那几个文件所在,需更新最新处理方案并记在心中或更新到自己空间及博客中,如再出现类似或变种,直接拿来用即可。
分析要全面,最后要拿出来一整套方案才能算是合格,通过半年多的实践和帮助人才能锻炼出自己的看日志功力,才能得到大家的认可,这是一个学习----实践-----再学习-----再提高的过程。
学会SRENG的同时也就学会了其他日志的分析,可举一反三,学以至用,并再进一步学习各个工具及破解、分析病毒机理方面努力。
在此只是以理论学习方向写了一些人个学SRENG一个小方面的经历,写的不足之处,望大家指正。
技巧篇 进程分析的基本方法
笨巧果
今天主要是学习了分析系统的当前进程。
有以下几点收获:
一、养成使用搜索引擎的好习惯
遇到不明白的上网搜一搜,遇到可疑文件上网搜一搜。
XX、Google都是很好的工具,尤其推荐使用Google。
另外网上有很多的系统进程查找网站,也可以告诉大家:
哪些是系统进程,哪些不是系统进程,又有哪些系统进程很容易被病毒木马所利用。
举例:
[C:
\WINDOWS\System32\Ly_Server2008Key.DLL]我觉得这个文件很奇怪,到了Google一搜,果然是木马。
再一看,下面还写着它的附属文件有*.dll,*.dll,*.dll等等。
回去一看日志,得了,一窝“耗子”,连大带小,全端了。
二、注意公司签名和版本号
(一)没有签名的重点排查
一般来说,没有签名的重点排查。
举例:
如下的情况要重点怀疑。
[C:
\WINDOWS\system32\ddserh.dll] [N/A,]
[C:
\WINDOWS\system32\zefdst.dll] [N/A,]
[C:
\WINDOWS\system32\mfdesy.dll] [N/A,]
[C:
\WINDOWS\system32\wklsdd.dll] [N/A,]
但是不等于没有签名就是病毒,有签名的就万无一失。
举例:
[C:
\ProgramFiles\WinRAR\rarext.dll] [N/A,] 事实上,这是winrar的正常文件。
[C:
\ProgramFiles\KasperskyLab\KasperskyAnti-Virus6.0\avp.exe][N/A,] 稍微有点电脑知识的人,应该能看出这个是什么吧?
郁闷不?
公司名,居然是[N/A]……搞不懂卡巴公司在搞什么……
[C:
\WINDOWS\system32\inf\svchostc.exe] [MicrosoftCorporation,5.1.2600.2180(xpsp_sp2_rtm.040803-2158)]
公司签名,版本号齐了。
[C:
\WINDOWS\system32\dgsfgdljv.dll][MicrosoftCorporation,5.1.2600.2180(xpsp_sp2_rtm.040803-2158)]
[C:
\WINDOWS\system32\pserspxvh.dll][MicrosoftCorporation,5.1.2600.3119(xpsp_sp2_gdr.070416-1301)]
这两个更牛,公司签名和版本号足能以假乱真,可它们是不折不扣的病毒。
作为初学者,我几乎被骗过去。
好在我用了下面的几招。
(二)不要迷信微软
有些病毒模仿微软的功夫,已近于“炉火纯青”。
但是“魔高一尺,道高一丈”,我们只要锻炼出一副“火眼金睛”,还是能够把它打回原形的。
这是别人提醒我才注意到的一个木马:
[C:
\WINDOWS\system32\NTNSDKWOW.dll][MicrosoftCorporation,5.1.2600.3099]
只要Google一下就真相大白了。
三、注意文件名
(一)注意奇怪的文件名
文件名如果很奇怪,一定要重点排查。
因为有些木马为了躲避查杀,会随机生成一些奇怪的文件名。
如:
[C:
\WINDOWS\system32\gv5f20tkb.dll]
(二)注意错误的系统文件名
另外要注意系统文件的名称是否正确无误。
举例:
svchost.exe会不会是svchostc.exe,svch0st.exe;explorer.exe会不会是exp1orer.exe、exp10rer.exe等。
[C:
\WINDOWS\system32\svchostc.exe] [MicrosoftCorporation,5.1.2600.2180(xpsp_sp2_rtm.040803-2158)]
这个的文件名就不对,多了一个c。
(三)注意一些根本就不存在的伪系统文件
有一些病毒为了把“狼外婆”的形象披上合法的外衣,处心积虑地把自己打扮成系统的“小绵羊”。
举例:
在C:
\WINDOWS\system32下放进一个win.exe什么的。
恐怕大多数人都不太敢动它。
(四)注意一些伪装成其它正常文件的木马
举例:
比较有名的Auto病毒RavMone.exe就是借了瑞星的RavMond.exe的外套。
这一点基本和上面说的相似。
四、注意文件路径
(一)重点关注系统关键路径下的文件
系统最关键的路径一般有(C:
\WINDOWS,C:
\WINDOWS\system,C:
\WINDOWS\system32等)。
大多数菜鸟对于系统文件有惧怕感,生怕弄坏了。
病毒作者抓住了这一特点,极其喜欢把病毒木马文件放在在这些地方,来伪装系统文件。
举例:
C:
\WINDOWS\system32\system.exe,还有前面提到的C:
\WINDOWS\system32\win.exe等是根本不存在的。
如果在系统关键路径下发现奇怪的文件一定要重点排查。
(二)注意错误的系统文件路径
如果本来该老老实实地呆在某系统文件夹下的文件,却“乾坤大挪移”跑到了其它的文件夹下,那不是病毒是什么呢?
