系统扫描BRP

类似于sreng的扫描工具，由于系统命令处理程序（cmd.exe）无法对系统底层进行操作，因此无法提供驱动的扫描。可以根据扫描结果对系统进行分析。请以管理员权限运行，打开程序扫描就开始。扫描中途建议不要退出程序。

支持扫描的项目：

关键注册表

文件关联【新版本增强】服务【新版本增强】进程【新版本增强】启动项已安装软件【新版本增强】系统信息Hosts文件WinsockIEFO劫持项安全模式端口【新版本增强】系统文件扫描完毕后生成报告：BRP扫描报告_年月日-时分秒.log注意：请解压后使用，不然部分组件会出错！

更新日志：

【2013/04/13】内测0.11、新增已安装软件扫描。【2013/04/22】内测0.21、对注册表相关扫描进行智能排版。【2013/04/27】内测0.31、增加系统信息扫描。【2013/04/29】1.01、升级为正式版。2、自动剔除一些报告中不必要的信息。【2013/05/01】1.11、解决管理员运行闪退问题。2、新增端口（活动网络连接）扫描。【2013/05/14】1.21、修复BUG若干。2、新增诊断工具(扫描结束后出现,目前仅添加进程管理)。3、添加扫描时间在报告中。4、报告不会再次覆盖。5、部分地方可使用鼠标操作。6、添加外置程序支持（鼠标支持、选项支持）。【2013/10/04】2.01、去除鼠标支持，进一步支持x64系统以及windows8系统2、新增对扫描内容的分析，部分模块的扫描速度可能变慢3、新增指定扫描模块调用功能（暂不开放调用接口）4、新增扫描数量统计

使用帮助、报告格式及示例：

1、注册表扫描（包括关键注册表、启动项、IEFO劫持项、安全模式）通过扫描这些项目，可帮助及时发现系统异常，并及时采取措施示例：

[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer]

NoDriveTypeAutoRun??REG_DWORD??0xb5

[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer]

NoLowDiskSpaceChecks??REG_DWORD??0x1

[***]中间为注册表路径，跟在下面的为内容：名称??????类型??????键值2、进程扫描使用新版本可以很快发现我们对进程信息进行了归纳处理，同时也能获取进程路径了，但这也便大大减慢了扫描速度，因此一定要耐心等待，可能会长达10分钟不等（因人而异），通过扫描此项可以发现系统中的异常进程示例：

映像名称:csrss.exe

PID????:664

会话名??:Console

会话#??:1

内存使用:11,972K

状态??:Unknown

用户名??:NTAUTHORITY\SYSTEM

CPU时间:0:00:07

窗口标题:暂缺

命令行??:%SystemRoot%\system32\csrss.exeObjectDirectory=\WindowsSharedSection=1024,12288,512Windows=OnSubSystemType=WindowsServerDll=basesrv,1ServerDll=winsrv:UserServerDllInitialization,3ServerDll=sxssrv,4ProfileControl=OffMaxRequestThreads=16

文件路径:D:\Windows\system32\csrss.exe

服务??:暂缺

模块??:暂缺

3、Winsock

显示Winsock信息，及时发现异常。一般情况下，如果Winsock目录提供程序项的提供程序路径不是一下文件的任意一项，就可以判断为异常，当然部分（如江民相关项、vmware相关项）不能这样简单判断。%SystemRoot%\system32\mswsock.dll%SystemRoot%\system32\rsvpsp.dll%SystemRoot%\system32\msafd.dll%SystemRoot%\system32\ws2_64.dll修复方法：1、使用专业修复工具修复2、使用重置命令：netshwinsockreset示例：

扫描项目:Winsock

Winsock目录提供程序项

------------------------------------------------------

项类型:????????????????????基本服务提供程序

描述:????????????????????RSVPUDP服务提供商

提供程序ID:????????????????{9D60A9E0-337A-11D0-BD88-0000C082E69A}

提供程序路径:????????????????%SystemRoot%\system32\mswsock.dll

目录项ID:??????????????????1030

版本:????????????????????2

地址族:????????????????????2

最大地址长度:????????????????16

最小地址长度:????????????????16

Socket类型:????????????????2

协议:????????????????????17

服务标志:??????????????????0x22609

协议链长度:????????????????1

命名空间提供程序项

------------------------------------------------------

描述:????????????????????电子邮件命名填充提供程序

提供程序ID:????????????????{964ACBA2-B2BC-40EB-8C6A-A6DB40161CAE}

命名空间:??????????????????37

活动:????????????????????1

版本:????????????????????0

4、Hosts文件

直接读取系统Hosts文件并显示，及时发现Hosts文件异常示例：

扫描项目:Hosts文件

#Copyright(c)1993-2009MicrosoftCorp.

#

#ThisisasampleHOSTSfileusedbyMicrosoftTCP/IPforWindows.

#

#ThisfilecontainsthemappingsofIPaddressestohostnames.Each

#entryshouldbekeptonanindividualline.TheIPaddressshould

#beplacedinthefirstcolumnfollowedbythecorrespondinghostname.

