龙族sreng安全培训课程三.docx
- 文档编号:27022414
- 上传时间:2023-06-25
- 格式:DOCX
- 页数:19
- 大小:43.58KB
龙族sreng安全培训课程三.docx
《龙族sreng安全培训课程三.docx》由会员分享,可在线阅读,更多相关《龙族sreng安全培训课程三.docx(19页珍藏版)》请在冰豆网上搜索。
龙族sreng安全培训课程三
实例分析五
版权所有dyd龙之都-龙文化门户友情提供
这次我来对服务及驱动部分一个实例来进行分析一下,只是随意拿来的一个,还不知道难不难写,大致看了下没什么问题,看来简单了,哈哈开始,如是在教程中就有的不再说了,请自行看教程吧,因为在单位没网记多少算多少吧,并不少要简单扼要写了,不能写全了。
==================================
服务(这得说一下,有人会问了为什么有的服务特别少,有的多,如这个是深度版的所以就多一点了,别外多的就是安装软件后增加的服务特别是现本本的服务特别多)
[DCOMServerProcessLauncher/DcomLaunch][Running/AutoStart]
\WINDOWS.0\system32\svchost-kDcomLaunch-->%SystemRoot%\system32\rpcss.dll> [DHCPClient/Dhcp][Running/AutoStart](找个字少的主方写吧,这部分要以教程中的进程自己记得了,以名字、路径、签名为断定方法,下面的均没有问题,不再一个一个加注了,教程中有各自的功能及用处说明) \WINDOWS.0\system32\svchost.exe-knetsvcs-->%SystemRoot%\System32\dhcpcsvc.dll> [COM+EventSystem/EventSystem][Running/ManualStart] \WINDOWS.0\system32\svchost.exe-knetsvcs-->C: \WINDOWS.0\system32\es.dll> [FastUserSwitchingCompatibility/FastUserSwitchingCompatibility][Stopped/ManualStart] \WINDOWS.0\System32\svchost.exe-knetsvcs-->%SystemRoot%\System32\shsvcs.dll> [HumanInterfaceDeviceAccess/HidServ][Stopped/Disabled] \WINDOWS.0\System32\svchost.exe-knetsvcs-->%SystemRoot%\System32\hidserv.dll> [Server/lanmanserver][Stopped/Disabled] \WINDOWS.0\system32\svchost.exe-knetsvcs-->%SystemRoot%\System32\srvsvc.dll> [Workstation/lanmanworkstation][Running/AutoStart] \WINDOWS.0\system32\svchost.exe-knetsvcs-->%SystemRoot%\System32\wkssvc.dll> [NetworkConnections/Netman][Running/ManualStart] \WINDOWS.0\System32\svchost.exe-knetsvcs-->%SystemRoot%\System32\netman.dll> [RemoteAccessConnectionManager/RasMan][Running/ManualStart] \WINDOWS.0\system32\svchost.exe-knetsvcs-->%SystemRoot%\System32\rasmans.dll> [RemoteProcedureCall(RPC)/RpcSs][Running/AutoStart] \WINDOWS.0\system32\svchost-krpcss-->%SystemRoot%\system32\rpcss.dll> [ShellHardwareDetection/ShellHWDetection][Running/AutoStart] \WINDOWS.0\System32\svchost.exe-knetsvcs-->%SystemRoot%\System32\shsvcs.dll> [PrintSpooler/Spooler][Stopped/ManualStart] \WINDOWS.0\system32\spoolsv.exe> [WindowsImageAcquisition(WIA)/stisvc][Running/ManualStart] \WINDOWS.0\system32\svchost.exe-kimgsvc-->%SystemRoot%\system32\wiaservc.dll> [Telephony/TapiSrv][Running/ManualStart] \WINDOWS.0\System32\svchost.exe-knetsvcs-->%SystemRoot%\System32\tapisrv.dll> [Themes/Themes][Stopped/ManualStart] \WINDOWS.0\System32\svchost.exe-knetsvcs-->%SystemRoot%\System32\shsvcs.dll> [WebClient/WebClient][Stopped/ManualStart] \WINDOWS.0\system32\svchost.exe-kLocalService-->%SystemRoot%\System32\webclnt.dll> ================================== 