连犹豫都不要忧郁,直接“查杀”。
举例:
[C:
\ProgramFiles\EPSON\smss.exe]smss.exe本是C:
\WINDOWS\system32下的文件,现在却明珠暗投,投到了EPSON门下,莫非叛变投敌变成了EPSON打印机的幕僚?
?
恐怕用脚后跟考虑考虑,都能知道这个是病毒了。
还有[C:
\WINDOWS\system32\inf\svchost.exe] [MicrosoftCorporation,5.1.2600.2180(xpsp_sp2_rtm.040803-2158)]。
其中的inf文件夹,显然是错误的。
五、嵌入绝大多数进程的文件
如果一个文件嵌入绝大多数进程,一定要重点排查一下。
比如:
[C:
\WINDOWS\system32\NTNSDKWOW.dll][MicrosoftCorporation,5.1.2600.3099]就会嵌入绝大多数进程。
[C:
\WINDOWS\System32\Ly_Server2008Key.DLL] [N/A,]这个也是嵌入了绝大多数进程。
六、要尽快熟悉系统的文件名及其正确路径
这一点很困难,希望随着学习的进程,我能逐渐熟悉起来。
记住正确的,才不会被错误的所蒙蔽。
我正在整理lg560852版主的那份系统进程,想给它们都加上完整的路径,作为一份资料。
如果整理完了,我就传到论坛上来。
但是未来一段时间,我的工作会很忙,我尽力吧。
七、实在确定不下来的文件可以上传到多引擎测试一下
这个网址是dyd版主给的。
八、文件没有搜索到怎么办
如果文件经过搜索却没有找到,那么基本可以肯定这个文件有问题。
如:
[C:
\WINDOWS\system32\dgsfgdljv.dll][MicrosoftCorporation,5.1.2600.2180(xpsp_sp2_rtm.040803-2158)]
[C:
\WINDOWS\system32\pserspxvh.dll][MicrosoftCorporation,5.1.2600.3119(xpsp_sp2_gdr.070416-1301)]
这两个文件在搜索引擎没有找到,装的太像系统进程了,实在不像我们党国的精英,倒是像共××军的奸细,完全可以确定是病毒。
如果为了稳妥起见,可以上传到多引擎测试一下
最后做下总结。
学习SRE的道路还很长。
我写的这个东西肯定谬误也很多,欢迎大家拍砖。
拍来的砖,我照单全收。
收下来盖大桥,盖一座引导初学者走向成功彼岸的大桥。
实例篇 实例分析
dyd
本次的教程是整理的,先通过两个实例分析后加缀资料部分,并通过各位练习才能达到教学的目的,开头只是个引子,下面为正式开始了,各位要仔细学习了,并能举一反三最好,通过学习SRENG日志能把其它几种也能看明白就行了,并使用常用的各种工具即可了,到学习完这个教程后才开始学习虚拟机下测试一下病毒。
实例分析
(一)
将进程部分实例简单分析一下,正常进程部分教程中有了我不再用重复了,就是把病毒部分说明一下。
==================================
正在运行的进程
[PID:
620/SYSTEM][\SystemRoot\System32\smss.exe][MicrosoftCorporation,5.1.2600.2180(xpsp_sp2_rtm.040803-2158)]
[PID:
688/SYSTEM][\?
?
