类似于sreng的扫描工具,由于系统命令处理程序(cmd.exe)无法对系统底层进行操作,因此无法提供驱动的扫描。
可以根据扫描结果对系统进行分析。
请以管理员权限运行,打开程序扫描就开始。
扫描中途建议不要退出程序。
支持扫描的项目:
关键注册表
文件关联【新版本增强】
服务【新版本增强】
进程【新版本增强】
启动项
已安装软件【新版本增强】
系统信息
Hosts 文件
Winsock
IEFO 劫持项
安全模式
端口【新版本增强】
系统文件
扫描完毕后生成报告:BRP扫描报告_年月日-时分秒.log
注意:请解压后使用,不然部分组件会出错!
更新日志:
【2013/04/13】内测 0.1
1、新增已安装软件扫描。
【2013/04/22】内测 0.2
1、对注册表相关扫描进行智能排版。
【2013/04/27】内测 0.3
1、增加系统信息扫描。
【2013/04/29】1.0
1、升级为正式版。
2、自动剔除一些报告中不必要的信息。
【2013/05/01】1.1
1、解决管理员运行闪退问题。
2、新增端口(活动网络连接)扫描。
【2013/05/14】1.2
1、修复BUG若干。
2、新增诊断工具(扫描结束后出现,目前仅添加进程管理)。
3、添加扫描时间在报告中。
4、报告不会再次覆盖。
5、部分地方可使用鼠标操作。
6、添加外置程序支持(鼠标支持、选项支持)。
【2013/10/04】2.0
1、去除鼠标支持,进一步支持x64系统以及windows 8系统
2、新增对扫描内容的分析,部分模块的扫描速度可能变慢
3、新增指定扫描模块调用功能(暂不开放调用接口)
4、新增扫描数量统计
使用帮助、报告格式及示例:
1、注册表扫描(包括关键注册表、启动项、IEFO 劫持项、安全模式)
通过扫描这些项目,可帮助及时发现系统异常,并及时采取措施
示例:
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer]
NoDriveTypeAutoRun REG_DWORD 0xb5
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer]
NoLowDiskSpaceChecks REG_DWORD 0x1
[***]中间为注册表路径,跟在下面的为内容:
名称 类型 键值
2、进程扫描
使用新版本可以很快发现我们对进程信息进行了归纳处理,同时也能获取进程路径了,但这也便大大减慢了扫描速度,因此一定要耐心等待,可能会长达10分钟不等(因人而异),通过扫描此项可以发现系统中的异常进程
示例:
映像名称: csrss.exe
PID : 664
会话名 : Console
会话# : 1
内存使用: 11,972 K
状态 : Unknown
用户名 : NT AUTHORITY\SYSTEM
CPU 时间: 0:00:07
窗口标题: 暂缺
命令行 : %SystemRoot%\system32\csrss.exe ObjectDirectory=\Windows SharedSection=1024,12288,512 Windows=On SubSystemType=Windows ServerDll=basesrv,1 ServerDll=winsrv:UserServerDllInitialization,3 ServerDll=sxssrv,4 ProfileControl=Off MaxRequestThreads=16
文件路径: D:\Windows\system32\csrss.exe
服务 : 暂缺
模块 : 暂缺
3、Winsock
显示Winsock信息,及时发现异常。
一般情况下,如果Winsock 目录提供程序项的提供程序路径不是一下文件的任意一项,就可以判断为异常,当然部分(如江民相关项、vmware相关项)不能这样简单判断。
%SystemRoot%\system32\mswsock.dll
%SystemRoot%\system32\rsvpsp.dll
%SystemRoot%\system32\msafd.dll
%SystemRoot%\system32\ws2_64.dll
修复方法:
1、使用专业修复工具修复
2、使用重置命令:netsh winsock reset
示例:
扫描项目: Winsock
Winsock 目录提供程序项
------------------------------------------------------
项类型: 基本服务提供程序
描述: RSVP UDP 服务提供商
提供程序 ID: {9D60A9E0-337A-11D0-BD88-0000C082E69A}
提供程序路径: %SystemRoot%\system32\mswsock.dll
目录项 ID: 1030
版本: 2
地址族: 2
最大地址长度: 16
最小地址长度: 16
Socket 类型: 2
协议: 17
服务标志: 0x22609
协议链长度: 1
命名空间提供程序项
------------------------------------------------------
描述: 电子邮件命名填充提供程序
提供程序 ID: {964ACBA2-B2BC-40EB-8C6A-A6DB40161CAE}
命名空间: 37
活动: 1
版本: 0
4、Hosts 文件
直接读取系统Hosts 文件并显示,及时发现Hosts 文件异常
示例:
