系統(tǒng)掃描BRP

類(lèi)似于sreng的掃描工具，由于系統(tǒng)命令處理程序（cmd.exe）無(wú)法對(duì)系統(tǒng)底層進(jìn)行操作，因此無(wú)法提供驅(qū)動(dòng)的掃描。
可以根據(jù)掃描結(jié)果對(duì)系統(tǒng)進(jìn)行分析。
請(qǐng)以管理員權(quán)限運(yùn)行，打開(kāi)程序掃描就開(kāi)始。
掃描中途建議不要退出程序。

支持掃描的項(xiàng)目：

關(guān)鍵注冊(cè)表

文件關(guān)聯(lián)【新版本增強(qiáng)】
服務(wù)【新版本增強(qiáng)】
進(jìn)程【新版本增強(qiáng)】
啟動(dòng)項(xiàng)
已安裝軟件【新版本增強(qiáng)】
系統(tǒng)信息
Hosts 文件
Winsock
IEFO 劫持項(xiàng)
安全模式
端口【新版本增強(qiáng)】
系統(tǒng)文件

掃描完畢后生成報(bào)告：BRP掃描報(bào)告_年月日-時(shí)分秒.log
注意：請(qǐng)解壓后使用，不然部分組件會(huì)出錯(cuò)！

更新日志：

【2013/04/13】?jī)?nèi)測(cè) 0.1
1、新增已安裝軟件掃描。
【2013/04/22】?jī)?nèi)測(cè) 0.2
1、對(duì)注冊(cè)表相關(guān)掃描進(jìn)行智能排版。
【2013/04/27】?jī)?nèi)測(cè) 0.3
1、增加系統(tǒng)信息掃描。
【2013/04/29】1.0
1、升級(jí)為正式版。
2、自動(dòng)剔除一些報(bào)告中不必要的信息。
【2013/05/01】1.1
1、解決管理員運(yùn)行閃退問(wèn)題。
2、新增端口（活動(dòng)網(wǎng)絡(luò)連接）掃描。
【2013/05/14】1.2
1、修復(fù)BUG若干。
2、新增診斷工具(掃描結(jié)束后出現(xiàn),目前僅添加進(jìn)程管理)。
3、添加掃描時(shí)間在報(bào)告中。
4、報(bào)告不會(huì)再次覆蓋。
5、部分地方可使用鼠標(biāo)操作。
6、添加外置程序支持（鼠標(biāo)支持、選項(xiàng)支持）。
【2013/10/04】2.0
1、去除鼠標(biāo)支持，進(jìn)一步支持x64系統(tǒng)以及windows 8系統(tǒng)
2、新增對(duì)掃描內(nèi)容的分析，部分模塊的掃描速度可能變慢
3、新增指定掃描模塊調(diào)用功能（暫不開(kāi)放調(diào)用接口）
4、新增掃描數(shù)量統(tǒng)計(jì)

使用幫助、報(bào)告格式及示例：

1、注冊(cè)表掃描（包括關(guān)鍵注冊(cè)表、啟動(dòng)項(xiàng)、IEFO 劫持項(xiàng)、安全模式）
通過(guò)掃描這些項(xiàng)目，可幫助及時(shí)發(fā)現(xiàn)系統(tǒng)異常，并及時(shí)采取措施

示例：

[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer]

NoDriveTypeAutoRun    REG_DWORD    0xb5

[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer]

NoLowDiskSpaceChecks    REG_DWORD    0x1

[***]中間為注冊(cè)表路徑，跟在下面的為內(nèi)容：

名稱         類(lèi)型        鍵值

2、進(jìn)程掃描
使用新版本可以很快發(fā)現(xiàn)我們對(duì)進(jìn)程信息進(jìn)行了歸納處理，同時(shí)也能獲取進(jìn)程路徑了，但這也便大大減慢了掃描速度，因此一定要耐心等待，可能會(huì)長(zhǎng)達(dá)10分鐘不等（因人而異），通過(guò)掃描此項(xiàng)可以發(fā)現(xiàn)系統(tǒng)中的異常進(jìn)程
示例：

映像名稱: csrss.exe

PID     : 664

會(huì)話名  : Console

會(huì)話#   : 1

內(nèi)存使用: 11,972 K

狀態(tài)    : Unknown

用戶名  : NT AUTHORITY\SYSTEM

CPU 時(shí)間: 0:00:07

窗口標(biāo)題: 暫缺

命令行  : %SystemRoot%\system32\csrss.exe ObjectDirectory=\Windows SharedSection=1024,12288,512 Windows=On SubSystemType=Windows ServerDll=basesrv,1 ServerDll=winsrv:UserServerDllInitialization,3 ServerDll=sxssrv,4 ProfileControl=Off MaxRequestThreads=16  

