系统扫描BRP

像sreng的扫描工具，因为系统命令处置程序（cmd.exe）没办法对系统底层进行操作，因此没办法提供驱动的扫描。
可以参考扫描结果对系统进行剖析。
请以管理员权限运行，打开程序扫描就开始。
扫描中途建议不要退出程序。

支持扫描的项目：

重点注册表

文件关联【新版本增强】
服务【新版本增强】
进程【新版本增强】
启动项
已安装软件【新版本增强】
系统信息
Hosts 文件
Winsock
IEFO 劫持项
安全模式
端口【新版本增强】
系统文件

扫描完毕后生成报告：BRP扫描报告_年月日-时分秒.log
注意：请解压后用，不然部分组件会出错！

更新日志：

【2013/04/13】内测 0.1
1、新增已安装软件扫描。
【2013/04/22】内测 0.2
1、对注册表有关扫描进行智能排版。
【2013/04/27】内测 0.3
1、增加系统信息扫描。
【2013/04/29】1.0
1、升级为正式版。
2、自动剔除一些报告中非必须的信息。
【2013/05/01】1.1
1、解决管理员运行闪退问题。
2、新增端口（活动互联网连接）扫描。
【2013/05/14】1.2
1、修复BUG若干。
2、新增诊断工具。
3、添加扫描时间在报告中。
4、报告不会第三覆盖。
5、部分地方可用鼠标操作。
6、添加外置程序支持（鼠标支持、选项支持）。
【2013/10/04】2.0
1、去除鼠标支持，进一步支持x64系统与windows 8系统
2、新增对扫描内容的剖析，部分模块的扫描速度可能变慢
3、新增指定扫描模块调用功能（暂不开放调用接口）
4、新增扫描数目统计

用帮助、报告格式及示例：

1、注册表扫描（包含重点注册表、启动项、IEFO 劫持项、安全模式）
通过扫描这类项目，可帮助准时发现系统异常，并准时采取手段

示例：

[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer]

NoDriveTypeAutoRunREG_DWORD0xb5

[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer]

NoLowDiskSpaceChecksREG_DWORD0x1

[***]中间为注册表路径，跟在下面的为内容：

名字 种类键值

2、进程扫描
用新版本可以非常快发现大家对进程信息进行了总结处置，同时也能获得进程路径了，但这也便大大减慢了扫描速度，因此必须要耐心等待，或许会长达10分钟不等（因人而异），通过扫描此项可以发现系统中的异常进程
示例：

映像名字: csrss.exe

PID : 664

会话名: Console

会话# : 1

内存用: 11,972 K

状况: Unknown

用户名: NT AUTHORITY\SYSTEM

CPU 时间: 0:00:07

窗口标题: 暂缺

命令行: %SystemRoot%\system32\csrss.exe ObjectDirectory=\Windows SharedSection=1024,12288,512 Windows=On SubSystemType=Windows ServerDll=basesrv,1 ServerDll=winsrv:UserServerDllInitialization,3 ServerDll=sxssrv,4 ProfileControl=Off MaxRequestThreads=16

文件路径: D:\Windows\system32\csrss.exe

服务: 暂缺

模块: 暂缺

3、Winsock

显示Winsock信息，准时发现异常。
通常情况下，假如Winsock 目录提供程序项的提供程序路径不是一下文件的任意一项，就能判断为异常，当然部分（如江民有关项、vmware有关项）不可以如此简单判断。
%SystemRoot%\system32\mswsock.dll
%SystemRoot%\system32\rsvpsp.dll
%SystemRoot%\system32\msafd.dll
%SystemRoot%\system32\ws2_64.dll
修复办法：
1、用专业修复工具修复
2、用重置命令：netsh winsock reset
示例：

扫描项目: Winsock

Winsock 目录提供程序项

------------------------------------------------------

项种类: 基本服务提供程序

描述: RSVP UDP 服务提供商

提供程序 ID:{9D60A9E0-337A-11D0-BD88-0000C082E69A}

提供程序路径: %SystemRoot%\system32\mswsock.dll

目录项 ID:1030

版本: 2

地址族: 2

最大地址长度: 16

最小地址长度: 16

Socket 种类:2

协议: 17

服务标志: 0x22609

协议链长度: 1

命名空间提供程序项

------------------------------------------------------

描述: 邮件命名填充提供程序

提供程序 ID:{964ACBA2-B2BC-40EB-8C6A-A6DB40161CAE}

命名空间: 37

活动: 1

版本: 0

4、Hosts 文件

直接读取系统Hosts 文件并显示，准时发现Hosts 文件异常
示例：

扫描项目: Hosts 文件

# Copyright 1993-2009 Microsoft Corp.

#

# This is a sample HOSTS file used by Microsoft TCP/IP for Windows.

#

# This file contains the mappings of IP addresses to host names. Each

# entry should be kept on an individual line. The IP address should

# be placed in the first column followed by the corresponding host name.

# The IP address and the host name should be separated by at least one

# space.

#

# Additionally, comments may be inserted on individual

# lines or following the machine name denoted by a # symbol.

#

# For example:

#

#102.54.94.97 rhino.acme.com# source server

# 38.25.63.10 x.acme.com# x client host

# localhost name resolution is handled within DNS itself.

5、系统信息
列举系统信息
示例：

扫描项目: 系统信息

主机名: *****

OS 名字:Microsoft Windows 8 专业版

OS 版本:6.2.9200 暂缺 Build 9200

OS 制造商:Microsoft Corporation

OS 配置:独立工作站

OS 构件种类:Multiprocessor Free

注册的所有人: hez2010

注册的组织:

