针对“看日志”问题说两句 bbs.ikaka.com

baohe - 2006-5-15 16:58:00

中招后，来论坛求助，高手们一般会要求中招者提供系统日志。
扫日志的工具不止一个，性能也有些许差别。以前，我比较喜欢用HijackThis1.99.1。因为其日志简洁明了。
然而，随着HijackThis应用日趋普遍，病毒/木马的作者也在研究HijackThis，目的当然是不让自己做的木马/病毒被HijackThis扫到。现在流行的“灰鸽子”2006版就是个例子。
因此，现在我改用autoruns扫日志了。这个工具有一个compare（比较）功能，即：用户在系统干净时扫个autoruns的日志保存起来，作为今后的“对照标准”。
当你发现系统中招时，用autoruns扫个日志，并与原来保存的那个“干净日志”比较一下，立即可以发现异常项目。据此，你自己就可以动手解决问题；而不必再苦苦等待别人帮助。
具体过程见下面7个附图。
注意：自己新安装软件或对系统做更改后，应及时更新一下那个“干净日志”。否则，随着更改增多，比较结果会是“一片绿色”。

图1

附件: 1558472006515165829.jpg

baohe - 2006-5-15 16:59:00

图2

附件: 1558472006515165952.jpg

baohe - 2006-5-15 17:00:00

图3

附件: 1558472006515170026.jpg

baohe - 2006-5-15 17:01:00

图4

附件: 1558472006515170100.jpg

baohe - 2006-5-15 17:01:00

图5

附件: 1558472006515170135.jpg

baohe - 2006-5-15 17:02:00

图6

附件: 1558472006515170212.jpg

baohe - 2006-5-15 17:02:00

图7

附件: 1558472006515170250.jpg

孤独草01 - 2006-5-15 17:08:00

哪里有下..

baohe - 2006-5-15 17:12:00

引用:

【孤独草01的贴子】哪里有下..
...........................

图中的“窗口标题”已经告诉你“哪里有下载”。

孤独草01 - 2006-5-15 17:34:00

哎.英语不怎么行...有汉化就好了..

影子110 - 2006-5-15 17:38:00

呵呵~~
我都忘了还有这个软件，，
谢谢版主的介绍~~

学习~~

baohe - 2006-5-15 17:42:00

引用:

【影子110的贴子】呵呵~~
我都忘了还有这个软件，，
谢谢版主的介绍~~

学习~~
...........................

瑞星2006防火墙中就带这个软件，用法应该和这个相同。
遗憾的是——好多人不知道。
这软件买的——有点儿亏！“亏”的原因是自己懒惰！

友好人士 - 2006-5-15 17:43:00

看这个日志不累死才怪．．．

轩辕小聪 - 2006-5-15 17:44:00

瑞星防火墙2006版集成了部分autoruns的功能，所以如果有瑞星墙，也可以用瑞星墙的日志（不过没有比较功能，需要你自己前后对照）。
在“启动项目”中，单击右键，右键菜单中从“显示登录项”到“隐藏瑞星已签名的项目”，除了“显示空项”之外，其余通通打勾。等它刷新完之后，再右键点“复制到剪贴板”，然后再打开任一空白文档，按Ctrl+V，就可以把日志粘贴上了。
虽然可能功能不是很全，也不是很详细，不过对于菜鸟朋友自己做判断，还是基本可以满足。

友好人士 - 2006-5-15 17:45:00

这个日志怎么看其插入线程呢？我还有很多要学呀．．．

baohe - 2006-5-15 17:50:00

引用:

【友好人士的贴子】看这个日志不累死才怪．．．
...........................

技巧问题。
略去“微软的项目”——autoruns有这个功能。
此外，如果你有及时更新的“干净”系统日志作对照基准，根本就不用费劲逐项阅读日志。compare会自动以“绿色”显示异常项目。拨两下鼠标滚轮，日志阅读完毕，不消一分钟即可找到异常之处！

baohe - 2006-5-15 17:52:00

引用:

【友好人士的贴子】这个日志怎么看其插入线程呢？我还有很多要学呀．．．

...........................

监视线程插入问题，我个人认为：还是SSM和PG较强。

影子110 - 2006-5-15 18:46:00

引用:

【baohe的贴子】
瑞星2006防火墙中就带这个软件，用法应该和这个相同。
遗憾的是——好多人不知道。
这软件买的——有点儿亏！“亏”的原因是自己懒惰！
...........................

瑞星的这个比较简单~（中文的，能看懂，）

autoruns 要是支持中文的版本就好了~~

独孤豪侠 - 2006-5-15 19:46:00

呵呵,顶~~~我也不太喜欢用英文的东西~~~

闪电风暴 - 2006-5-15 20:04:00

学习啊

友好人士 - 2006-5-15 22:53:00

大叔，看看是否有问题．．．

附件: 6406502006515225304.jpg

baohe - 2006-5-15 22:56:00

引用:

【友好人士的贴子】大叔，看看是否有问题．．．

...........................

那是powershadow的启动项。
如果你装了powershadow——没问题。

独孤豪侠 - 2006-5-15 23:00:00

晕.不要一味的依赖工具,有时也要有自已的判断呀.
工具不是万能的~~~~

友好人士 - 2006-5-15 23:10:00

引用:

【独孤豪侠的贴子】晕.不要一味的依赖工具,有时也要有自已的判断呀.
工具不是万能的~~~~
...........................

我知道那是正常的，这是跟３份的一个日志比较的，
没事逗下猫叔而已......（手下留情，非恶意灌水）

其实在BlackStone那个帖子里就讲得非常详细了
http://forum.ikaka.com/topic.asp?board=28&artid=7318038

独孤豪侠 - 2006-5-15 23:12:00

猫叔很生气,后果很严重~~~~~~~

超级核弹头 - 2006-5-15 23:50:00

霏凡有8.51汉化版的。URL http://www.crsky.com/view_down.asp?downd_id=5&downd=0&ID=14860&down=yes

yanmings - 2006-5-16 14:31:00

这个方法好，菜鸟使用中...

fififofo - 2006-5-17 19:32:00

引用:

【baohe的贴子】
瑞星2006防火墙中就带这个软件，用法应该和这个相同。
遗憾的是——好多人不知道。
这软件买的——有点儿亏！“亏”的原因是自己懒惰！
...........................

懒人对杀毒软件销量的贡献是最大的……

tansj1098 - 2006-5-18 8:58:00

版主辛苦学习网络多几位这样的就好了

子阳 - 2006-5-18 19:13:00

学习了.

谢谢斑斑.

瑞星卡卡安全论坛