文件路徑: D:\Windows\system32\csrss.exe  

服務(wù)    : 暫缺

模塊    : 暫缺

3、Winsock

顯示W(wǎng)insock信息，及時(shí)發(fā)現(xiàn)異常。
一般情況下，如果Winsock 目錄提供程序項(xiàng)的提供程序路徑不是一下文件的任意一項(xiàng)，就可以判斷為異常，當(dāng)然部分（如江民相關(guān)項(xiàng)、vmware相關(guān)項(xiàng)）不能這樣簡(jiǎn)單判斷。
%SystemRoot%\system32\mswsock.dll
%SystemRoot%\system32\rsvpsp.dll
%SystemRoot%\system32\msafd.dll
%SystemRoot%\system32\ws2_64.dll
修復(fù)方法：
1、使用專業(yè)修復(fù)工具修復(fù)
2、使用重置命令：netsh winsock reset
示例：

掃描項(xiàng)目: Winsock

Winsock 目錄提供程序項(xiàng)

------------------------------------------------------

項(xiàng)類(lèi)型:                             基本服務(wù)提供程序

描述:                               RSVP UDP 服務(wù)提供商

提供程序 ID:                        {9D60A9E0-337A-11D0-BD88-0000C082E69A}

提供程序路徑:                       %SystemRoot%\system32\mswsock.dll

目錄項(xiàng) ID:                          1030

版本:                               2

地址族:                             2

最大地址長(zhǎng)度:                       16

最小地址長(zhǎng)度:                       16

Socket 類(lèi)型:                        2

協(xié)議:                               17

服務(wù)標(biāo)志:                           0x22609

協(xié)議鏈長(zhǎng)度:                         1

命名空間提供程序項(xiàng)

------------------------------------------------------

描述:                               電子郵件命名填充提供程序

提供程序 ID:                        {964ACBA2-B2BC-40EB-8C6A-A6DB40161CAE}

命名空間:                           37

活動(dòng):                               1

版本:                               0

4、Hosts 文件

直接讀取系統(tǒng)Hosts 文件并顯示，及時(shí)發(fā)現(xiàn)Hosts 文件異常
示例：

掃描項(xiàng)目: Hosts 文件

# Copyright (c) 1993-2009 Microsoft Corp.

#

# This is a sample HOSTS file used by Microsoft TCP/IP for Windows.

#

# This file contains the mappings of IP addresses to host names. Each

# entry should be kept on an individual line. The IP address should

# be placed in the first column followed by the corresponding host name.

# The IP address and the host name should be separated by at least one

# space.

#

# Additionally, comments (such as these) may be inserted on individual

# lines or following the machine name denoted by a '#' symbol.

#

# For example:

#

#      102.54.94.97     rhino.acme.com          # source server

#       38.25.63.10     x.acme.com              # x client host

# localhost name resolution is handled within DNS itself.

5、系統(tǒng)信息
列舉系統(tǒng)信息
示例：

掃描項(xiàng)目: 系統(tǒng)信息

主機(jī)名:           *****

OS 名稱:          Microsoft Windows 8 專業(yè)版(含 Media Center)

OS 版本:          6.2.9200 暫缺 Build 9200

OS 制造商:        Microsoft Corporation

OS 配置:          獨(dú)立工作站

OS 構(gòu)件類(lèi)型:      Multiprocessor Free

注冊(cè)的所有人:     hez2010

注冊(cè)的組織:       

產(chǎn)品 ID:          *****

初始安裝日期:     2012/12/19, 22:51:57

系統(tǒng)啟動(dòng)時(shí)間:     2013/4/29, 19:23:24

系統(tǒng)制造商:       *****

系統(tǒng)型號(hào):         *****

系統(tǒng)類(lèi)型:         *****

處理器:           安裝了 1 個(gè)處理器。

                  [01]: x64 Family 6 Model 23 Stepping 10 GenuineIntel ~2603 Mhz

BIOS 版本:        *****

Windows 目錄:     C:\Windows

系統(tǒng)目錄:         C:\Windows\system32

啟動(dòng)設(shè)備:         \Device\HarddiskVolume1

系統(tǒng)區(qū)域設(shè)置:     zh-cn;中文(中國(guó))

輸入法區(qū)域設(shè)置:   zh-cn;中文(中國(guó))