驱动程序(我们来看驱动吧) [0001a8be/0001a8be][Stopped/ManualStart] <\? ? \C: \WINDOWS.0\system32\Drivers\0001a8be.sys> [0001abac/0001abac][Stopped/ManualStart] <\? ? \C: \WINDOWS.0\system32\Drivers\0001abac.sys> [0001ca9e/0001ca9e][Stopped/ManualStart] <\? ? \C: \WINDOWS.0\system32\Drivers\0001ca9e.sys> [0011e963/0011e963][Stopped/ManualStart] <\? ? \C: \WINDOWS.0\system32\Drivers\0011e963.sys> [001e3c1c/001e3c1c][Stopped/ManualStart] <\? ? \C: \WINDOWS.0\system32\Drivers\001e3c1c.sys> [MicrosoftKernelAcousticEchoCanceller/aec][Stopped/ManualStart] [CreativeAudioPCI(ES1371,ES1373)(WDM)/es1371][Running/ManualStart] [FltMgr/FltMgr][Running/BootStart] <\SystemRoot\system32\DRIVERS\fltMgr.sys> [HTTP/HTTP][Stopped/ManualStart] [IPNetworkAddressTranslator/IpNat][Stopped/ManualStart] [MicrosoftKernelWaveAudioMixer/kmixer][Running/ManualStart] [MRxSmb/MRxSmb][Running/SystemStart] [AMDPCNETCompatableAdapterDriver/PCnet][Running/ManualStart] [DirectParallelLinkDriver/Ptilink][Running/ManualStart] [Rdbss/Rdbss][Running/SystemStart] [Secdrv/Secdrv][Stopped/ManualStart] [MicrosoftKernelAudioSplitter/splitter][Stopped/ManualStart] [Srv/Srv][Stopped/ManualStart] [TCP/IPProtocolDriver/Tcpip][Running/SystemStart] [MicrocodeUpdateDriver/Update][Running/ManualStart] [vvebc1ntDrv/vvebc1ntDrv][Running/ManualStart] <\? ? \C: \WINDOWS.0\system32\vvebc1nt.sys> [MicrosoftWINMMWDMAudioCompatibilityDriver/wdmaud][Running/ManualStart] <\? ? \C: \WINDOWS.0\system32\Drivers\0001aa06.sys> ================================== 驱动中要说一下,不要只看到后边 1.建议使用XDelBox删除以下文件: (XDelBox1.8动物家园版下载),系统盘非C盘的或是vista系统的建议下载费尔木马强力清除助手删除以下文件: 使用说明: 删除时复制所有要删除文件的路径,在待删除文件列表里点击右键选择剪贴板导入不检查路径,导入后记得勾选抑制其再生,在要删除文件上点击右键,选择立刻重启删除,电脑会重启进入DOS界面进行删除操作(重启计算机以后会有一个系统菜单选择GoXdelboxToDelFiles)。 运行xdelbox前最好卸载所有可移动存储设备。 C: \WINDOWS.0\system32\Drivers\0001aa06.sys C: \WINDOWS.0\system32\vvebc1nt.sys C: \WINDOWS.0\system32\Drivers\0001a8be.sys C: \WINDOWS.0\system32\Drivers\0001abac.sys C: \WINDOWS.0\system32\Drivers\0001ca9e.sys C: \WINDOWS.0\system32\Drivers\0011e963.sys C: \WINDOWS.0\system32\Drivers\001e3c1c.sys 2、2.