扫描项目: Hosts 文件
# Copyright (c) 1993-2009 Microsoft Corp.
#
# This is a sample HOSTS file used by Microsoft TCP/IP for Windows.
#
# This file contains the mappings of IP addresses to host names. Each
# entry should be kept on an individual line. The IP address should
# be placed in the first column followed by the corresponding host name.
# The IP address and the host name should be separated by at least one
# space.
#
# Additionally, comments (such as these) may be inserted on individual
# lines or following the machine name denoted by a '#' symbol.
#
# For example:
#
# 102.54.94.97 rhino.acme.com # source server
# 38.25.63.10 x.acme.com # x client host
# localhost name resolution is handled within DNS itself.
5、系统信息
列举系统信息
示例:
扫描项目: 系统信息
主机名: *****
OS 名称: Microsoft Windows 8 专业版(含 Media Center)
OS 版本: 6.2.9200 暂缺 Build 9200
OS 制造商: Microsoft Corporation
OS 配置: 独立工作站
OS 构件类型: Multiprocessor Free
注册的所有人: hez2010
注册的组织:
产品 ID: *****
初始安装日期: 2012/12/19, 22:51:57
系统启动时间: 2013/4/29, 19:23:24
系统制造商: *****
系统型号: *****
系统类型: *****
处理器: 安装了 1 个处理器。
[01]: x64 Family 6 Model 23 Stepping 10 GenuineIntel ~2603 Mhz
BIOS 版本: *****
Windows 目录: C:\Windows
系统目录: C:\Windows\system32
启动设备: \Device\HarddiskVolume1
系统区域设置: zh-cn;中文(中国)
输入法区域设置: zh-cn;中文(中国)
时区: (UTC+08:00)北京,重庆,香港特别行政区,乌鲁木齐
物理内存总量: ***** MB
可用的物理内存: ***** MB
虚拟内存: 最大值: ***** MB
虚拟内存: 可用: ***** MB
虚拟内存: 使用中: ***** MB
页面文件位置: C:\pagefile.sys
域: WORKGROUP
登录服务器: \\*****
修补程序: 安装了 11 个修补程序。
[01]: KB2712101_Microsoft-Windows-CameraCodec-Package
[02]: KB2727528
[03]: KB2729462
[04]: KB2736693
[05]: KB2737084
[06]: KB2742614
[07]: KB2742616
[08]: KB2750149
[09]: KB2751352
[10]: KB2753842
[11]: KB2756872
网卡: 安装了 1 个 NIC。
[01]: Marvell Yukon 88E8056 PCI-E Gigabit Ethernet Controller
连接名: 以太网
启用 DHCP: 是
DHCP 服务器: 255.255.255.255
IP 地址
[01]: 169.254.237.92
[02]: fe80::5d28:cf4:4423:ed5c
Hyper-V 要求: 虚拟机监视器模式扩展: 是
固件中已启用虚拟化: 是
二级地址转换: 否
数据执行保护可用: 是
6、服务:
示例:
扫描项目: 服务
服务名称 : SessionEnv
显示名称 : Remote Desktop Configuration
TYPE : 20 WIN32_SHARE_PROCESS
STATE : 4 RUNNING
(STOPPABLE, NOT_PAUSABLE, IGNORES_SHUTDOWN)
WIN32_EXIT_CODE : 0 (0x0)
SERVICE_EXIT_CODE : 0 (0x0)
CHECKPOINT : 0x0
WAIT_HINT : 0x0
7、系统文件
树形枚举%Systemroot%\System32下文件及目录,方便查找文件、发现可疑文件
示例:
扫描项目: 系统文件
C:\WINDOWS\SYSTEM32
│ aaclient.dll
│ accessibilitycpl.dll
│ ACCTRES.dll
│ acledit.dll
│ aclui.dll
│ acppage.dll
│ acproxy.dll
│ ActionCenter.dll
│ ActionCenterCPL.dll
│ ActionQueue.dll
│ activeds.dll
│ activeds.tlb
│ actxprxy.dll
│ adhapi.dll
│ adhsvc.dll
│ AdmTmpl.dll
│ adprovider.dll
│ adrclient.dll
│ adsldp.dll
│ adsldpc.dll
8、端口
帮助及时发现可疑网络链接,此处不作示例。新版本中新增了对pid所在进程名称的注明
9、文件关联
扫描系统的文件打开方式,及时发现系统异常
示例:
.txt
[HKEY_CLASSES_ROOT\.txt]
(默认) REG_SZ txtfile √ 正常
PerceivedType REG_SZ text
Content Type REG_SZ text/plain
[HKEY_CLASSES_ROOT\.txt\OpenWithProgids]
VisualStudio.txt.12.0 REG_SZ
[HKEY_CLASSES_ROOT\.txt\PersistentHandler]
(默认) REG_SZ {5e941d80-bf96-11cd-b579-08002b30bfeb}
[HKEY_CLASSES_ROOT\.txt\ShellNew]
NullFile REG_SZ
ItemName REG_EXPAND_SZ @%SystemRoot%\system32\notepad.exe,-470
可以看到,新版本增加了对文件关联是否正常的检测
10、已安装软件
与以前版本不同的是,新版本变得大众化,不再是注册表数据,而是经过解析以后的数据,方便用户查看处理,即使是小白也知道那是什么
大小: 21.4M
大小: 1.7M
大小: 22.1M