商品 ID:*****

初始安装日期: 2012/12/19, 22:51:57

系统启动时间: 2013/4/29, 19:23:24

系统制造商: *****

系统型号: *****

系统种类: *****

处置器: 安装了 1 个处置器。

[01]: x64 Family 6 Model 23 Stepping 10 GenuineIntel ~2603 Mhz

BIOS 版本:*****

Windows 目录: C:\Windows

系统目录: C:\Windows\system32

启动设施: \Device\HarddiskVolume1

系统地区设置: zh-cn;中文

输入法地区设置: zh-cn;中文

时区: 北京，重庆，香港特别行政区，乌鲁木齐

物理内存总量: ***** MB

可用的物理内存: ***** MB

虚拟内存: 最大值: ***** MB

虚拟内存: 可用: ***** MB

虚拟内存: 用中: ***** MB

页面文件地方: C:\pagefile.sys

域: WORKGROUP

登录服务器: \\*****

修补程序: 安装了 11 个修补程序。

[01]: KB2712101_Microsoft-Windows-CameraCodec-Package

[02]: KB2727528

[03]: KB2729462

[04]: KB2736693

[05]: KB2737084

[06]: KB2742614

[07]: KB2742616

[08]: KB2750149

[09]: KB2751352

[10]: KB2753842

[11]: KB2756872

网卡: 安装了 1 个 NIC。

[01]: Marvell Yukon 88E8056 PCI-E Gigabit Ethernet Controller

连接名:以太网

启用 DHCP: 是

DHCP 服务器: 255.255.255.255

IP 地址

[01]: 169.254.237.92

[02]: fe80::5d28:cf4:4423:ed5c

Hyper-V 需要: 虚拟机监视器模式扩展: 是

固件中已启用虚拟化: 是

二级地址转换: 否

数据实行保护可用: 是

6、服务：
示例：

扫描项目: 服务

服务名字 :SessionEnv

显示名字 :Remote DeskTOP Configuration

TYPE : 20WIN32_SHARE_PROCESS

STATE: 4RUNNING

WIN32_EXIT_CODE: 0

SERVICE_EXIT_CODE: 0

CHECKPOINT : 0x0

W人工智能T_HINT: 0x0

7、系统文件
树形枚举%Systemroot%\System32下文件及目录，便捷查找文件、发现可疑文件
示例：

扫描项目: 系统文件

C:\WINDOWS\SYSTEM32

│aaclient.dll

│accessibilitycpl.dll

│ACCTRES.dll

│acledit.dll

│aclui.dll

│acppage.dll

│acproxy.dll

│ActionCenter.dll

│ActionCenterCPL.dll

│ActionQueue.dll

│activeds.dll

│activeds.tlb

│actxprxy.dll

│adhapi.dll

│adhsvc.dll

│AdmTmpl.dll

│adprovider.dll

│adrclient.dll

│adsldp.dll

│adsldpc.dll

8、端口
帮助准时发现可疑互联网链接，此处不作示例。新版本中新增了对pid所在进程名字的注明
9、文件关联
扫描系统的文件打开方法，准时发现系统异常
示例：

.txt

[HKEY_CLASSES_ROOT\.txt]

REG_SZtxtfile √ 正常

PerceivedTypeREG_SZtext

Content TypeREG_SZtext/plain

[HKEY_CLASSES_ROOT\.txt\OpenWithProgids]

VisualStudio.txt.12.0REG_SZ

[HKEY_CLASSES_ROOT\.txt\PersistentHandler]

REG_SZ{5e941d80-bf96-11cd-b579-08002b30bfeb}

[HKEY_CLASSES_ROOT\.txt\ShellNew]

NullFileREG_SZ

ItemNameREG_EXPAND_SZ@%SystemRoot%\system32\notepad.exe,-470

可以看到，新版本增加了对文件关联是不是正常的测试
10、已安装软件
与以前版本不一样的是，新版本变得大众化，不再是注册表数据，而是经过分析未来的数据，便捷用户查询处置，即便是菜鸟也了解那是什么

TAG标签：系统扫描(1)

转载请说明来源于小浣熊下载站（http://www.tpwno.com）

本文地址：http://www.tpwno.com/soft/8660.html

郑重声明：文章来源于网络作为参考，本站仅用于分享不存储任何下载资源,如果网站中图片和文字侵犯了您的版权，请联系我们处理！邮箱3450399331@qq.com