删除重启后使用SREng修复下面各项: 服务及驱动--驱动如下项删除: [0001a8be/0001a8be][Stopped/ManualStart] <\? ? \C: \WINDOWS.0\system32\Drivers\0001a8be.sys> [0001abac/0001abac][Stopped/ManualStart] <\? ? \C: \WINDOWS.0\system32\Drivers\0001abac.sys> [0001ca9e/0001ca9e][Stopped/ManualStart] <\? ? \C: \WINDOWS.0\system32\Drivers\0001ca9e.sys> [0011e963/0011e963][Stopped/ManualStart] <\? ? \C: \WINDOWS.0\system32\Drivers\0011e963.sys> [001e3c1c/001e3c1c][Stopped/ManualStart] <\? ? \C: \WINDOWS.0\system32\Drivers\001e3c1c.sys> [0001aa06/0001aa06][Running/ManualStart] <\? ? \C: \WINDOWS.0\system32\Drivers\0001aa06.sys> [vvebc1ntDrv/vvebc1ntDrv][Running/ManualStart] <\? ? \C: \WINDOWS.0\system32\vvebc1nt.sys> 关闭IE用下面的工具全选,清理系统临时文件和IE临时文件夹 http: //www.atribune.org/public-beta/ATF-Cleaner.exe 下载windows清理助手清理一遍 实例分析六 这次我接着开聊吧,驱动服务有不少说是都是有名有姓有家的,不少是名家之服务和驱动,所以要分清那是病毒那是相当的简单,如同说我的神啊就这点小菜也来也算病毒,作为学习分析日志得分析的谨慎、细致,不能把有用的删除,也不能放过一个病毒的,所以建议各位要多多搜索,多看一些病毒分析性文章,我们主要需要的是怎么处理,如有想调戏病毒可着手小试一下,到高级区就会有这方面的了,但不建议立即开展,会还行,不会得二天上网作业你还交不交了,打住,跑题,开讲,老规则,按红线为主线看。 服务 [ContrlCenterofStormMedia/ccosm][Running/AutoStart] \ProgramFiles\StormII\stormliv.exe/asservice><北京暴风网际科技有限公司>(暴风,这不用讲了) [LogicalDiskManagerAdministrativeService/dmadmin][Stopped/ManualStart] \WINDOWS\System32\dmadmin.exe/com> [InstallDriverTableManager/IDriverT][Stopped/ManualStart] <"C: \ProgramFiles\CommonFiles\InstallShield\Driver\1050\Intel32\IDriverT.exe"> [NVIDIADisplayDriverService/NVSvc][Running/AutoStart] \WINDOWS\system32\nvsvc32.exe> [RisingProcessCommunicationCenter/RsCCenter][Stopped/AutoStart] <"C: \ProgramFiles\Rising\Rav\CCenter.exe"> [RisingRealTimeMonitor/RsRavMon][Stopped/AutoStart] <"C: \PROGRAMFILES\RISING\RAV\Ravmond.exe"> [PortableMediaSerialNumberService/WmdmPmSN][Stopped/ManualStart] \WINDOWS\System32\svchost.exe-knetsvcs-->C: \WINDOWS\system32\mspmsnsv.dll> [SecurityControl/seictrl][Stopped/AutoStart] \windows\system32\rundll32.exedbi100.dll,scan> [DCOMServiceProcessManager/MSCOManager03][Running/AutoStart] \WINDOWS\system32\svchost.exe-knetsvcs-->c: \windows\inf\dev04.inf> Corporation>(拉出去砍了,为什么呢? 大家看一下路径,他跑那去了,驱动在什么路径不用说了吧,INF是主要保存安装信息的地方,你还服务中做什么,这就是病毒在不断变化它的息身,要不断跟得上病毒的变化才行) ================================== 驱动程序 [RisingTDIBaseDriver/BaseTDI][Running/AutoStart] [C-MediaWDMAudioInterface/cmuda][Running/ManualStart] [dmboot/dmboot][Stopped/Disabled] [LogicalDiskManagerDriver/dmio][Running/BootStart] <\SystemRoot\System32\drivers\dmio.sys> [dmload/dmload][Running/BootStart] <\SystemRoot\System32\drivers\dmload.sys> [BingDunNDISFilterDriver/EasyFirewall][Running/ManualStart] [VIARhineFamilyFastEthernetAdapterDriverService/FETNDISB][Running/ManualStart
- 配套讲稿:
如PPT文件的首页显示word图标,表示该PPT已包含配套word讲稿。双击word图标可打开word文档。
- 特殊限制:
部分文档作品中含有的国旗、国徽等图片,仅作为作品整体效果示例展示,禁止商用。设计者仅对作品中独创性部分享有著作权。
- 关 键 词:
- 龙族 sreng 安全 培训 课程