System Repair Engineer 智能扫描
System Repair Engineer 的智能扫描功能是扫描系统信息,包括文件关联、启动组、正在运行的进程等,并产生一个报告,用于提供给别人分析使用的一项功能。
在 System Repair Engineer 2.5 版本里面,提供了10种扫描对象:启动项目、浏览器加载项、正在运行的进程和文件关联、Winsock 提供者、所有驱动器的 Autorun.inf 文件以及 Hosts 文件、进程特权扫描、API HOOK扫描和隐藏进程扫描。
选择好扫描目标以后,点击扫描按钮就可以启动扫描过程。
根据不同的选项,扫描时间也是不相同的。扫描过程中会有一个进度条出现,进度条可以大致的反应扫描的进度。
扫描完成以后进度条将自动关闭,并出现一个报告窗口。报告窗口用于查看扫描后的结果并能够将扫描结果保存下来。
为了减少报告的体积,智能扫描功能将把发行者是 Microsoft 的项目过滤掉,并不会出现在报告里面。
可疑文件自动分类提取存放说明:
本功能是 System Repair Engineer 2.4 版本新增功能之一,目的是自动收集可疑文件以便供分析使用。System Repair Engineer 2.5 版本对收集的分类进行的细化,新的规则如下:
| 类别 | 存放路径 |
| 服务应用程序 | SuspiciousFiles\SERVICE\ |
| 注册表启动项 | SuspiciousFiles\BOOT_REG_GENERAL\ |
| 映像劫持 | SuspiciousFiles\BOOT_REG_IFEO |
| Shell HOOK | SuspiciousFiles\BOOT_REG_SHELLEXEHOOK |
| Shell Service | SuspiciousFiles\BOOT_REG_SHELLSERVICEOBJ |
| Winlogon Notify | SuspiciousFiles\BOOT_REG_WINLOGONNOTIFY |
| Scheduler Task | SuspiciousFiles\BOOT_REG_TASKSCHEDULER |
| API HOOK - RVA HOOK 方式 | SuspiciousFiles\HOOK_RVA\ |
| API HOOK - 入口点HOOK方式 | SuspiciousFiles\HOOK_ENTRY\ |
| 启动文件夹启动项 | SuspiciousFiles\BOOT_FOLDER\ |
| AUTORUN.INF内容 | SuspiciousFiles\AUTORUNINF\ |
| 常规方法无法检测到的隐藏进程 | SuspiciousFiles\P_HIDDEN\ |
| services.exe 进程下的所有非系统模块 | SuspiciousFiles\P_SERVICES\ |
| lsass.exe 进程下的所有非系统模块 | SuspiciousFiles\P_LSASS\ |
| winlogon.exe 进程下的所有非系统模块 | SuspiciousFiles\P_WINLOGON\ |
| svchost.exe 进程下的所有非系统模块 | SuspiciousFiles\P_SVCHOST\ |
| explorer.exe 进程下的所有非系统模块 | SuspiciousFiles\P_EXPLORER\ |
| iexplore.exe 进程下的所有非系统模块 | SuspiciousFiles\P_IE\ |
| sreng.exe 进程下的所有非系统模块 | SuspiciousFiles\P_SRENG\ |
| smss.exe 进程下的所有非系统模块 | SuspiciousFiles\P_SMSS\ |
| spoolsv.exe 进程下的所有非系统模块 | SuspiciousFiles\P_SPOOLSV\ |
| csrss.exe 进程下的所有非系统模块 | SuspiciousFiles\P_CSRSS\ |
| 其他重要的第三方程序进程 | SuspiciousFiles\P_PROCESS\ |
| 高特权进程——驱动加载 | SuspiciousFiles\P_SELOADDRIVER |
| 高特权进程——修改系统时间 | SuspiciousFiles\P_SESYSTEMTIME |
| 高特权进程——Debug权限 | SuspiciousFiles\P_SEDEBUG |