瑞星卡卡安全论坛

看了1也

酷卡mm做的图，貌似放大的时候没有等比.........实在看不请的到14楼直接下载打包的看吧，自己用看图工具缩放一下

从新下压缩包吧，重新上传过了，没问题了

:kaka12: 我希望有几个实例分析:kaka12:


===================以下内容为lqqk7回复==================
明天开始每天我都会定期在这里放几个日志供大家讨论

sreng不能扫描出的问题有哪些？老师能不能给我们举两个例子？那遇到这种问题的时候又怎么办呢？


===================以下内容为lqqk7回复==================
能够通过系统诊断日志发现的问题非常有限，本身日志只是帮助我们查找可疑程序的一个辅助工具，不是万能的东西。
当系统存在活体病毒时，通常会存在一个或多个进程（或注入某个正常进程的模块），还可能存在自启动项（如注册表、IE加载项、服务、驱动等等），这时候通过日志能够比较直观的发现异常所在（某些病毒也会使用隐藏技术，在日志中看不到任何异常，这种情况在日常求助中相对较少，具体问题具体分析）。
当你对SREng日志比较熟悉之后就会发现，能够通过日志解决的问题很有限，大部分情况下对反病毒会有帮助，但是一些非病毒导致的程序报错、软件冲突、网络异常等问题是无法通过日志体现出来的，包括感染病毒后它可能对系统做了一些修改，使系统出现了一些异常，但是病毒本体已经被干掉，如果病毒没有修改系统关键项，也很难通过日志发现问题。

通过老师讲义中软件的作者smallfrog搜索到的软件SREng.现在给大家奉上

附件: sreng2.zip

1.
服务
[COMODO Internet Security Helper Service / cmdAgent][Running/Auto Start]
<C:\WINDOWS\System32\svchost.exe -k netsvcs-->%SystemRoot%\System32
\hidserv.dll><N/A>

这个有问题吗？是不是跟讲义中的例子是一样的？

2.
怎么看[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run]下
哪些是病毒


===================以下内容为lqqk7回复==================
1、这个是没问题的，是一个系统服务；
2、这个问题没有标准答案，分析日志需要对系统文件比较了解，多看反毒版的高手们的分析结果，积累经验，就会比较容易判断了

好多啊，看得我头晕

2个本本，XP系统和VISTA

分别检测下看看！:kaka10: 酷卡是猪，居然把图搞成这样

有个小要求，不知道以后能不能提前一两天上传讲义，现在白天其他实习上班的任务挺重，没有时间提前了解讲义内容，这样答疑的时候才开始学习，不能有效利用答疑机会，谢谢~


===================以下内容为lqqk7回复==================
收到，我会转告酷卡mm的

现在是上课时间，不要乱跟帖子


浏览器加载项下有很多类似
[]
  {00000AAA-A363-466E-BEF5-9BB68697AA7F} <, >
这是怎么一回事？？？


===================以下内容为lqqk7回复==================
很多流氓插件会在你访问某个网页时被自动安装，他们判断一个用户是否已经安装过这个插件一般就是通过clsid，这个{00000AAA-A363-466E-BEF5-9BB68697AA7F}就是一个clsid，假设它是一个恶意插件，当检测到注册表中不存在这个id时就会去下载安装。于是很多安全工具就推出了“插件免疫”功能，免疫的方法就是在注册表中建立这个插件的clsid，用来骗过恶意插件的检测机制，这时候就会在注册表中留下这样一个空白的键值

对了.我想问的是 对于那些病毒 他自己能不能设置自己为 微软的啥啥啥 呢? 就是说设置公司 版本都和正常的程序一样的?可以修改不?我想应该是可以设置的吧?那这样的话怎么判断呢/ 对这个问题一直很纠结咧.
因为原来自己做灰鸽子的时候 改的系统服务啥的 全部和微软的改成一样的.结果页是可以运行的...汗...


===================以下内容为lqqk7回复==================
SREng不知检测公司、版本等信息，还会验证数字签名，伪造一个公司名很容易，但是伪造签名相对就很难了
另外分析日志需要对系统关键文件很熟悉，譬如c:\windows\system32下存在svchost.exe，这是一个正常系统文件，如果发现出现一个c:\windows\system32\drivers\svchost.exe，就算他伪装的再好，也肯定是不正常的。

在安装根目录下建立Plugins文件夹，将所有插件复制到该文件夹即可（插件后缀名为SRE)。然后在Sreng界面里就可以看到安装的插件了。
打开sreng界面看不见呀


===================以下内容为lqqk7回复==================
插件是在这里的

老师，目前暂时有两个问题请教你一下：
我是连接了Ipv6的，通知在扫描生成日志的过程中正在使用IPv6网络，我好像记得这个服务就是什么“6to4”（借你图用用），为什么我的日志里没有呢？？