\C:
\WINDOWS\system32\csrss.exe][MicrosoftCorporation,5.1.2600.2180(xpsp_sp2_rtm.040803-2158)]
[PID:
720/SYSTEM][\?
?
\C:
\WINDOWS\system32\winlogon.exe][MicrosoftCorporation,5.1.2600.2180(xpsp_sp2_rtm.040803-2158)]
[C:
\WINDOWS\system32\Ati2evxx.dll][ATITechnologiesInc.,6.14.10.4124](ATI显卡的驱动)
[PID:
772/SYSTEM][C:
\WINDOWS\system32\services.exe][MicrosoftCorporation,5.1.2600.2180(xpsp_sp2_rtm.040803-2158)]
[PID:
784/SYSTEM][C:
\WINDOWS\system32\lsass.exe][MicrosoftCorporation,5.1.2600.2180(xpsp_sp2_rtm.040803-2158)]
[PID:
948/SYSTEM][C:
\WINDOWS\system32\Ati2evxx.exe][ATITechnologiesInc.,6.14.10.4124](ATI显卡的驱动)
[C:
\WINDOWS\system32\Ati2edxx.dll][ATITechnologies,Inc.,6,14,10,2499](ATI显卡的驱动)
[PID:
976/SYSTEM][C:
\WINDOWS\system32\svchost.exe][MicrosoftCorporation,5.1.2600.2180(xpsp_sp2_rtm.040803-2158)]
[PID:
1068/NETWORKSERVICE][C:
\WINDOWS\system32\svchost.exe][MicrosoftCorporation,5.1.2600.2180(xpsp_sp2_rtm.040803-2158)]
[PID:
1172/SYSTEM][C:
\WINDOWS\System32\svchost.exe][MicrosoftCorporation,5.1.2600.2180(xpsp_sp2_rtm.040803-2158)]
[PID:
1344/NETWORKSERVICE][C:
\WINDOWS\system32\svchost.exe][MicrosoftCorporation,5.1.2600.2180(xpsp_sp2_rtm.040803-2158)]
[PID:
1428/LOCALSERVICE][C:
\WINDOWS\system32\svchost.exe][MicrosoftCorporation,5.1.2600.2180(xpsp_sp2_rtm.040803-2158)]
[PID:
1584/SYSTEM][C:
\WINDOWS\system32\spoolsv.exe][MicrosoftCorporation,5.1.2600.2696(xpsp_sp2_gdr.050610-1519)]
[C:
\WINDOWS\system32\KMPMONNT.DLL][ConexantSystems,Inc.,0.0.0.1](打印机的驱动)
[C:
\WINDOWS\system32\KMdgimon.dll][ConexantSystems,Inc.,1.0.0.1](打印机的驱动)
[PID:
1768/SYSTEM][C:
\WINDOWS\system32\KMDEVMONSRV.exe][N/A,](打印机的驱动)
[C:
\WINDOWS\system32\KMdgimon.dll][ConexantSystems,Inc.,1.0.0.1]
[C:
\WINDOWS\system32\GDJZI32.dll][N/A,](这个文件多地方进程加入,没有签名,病毒文件)
[C:
\WINDOWS\system32\GDQQHXI32.dll][N/A,](这个文件多地方进程加入,没有签名,病毒文件)
[PID:
1820/SYSTEM][C:
\WINDOWS\system32\KMdevmonx.exe][ConexantSystems,Inc.,1.0.0.1]
[C:
\WINDOWS\system32\KMdgimon.dll][ConexantSystems,Inc.,1.0.0.1]
[C:
\WINDOWS\system32\GDJZI32.dll][N/A,](又出现了)
[C:
\WINDOWS\system32\GDQQHXI32.dll][N/A,](又出现了)
[PID:
1832/SYSTEM][C:
\ProgramFiles\JiangMin\AntiVirus\kvsrvxp.exe][JiangminCo.,Ltd.,10,0,7,1113](此为江民的程序)
[C:
\WINDOWS\system32\HiveBase.dll][JiangminCo.,Ltd.,1,0,7,717]此为江民的驱动,以下不再重复了,并那个N/A也是)
[C:
\WINDOWS\system32\kvinstall.dll][JiangminCo.,Ltd,2,0,7,831]
[C:
\ProgramFiles\JiangMin\AntiVirus\SvcSafe.dll][JiangminCo.,Ltd.,11,0,7,1022]