#TheIPaddressandthehostnameshouldbeseparatedbyatleastone

#space.

#

#Additionally,comments(suchasthese)maybeinsertedonindividual

#linesorfollowingthemachinenamedenotedbya'#'symbol.

#

#Forexample:

#

#????102.54.94.97????rhino.acme.com??????#sourceserver

#????38.25.63.10????x.acme.com??????????#xclienthost

#localhostnameresolutionishandledwithinDNSitself.

5、系统信息列举系统信息示例：

扫描项目:系统信息

主机名:????????*****

OS名称:??????MicrosoftWindows8专业版(含MediaCenter)

OS版本:??????6.2.9200暂缺Build9200

OS制造商:??????MicrosoftCorporation

OS配置:??????独立工作站

OS构件类型:????MultiprocessorFree

注册的所有人:????hez2010

注册的组织:

产品ID:??????*****

初始安装日期:????2012/12/19,22:51:57

系统启动时间:????2013/4/29,19:23:24

系统制造商:????*****

系统型号:??????*****

系统类型:??????*****

处理器:????????安装了1个处理器。

:x64Family6Model23Stepping10GenuineIntel~2603Mhz

BIOS版本:??????*****

Windows目录:????C:\Windows

系统目录:??????C:\Windows\system32

启动设备:??????\Device\HarddiskVolume1

系统区域设置:????zh-cn;中文(中国)

输入法区域设置:??zh-cn;中文(中国)

时区:????????(UTC+08:00)北京，重庆，香港特别行政区，乌鲁木齐

物理内存总量:????*****MB

可用的物理内存:??*****MB

虚拟内存:最大值:*****MB

虚拟内存:可用:??*****MB

虚拟内存:使用中:*****MB

页面文件位置:????C:\pagefile.sys

域:??????????WORKGROUP

登录服务器:????\\*****

修补程序:??????安装了11个修补程序。

:KB2712101_Microsoft-Windows-CameraCodec-Package

:KB2727528

:KB2729462

:KB2736693

:KB2737084

:KB2742614

:KB2742616

:KB2750149

:KB2751352

:KB2753842

:KB2756872

网卡:????????安装了1个NIC。

:MarvellYukon88E8056PCI-EGigabitEthernetController

连接名:????以太网

启用DHCP:??是

DHCP服务器:255.255.255.255

IP地址

:169.254.237.92

:fe80::5d28:cf4:4423:ed5c

Hyper-V要求:????虚拟机监视器模式扩展:是

固件中已启用虚拟化:是

二级地址转换:否

数据执行保护可用:是

6、服务：示例：

扫描项目:服务

服务名称????????:??SessionEnv

显示名称????????:??RemoteDesktopConfiguration

TYPE??????????:20??WIN32_SHARE_PROCESS

STATE??????????:4??RUNNING

(STOPPABLE,NOT_PAUSABLE,IGNORES_SHUTDOWN)

WIN32_EXIT_CODE??:0??(0x0)

SERVICE_EXIT_CODE??:0??(0x0)

CHECKPOINT??????:0x0

WAIT_HINT??????:0x0

7、系统文件树形枚举%Systemroot%\System32下文件及目录，方便查找文件、发现可疑文件示例：

扫描项目:系统文件

C:\WINDOWS\SYSTEM32

│??aaclient.dll

│??accessibilitycpl.dll

│??ACCTRES.dll

│??acledit.dll

│??aclui.dll

│??acppage.dll

│??acproxy.dll

│??ActionCenter.dll

│??ActionCenterCPL.dll

│??ActionQueue.dll

│??activeds.dll

│??activeds.tlb

│??actxprxy.dll

│??adhapi.dll

│??adhsvc.dll

│??AdmTmpl.dll

│??adprovider.dll

│??adrclient.dll

│??adsldp.dll

│??adsldpc.dll

8、端口帮助及时发现可疑网络链接，此处不作示例。新版本中新增了对pid所在进程名称的注明9、文件关联扫描系统的文件打开方式，及时发现系统异常示例：

.txt

[HKEY_CLASSES_ROOT\.txt]

(默认)??REG_SZ??txtfile√正常

PerceivedType??REG_SZ??text

ContentType??REG_SZ??text/plain

[HKEY_CLASSES_ROOT\.txt\OpenWithProgids]

VisualStudio.txt.12.0??REG_SZ

[HKEY_CLASSES_ROOT\.txt\PersistentHandler]

(默认)??REG_SZ??{5e941d80-bf96-11cd-b579-08002b30bfeb}

[HKEY_CLASSES_ROOT\.txt\ShellNew]

NullFile??REG_SZ

ItemName??REG_EXPAND_SZ??@%SystemRoot%\system32\notepad.exe,-470

可以看到，新版本增加了对文件关联是否正常的检测10、已安装软件与以前版本不同的是，新版本变得大众化，不再是注册表数据，而是经过解析以后的数据，方便用户查看处理，即使是小白也知道那是什么

Tags:系统扫描.