另外，请看一下下面的部分，能不能解释一下那些0.0.0.0，我不太懂，谢谢！
==================================
HOSTS 文件
127.0.0.1      localhost
------ 屏蔽迅雷看看广告 ------
0.0.0.0  pubstat.sandai.net
0.0.0.0  mcfg.sandai.net
0.0.0.0  biz5.sandai.net
0.0.0.0  float.sandai.net
0.0.0.0  recommend.xunlei.com
0.0.0.0  cl.kankan.xunlei.com
0.0.0.0    211.94.190.80
0.0.0.0  mtips.xunlei.com
0.0.0.0  211.94.190.80
0.0.0.0  mtips.xunlei.com
0.0.0.0  adsresult.joywell.com.cn
==================================


===================以下内容为lqqk7回复==================
1、对ipv6了解不多，但可以肯定你所说的6to4并非我截图中的这个6to4，截图中的这个应该是个病毒伪装的，你可以看一下网络连接里有没有ipv6网络协议，这是你连接ipv6的基础；
2、host中的0.0.0.0没有任何含义，它可以换成任意一个IP，目的是让你在访问后面的地址时解析到指定的IP，达到屏蔽恶意网站的目的

<\??\>    <N/A>
老师啊  这2个符号在里面的含义到底是什么？

是无法获取么？

如果扫描出来没有实际意义 我又怎么去把它们给删除了？

如果不删除的话  它们的存在会不会有什么影响？


==================================
Winsock 提供者
N/A
==================================
Autorun.inf
N/A
==================================
HOSTS 文件
127.0.0.1      localhost
::1            localhost
==================================
进程特权扫描
N/A
==================================
API HOOK
N/A
==================================
隐藏进程
N/A
==================================

这个属于正常现象？VISTA系统


===================以下内容为lqqk7回复==================
1、一般是在驱动项中经常见到\??\，具体原因暂时不清楚，轩辕小聪应该知道，有空问问他去，在分析日志时只要删除\??\后面跟随的文件即可，比如<\??\c:\windows\system32\drivers\virus.sys>
2、vista系统的host确实是多一行::1            localhost的，正常

老师 有没有纯净系统下正常的日志范例啊  混在一起我们不好学啊  先有个基本概念 以后自己也好分析呀


===================以下内容为lqqk7回复==================
完全干净的新系统，且默认未做任何改动的日志不好搞，有空我去虚拟机里扫一个吧

用谷歌的 picasa 3.1 看这文件比较清晰一些，可以拖放移动。

6L图中为什么有的后面是[N/A]或[ ]的是病毒，有的不是病毒？比如第一个黄框下的第二行和第三行


===================以下内容为lqqk7回复==================
通过对文件的公司、版本、签名的识别只是判断病毒的一方面，更多的要靠经验

还有个问题，难道日志必须要用这个软件来扫描？

不可以查看系统自动的日志文件？


===================以下内容为lqqk7回复==================
系统日志对于判断蓝屏、程序报错会更有帮助，但是对于病毒问题分析系统日志就会力不从心了
SREng是众多工具中比较出色、常用的一个，类似的日志扫描工具还有很多，比如瑞星听诊器、autoruns、wsyscheck、狙剑、卡卡助手、360等等

当中说这里包括了IE-BHO..........请问是从哪看出来的呀


===================以下内容为lqqk7回复==================
浏览器加载项即包括IE-BHO

正在运行的进程
1.
[C:\WINDOWS\system32\guard32.dll]  [N/A, ]

我的进程里多是这个，guard32.dll是什么啊？


2.
在浏览器加载项中发现了一些之前用过，但已删除的软件的信息，请问那些怎样可以删掉，要是不删掉会不会使系统运行速度变慢


===================以下内容为lqqk7回复==================
1、是进程中的模块，是不是装了comodo，可以按照路径找到文件去看一下版本信息，没记错的话应该是comodo的文件？
2、可以在SREng中删除，见图

启动项目的主要操作是关于下面四个项的编辑，
<shell>
<Userinit>
<AppInit_DLLs>
<UIHost>

我这几个项目在启动项里面咋都找不到呢?


===================以下内容为lqqk7回复==================
日志里肯定会有这几项的，至少要有1、2、4项，否则你的系统会有问题，根本无法登陆的

计划任务下面
是有还是没有好啊

计划任务
[已启用] SogouImeMgr.job
        F:\搜狗拼音\SOGOUI~1\413~1.239\PinyinRepair.exe

能否取消，怎么取消


===================以下内容为lqqk7回复==================
搜狗拼音输入法的相关程序，具体实现什么功能不清楚，肯定是正常的。
如果要删除，可以直接到控制面板的计划任务中删除，也可以在sreng中删除，取消勾选即可（见图）

没记错的话，这是comodo...