[C:
\ProgramFiles\JiangMin\AntiVirus\lang\SvcSafe0804.lng][N/A,]此为江民的驱动,以下不再重复了
[C:
\ProgramFiles\JiangMin\KVOL\autoUpdate.dll][JiangminCo.Ltd,2,0,7,1031]
[C:
\ProgramFiles\JiangMin\Kernel\Scan.dll][JiangminCo.,Ltd.,2,0,7,1104]
[C:
\ProgramFiles\JiangMin\Kernel\EngFace.dll][JiangminCo.,Ltd.,2,0,7,1125]
[C:
\ProgramFiles\JiangMin\Kernel\UNACE.dll][N/A,]此为江民的驱动,以下不再重复了
[C:
\ProgramFiles\JiangMin\AntiVirus\FileGuardNT.dll][JiangminCo.,Ltd.,11,2,7,1120]
[C:
\ProgramFiles\JiangMin\AntiVirus\NetGuard.dll][JiangminCo.,Ltd.,2,0,7,1115]
[C:
\ProgramFiles\JiangMin\common\KvTxd.dll][JiangminCo.,Ltd.,10.0.6.1106]
[C:
\ProgramFiles\JiangMin\antivirus\KVAutoLS.dll][JiangminCo.Ltd,2,0,7,904]
[C:
\ProgramFiles\JiangMin\common\KvTrustService.dll][JiangminCo.,Ltd.,10,0,7,1119]
[C:
\ProgramFiles\JiangMin\common\KvTools.dll][JiangminCo.,Ltd.,2,0,7,924]
[C:
\ProgramFiles\JiangMin\AntiVirus\GuardPS.dll][JiangminCo.,Ltd.,2,0,7,822]
[C:
\ProgramFiles\JiangMin\common\KvTrust.dll][JiangminCo.,Ltd.,10,0,7,1128]
[C:
\ProgramFiles\JiangMin\common\KvTrustServicePS.dll][JiangminCo.,Ltd.,10,0,7,918]
[C:
\ProgramFiles\JiangMin\KVOL\UpdatePlugIn.dll][JiangminCo.,Ltd.,1,0,6,831]
[PID:
2016/LOCALSERVICE][C:
\WINDOWS\system32\wdfmgr.exe]
[MicrosoftCorporation,5.2.3790.1230builtby:
dnsrv(bld4act)]
[C:
\WINDOWS\system32\GDJZI32.dll][N/A,](又出现了)
[C:
\WINDOWS\system32\GDQQHXI32.dll][N/A,](又出现了)
[PID:
668/new][C:
\WINDOWS\system32\Ati2evxx.exe][ATITechnologiesInc.,6.14.10.4124]
[C:
\WINDOWS\system32\GDJZI32.dll][N/A,](又出现了)
[C:
\WINDOWS\system32\GDQQHXI32.dll][N/A,](又出现了)
[C:
\WINDOWS\system32\Ati2edxx.dll][ATITechnologies,Inc.,6,14,10,2499]
[C:
\WINDOWS\system32\LotusHlp.dll][N/A,](这个文件多地方进程加入,并没有签名,要注意了,然后谷歌)
[C:
\PROGRA~1\TENCENT\SSPlus\SPlus.dll][TENCENT,5,0,1,31]
(这是个小插件,是安全的,但有些人认为占用资源,在病毒分析中一般不做处理)
[PID:
1312/new][C:
\WINDOWS\Explorer.EXE][MicrosoftCorporation,6.00.2900.3156(xpsp_sp2_gdr.070613-1234)]
[C:
\WINDOWS\system32\GDJZI32.dll][N/A,](又出现了)
[C:
\WINDOWS\system32\GDQQHXI32.dll][N/A,](又出现了)
[C:
\ProgramFiles\JiangMin\AntiVirus\KsPec.dll][JiangminCo.,Ltd.,1,0,7,903]
[C:
\ProgramFiles\JiangMin\common\KvTrust.dll][JiangminCo.,Ltd.,10,0,7,1128]
[C:
\ProgramFiles\JiangMin\common\KvTools.dll][JiangminCo.
- 配套讲稿:
如PPT文件的首页显示word图标,表示该PPT已包含配套word讲稿。双击word图标可打开word文档。
- 特殊限制:
部分文档作品中含有的国旗、国徽等图片,仅作为作品整体效果示例展示,禁止商用。设计者仅对作品中独创性部分享有著作权。
- 关 键 词:
- 龙族 sreng 安全 培训 课程