瑞星卡卡安全论坛

今天早上来坛子里转了一下，看到有很多实习生积极的回帖，很热心的帮别人解决问题，这种态度让人确实很高兴，但是我也有一些建议想提供给各位实习生以及带队的学长们。

1.对于要求别人提供日志的帖子，请不要直接复制别人的步骤贴，例如最常见的2.6版的SREngLdr.exe，仍然直接复制原来SREngPS.exe的说法，这样本来没什么，但是对于其他很多新手来说，特别是对计算机不熟悉的求助者来说，这样就会造成对方无所适从，不知道自己下载的文件是否有问题。
2.远程协助问题，我已经看到有好几位实习生在回帖中，直接回复QQ号，要求对方加自己进行远程协助，这样也许能显示你的动手能力，也许能将解决问题的时间缩短，但是对我们一直所致力于的全民参与网络安全没有好处。一：老道理，“授人以鱼不如授人以渔”，你帮了他一次、两次，你能一直帮下去吗？不通过一步步的详解他永远也学不会自己去学习解决问题，这样到最终对于那个求助者还是没有任何作用。对于其他看帖的人也起不到任何借鉴作用。二：瑞星公司是一家大公司，应有自己严格的安全与保密制度，对于客户的信息与隐私有着自己的保护政策，但是远程协助实质上是一种远程控制行为，远程控制其实对于客户的隐私是一种侵犯，尽管这种控制是对方允许连接的，但是你不能保证你的操作不会造成对方信息的泄露与传播。
因而请不要滥用远程协助，尽量引导至论坛上进行处理，对你、对求助者、对其他论坛注册用户、对瑞星公司都有理有利。

这只是我的看法，因为我现在从事通讯行业工作，对于这方面可能比较敏感，这两点小小建议仅供大家参考。

用户系统信息：Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1; .NET CLR 2.0.50727)

嘿嘿，收到

恩，明白。  感觉通过日志分析的来的结果和现实有时差距很大。

学习中......:default5:

看到泡泡版主的帖子，汗啊，感觉到了差距，还是要努力啊，先记住泡泡版主的话先

有一位实习生发帖说明自己一次为求助者远程协助的内容：“叫他下载超级兔子清理垃圾文件……”
我的回复是“既然只是下载一个辅助工具软件清理一下就可以解决问题，我没有看出有任何远程的必要”。
远程协助操作者（如论坛一帮一小组成员）的首要素质，不是会不会远程操作，而是会不会判断哪些情况需要或适合远程操作，哪些情况不需要或不适合远程操作。

那恐怕不是日志的问题，而是你自己能力和经验的问题，即你还没有能够把日志和真正的系统“连接”起来。
你不应该把日志看成枯燥的条目，在日志的条目之下，反映的是一个真实的系统，它正在运行的进程和模块，所有的启动项，甚至是躲在最黑暗角落里的东西，都在你的日志上浮现。日志绝对不是“静止不动”的，你应该设想，当我做了一个操作，比如删除一个启动项，结束一个进程，这个系统会起什么样的变化，日志会起什么样的变化。看日志是“把脉”，你应该透过日志看到这个系统的“病症”。而只有让日志在你头脑里“活起来”，你看到的才会是一个鲜活的系统。
看日志不能只关注于字面上的东西，还要从中意识到字面上没有的东西。日志再全面，永远也是“管窥”，如何能“窥一斑而知全豹”，全靠日志阅读者的能力和经验。在这一点上，你必须超越“纸上谈兵”。

那么怎么才能做到？实习生看现在论坛上的回帖，很可能会有一种感觉：“看日志就是看完了之后，把其中有问题的文件和注册表项挑出来，然后文件通通用XDELBOX删除，注册表项通通用SREng删除，就完成了任务了”。事实上当然没那么简单，处理病毒不仅仅有一种方法和手段，每种手段都有优缺点，有适用范围。要知道一种方法是否适合，效果怎么样，就必须关注求助者的反馈。回帖的会员们通常还有一个现象，看一篇日志，给出解决方案，就OK了，就只顾着这么一路向前跑，看到一个日志回一个方案，从来没有回头看看，看看自己之前回的帖子，看看自己提供的方案有没有效果，问题解决了没有。这样，你们就缺乏求助者的反馈，也就缺乏来自实践的信息，就难以发现自己的疏漏和错误。
所以，别的先不说，回帖的实习生，每一个帖子必须要记得回头看看，要尽量注意求助者的反馈并跟进，从中才能获得经验，避免与现实脱离的“纸上谈兵”。能力和经验就是这样慢慢培养起来的。

谢谢小聪学长指点。

:kaka1:  哦，明白了

对一个问题的跟踪反馈是作为依靠日志解决问题的最重要的过程之一

诚然，在日志分析初期，你可能会发现某些日志受病毒干扰不能反映系统的全部情况，但是正是通过处理之后两次日志的对比，我们可以找出其中的关键所在，在早期缺乏样本的情况下，很多病毒的完整解决方案就是通过这样一次次和求助者交流获得的结果，从而为下一个相同问题的求助者提够完美的方案

哎呀

你们早来这多说说呢

那样多好

需要常指点呀

受教了

说的对，受教了

收到~主要都要大家多多的动手

了解。个人建议：希望每个版主抽出一点时间来指出我们实习生在版主所在版块存在一些问题和提供一些建议，以便我们实习生改正以及更好地学习相关方面的知识。

版主太牛了
受教

造成反病毒偏差
可能是是分析助手的误导

大家只会删删删
但有时删删删是不行的

替换系统文件的
光删？

感染型病毒
删了行？:default5:

先感谢天天泡泡版主在百忙当中抽出时间来论坛对我们实习生的关照。有很多时候我也感觉远程协助是解决问题的最快、最奏效的方法。但是我个人体验之后（在申请当实习生的几个月之前曾经用过）发现，这个方法其实并不太好，泄漏隐私是一，另一个也影响对方的正常使用（挂远控，主要是QQ远程协助非常的慢，有时在给他人解决问题是，自己也什么都干不了）。而且正如泡泡版主所说，你一次两次可以帮他，但是总不能天天去帮。让受助者只会依赖别人而不会自己动手解决，这是和我们的初衷相违背的。聪哥的意思其实大家也明白，是为了让我们学会动脑，而不是来偷懒的，要不我们参与这个干吗？再有，看日志看不懂只是新手，如果学了很久还是看不明白，那只有两种可能：一就是你没用心去学，二就是你太懒了。

看来我还得努力啊

但是经常是没人反馈。。。我也不知道我的回复有没有作用