看了课件有很多疑问，请老师解答，太感谢了~！:kaka18:

1、启动项课件中写的，“黄框标出来的都是病毒文件”，判断原因是没有公司信息吗？还是别的原因？

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Active Setup\Installed Components\>{26923b43-4d38-484f-9b9e-de460746276c}]
    <Internet Explorer><%systemroot%\system32\shmgrate.exe OCInstallUserConfigIE>  [File is missing]
看了以前的日志，别人的这部分跟我的不一样，这正常么？为什么是[File is missing] ？

2、
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Active Setup\Installed Components\{6BF52A52-394A-11d3-B153-00C04F79FAA6}]
    <Microsoft Windows Media Player><rundll32.exe advpack.dll,LaunchINFSection C:\WINDOWS\INF\wmp.inf,PerUserStub> 
[]
Microsoft Windows Media Player 一般是带有公司信息的吧，是不是被篡改了？

3、
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
    <NvMediaCenter><; RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit>  [NVIDIA Corporation]
    <nwiz><; nwiz.exe /install>  [N/A]
第二项后面是 [N/A] ，这正常么？

4、
服务项课件里写了，“C:\WINDOWS\SYSTEM32\SVCHOST.exe 是正常的系统文件，但后面加载执行黄框里的rpcadmin.dll就有问题了
”，
那么对于[Human Interface Device Access / HidServ][Stopped/Disabled]
  <C:\WINDOWS\System32\svchost.exe -k netsvcs-->%SystemRoot%\System32\hidserv.dll><N/A>
加载的是hidserv.dll，这些怎么判断是否有问题？

5、
驱动程序：
[rfwtdi / rfwtdi][Running/Auto Start]
  <\??\C:\Program Files\Rising\Ris\rfwtdi.sys><Beijing Rising Information Technology Co., Ltd.>
前面出现的\??\是什么含义？

6、
浏览器加载项：
课件里写到黄框里的可疑项，
[]
  {61F0024B-8278-4999-B7E6-2718426D9FE6} <, >
那么这样的是不是可疑的？

7、
为什么txt chm 的文件关联是ERROR，使用没问题啊，这是正常的么？如果是OK，也是正常的么？

进程PID是进程标志符，是特定的？会改变么？

修改这些是不是在注册表中？服务，驱动，浏览器加载项在注册表里是哪个目录？


===================以下内容为lqqk7回复==================
1、公司、版本等信息只是判断因素之一，更多的是靠对系统关键文件的熟悉，也就是经验积累； [File is missing]指的是目标文件已经不存在；
2、这里获取的是C:\WINDOWS\INF\wmp.inf文件的信息，一个inf配置文件实际上就是一个文本文件，不包含版本信息的；
3、正常，nv显卡驱动相关程序，应该是那个文件本身没有版本信息，并非由版本信息就一定正常，没有版本信息也不一定就是病毒；
4、这些其实都是对系统的熟悉程度和分析日志的经验决定的，%SystemRoot%\System32\hidserv.dll是一个正常的文件，是一个系统服务用的文件；
5、\??\的含义暂时我也不清楚，改天请教高手后再来回答。当然这个不影响后面的判断，\??\的后面跟随的就是真实路径
6、前面有人问过了，参考41楼的回复；
7、下一节课会讲这个地方；
8、PID是随机的，进程退出后下次再启动这个程序，它的PID也会改变；
9、系统关键项在SREng中就可以修改，见下图

搞不懂。老师那[N/A]和PID是什么含义呀？:kaka2:


===================以下内容为lqqk7回复==================
PID就是一个进程标识符，当进程启动之后由系统自动分配的

N/A是 空
PID 是 线程ID

System

  - Provider

  [ Name]  Microsoft-Windows-Servicing
  [ Guid]  {bd12f3b8-fc40-4a61-a307-b7a013a069c1}
  [ EventSourceName]  Microsoft-Windows-Servicing

  - EventID 4374

  [ Qualifiers]  32768

  Version 0

  Level 3

  Task 0

  Opcode 0

  Keywords 0x80000000000000

  - TimeCreated

  [ SystemTime]  2009-06-23T01:58:17.000Z

  EventRecordID 14677

  Correlation

  - Execution

  [ ProcessID]  0
  [ ThreadID]  0

  Channel System

  Computer xiaming-PC

  - Security

  [ UserID]  S-1-5-18


- UserData

  - CbsPackageChangeState

  PackageIdentifier KB948610

  ReleaseType Update

  PackageState Absent

  PackageAssembly Package_for_KB948610_server~31bf3856ad364e35~x86~~6.0.6001.2123

  Operation Absent

  OperationCompleted True

  ErrorCode 0x0

  RebootOption False

  MissingElements

VISTA系统下的一段警告系统日志，但是看不出什么原因，给解答下！


===================以下内容为lqqk7回复==================
:kaka6: 这个我也看不懂，发给微软工程师看看吧

一个没有，一个，具体什么用不知道，老师说，具体的病毒表现老师能给一个么？


===================以下内容为lqqk7回复==================
[N/A]可以理解为没有版本信息
PID是系统自动分配的进程标识符

老师可不可以发多几份日志来练习看啊？我电脑才重装，没什么毒可以看的！最好有那些病毒的例子！


===================以下内容为lqqk7回复==================
明天开始每天都会发几个日志来给大家讨论的