時(shí)區(qū):             (UTC+08:00)北京，重慶，香港特別行政區(qū)，烏魯木齊

物理內(nèi)存總量:     ***** MB

可用的物理內(nèi)存:   ***** MB

虛擬內(nèi)存: 最大值: ***** MB

虛擬內(nèi)存: 可用:   ***** MB

虛擬內(nèi)存: 使用中: ***** MB

頁(yè)面文件位置:     C:\pagefile.sys

域:               WORKGROUP

登錄服務(wù)器:       \\*****

修補(bǔ)程序:         安裝了 11 個(gè)修補(bǔ)程序。

                  [01]: KB2712101_Microsoft-Windows-CameraCodec-Package

                  [02]: KB2727528

                  [03]: KB2729462

                  [04]: KB2736693

                  [05]: KB2737084

                  [06]: KB2742614

                  [07]: KB2742616

                  [08]: KB2750149

                  [09]: KB2751352

                  [10]: KB2753842

                  [11]: KB2756872

網(wǎng)卡:             安裝了 1 個(gè) NIC。

                  [01]: Marvell Yukon 88E8056 PCI-E Gigabit Ethernet Controller

                      連接名:      以太網(wǎng)

                      啟用 DHCP:   是

                      DHCP 服務(wù)器: 255.255.255.255

                      IP 地址

                        [01]: 169.254.237.92

                        [02]: fe80::5d28:cf4:4423:ed5c

Hyper-V 要求:     虛擬機(jī)監(jiān)視器模式擴(kuò)展: 是

                  固件中已啟用虛擬化: 是

                  二級(jí)地址轉(zhuǎn)換: 否

                  數(shù)據(jù)執(zhí)行保護(hù)可用: 是

6、服務(wù)：
示例：

掃描項(xiàng)目: 服務(wù)

服務(wù)名稱           :  SessionEnv

顯示名稱           :  Remote Desktop Configuration

TYPE               : 20  WIN32_SHARE_PROCESS  

STATE              : 4  RUNNING 

(STOPPABLE, NOT_PAUSABLE, IGNORES_SHUTDOWN)

WIN32_EXIT_CODE    : 0  (0x0)

SERVICE_EXIT_CODE  : 0  (0x0)

CHECKPOINT         : 0x0

WAIT_HINT          : 0x0

7、系統(tǒng)文件
樹(shù)形枚舉%Systemroot%\System32下文件及目錄，方便查找文件、發(fā)現(xiàn)可疑文件
示例：

掃描項(xiàng)目: 系統(tǒng)文件

C:\WINDOWS\SYSTEM32

│  aaclient.dll

│  accessibilitycpl.dll

│  ACCTRES.dll

│  acledit.dll

│  aclui.dll

│  acppage.dll

│  acproxy.dll

│  ActionCenter.dll

│  ActionCenterCPL.dll

│  ActionQueue.dll

│  activeds.dll

│  activeds.tlb

│  actxprxy.dll

│  adhapi.dll

│  adhsvc.dll

│  AdmTmpl.dll

│  adprovider.dll

│  adrclient.dll

│  adsldp.dll

│  adsldpc.dll

8、端口
幫助及時(shí)發(fā)現(xiàn)可疑網(wǎng)絡(luò)鏈接，此處不作示例。新版本中新增了對(duì)pid所在進(jìn)程名稱的注明
9、文件關(guān)聯(lián)
掃描系統(tǒng)的文件打開(kāi)方式，及時(shí)發(fā)現(xiàn)系統(tǒng)異常
示例：

.txt

[HKEY_CLASSES_ROOT\.txt]

(默認(rèn))    REG_SZ    txtfile √ 正常

PerceivedType    REG_SZ    text

Content Type    REG_SZ    text/plain

[HKEY_CLASSES_ROOT\.txt\OpenWithProgids]

VisualStudio.txt.12.0    REG_SZ    

[HKEY_CLASSES_ROOT\.txt\PersistentHandler]

(默認(rèn))    REG_SZ    {5e941d80-bf96-11cd-b579-08002b30bfeb}

[HKEY_CLASSES_ROOT\.txt\ShellNew]

NullFile    REG_SZ    

ItemName    REG_EXPAND_SZ    @%SystemRoot%\system32\notepad.exe,-470

可以看到，新版本增加了對(duì)文件關(guān)聯(lián)是否正常的檢測(cè)
10、已安裝軟件
與以前版本不同的是，新版本變得大眾化，不再是注冊(cè)表數(shù)據(jù)，而是經(jīng)過(guò)解析以后的數(shù)據(jù)，方便用戶查看處理，即使是小白也知道那是什么