瑞星卡卡安全论坛

本次课程用到的软件：SREng（System Repair Engineer）
SREng下载地址：http://www.kztechs.com/sreng/download.html

讲义更新时间：2010年7月12日，针对新版本SREng加入的对Windows安全更新的检测，以及特殊环境下可以使用的启动参数做了很少的更新，简单看一下即可！

讲义打包和相关资料在14楼下载



=====扩展阅读=====
关于启动参数：
如果在图形界面下直接双击SREng图标无法打开，还有什么办法呢？这时可以尝试加入不同的启动参数，首先说如何使用启动参数，主要有三种方式，以下均以d:\sreng2\SREngLdr.EXE路径为例：
1、在快捷方式的属性中直接加入参数，如图所示位置，注意斜杠前面有个空格


2、点击“开始”——“运行”，输入“d:\sreng2\SREngLdr.EXE /参数”


3、点击“开始”——“运行”，输入“CMD”并按确定打开命令提示符，在命令行中输入“d:\sreng2\SREngLdr.EXE /参数”


再来介绍一下启动参数都有哪些：
1、安全启动（在受限桌面下启动），加参数“/safedesktop”，如d:\sreng2\SREngLdr.EXE /safedesktop；
用途：受限桌面即通过对桌面的权限控制，能够避免一些窗口Hook的工作，同时也能够绕过一些和窗口、默认桌面相关的病毒的攻击。这个特性仅支持Windows 2000或以上的操作系统，可以在SREng无法打开或刚打开就自动关闭的情况下尝试使用。

2、后台扫描并自定义输出日志路径，加参数“/escan /escanlogpath [drive:]\path”，如需要后台扫描并将日志生成在d:\logs目录下，则启动命令为：“d:\sreng2\SREngLdr.EXE /escan /escanlogpath d:\logs”；
用途：同样是在遭受病毒攻击导致SREng无法打开或刚打开就自动关闭的情况下尝试使用，该模式下SREng会完全在后台运行，不会出现任何图形界面，后台扫描完成后自动将日志输出到指定路径下。
============

方便大家阅读，把两篇推荐贴的链接单独拿出来

1、【转贴】学看 SRE 报告（请注意看小聪的注释部分）


2、很多工具的使用。[附SREng工具的AppInit_DLLs和入口点错误提示]


所有讲义图片打包：

附件: 讲义（日志分析1）.part1.rar (2010-7-12 11:17:10, 3072 K)
该附件被下载次数 385

附件: 讲义（日志分析1）.part2.rar (2010-7-12 11:17:10, 1334.49 K)
该附件被下载次数 362

相关参考资料：

附件: 附件.rar (2009-7-7 16:21:57, 556.20 K)
该附件被下载次数 751

:kaka8: 附件还有一部分没有传

先回帖赚个印象分

图片都被默认拉伸了，看着真不舒服，还是原始图片好看

怎么解压的时候第六章图片出现问题呢?>

在7楼中老师分析服务时提到C:\WINDOWS\system32\svchost.exe 是正常系统文件，要是后面加载执行的%SystemRoot%\System32\appmgmts.dll就有问题了

扫描了自己电脑，发现服务中有2处后面加载执行%SystemRoot%\System32\appmgmts.dll，请解读！

[Application Management / AppMgmt][Stopped/Manual Start]
  <C:\WINDOWS\system32\svchost.exe -k netsvcs-->%SystemRoot%\System32\appmgmts.dll><N/A>
[HID Input Service / HidServ][Stopped/Auto Start]
  <C:\WINDOWS\System32\svchost.exe -k netsvcs-->%SystemRoot%\System32\hidserv.dll><N/A>


lqqk7回复：
讲义里面说的那个文件是rpcadmin.dll，不是系统文件，也没有版本信息，所以可以度很高
而你说的appmgmts.dll是没问题的，这是一个系统服务

http://bbs.ikaka.com/showtopic-8504098.aspx
这里说了[HID Input Service / HidServ][Stopped/Auto Start]
  <C:\WINDOWS\System32\svchost.exe -k netsvcs-->%SystemRoot%\System32\hidserv.dll><N/A>
是安全的

不才补充一下Sreng的官方下载地址：http://www.kztechs.com/sreng/download.html里面还有一些很有用的插件。
插件安装步骤：在安装根目录下建立Plugins文件夹，将所有插件复制到该文件夹即可（插件后缀名为SRE)。然后在Sreng界面里就可以看到安装的插件了。


===================以下内容为lqqk7回复==================
嗯，感谢，我已经把地址补充进去了

先下载下来,认真学习

这是系统变量的一些表述方法
%SystemRoot% = C:\WINDOWS 
还有一些比如
%HOMEDRIVE% = C:\         
%windir% = %SystemRoot% = C:\WINDOWS     
%USERPROFILE% = C:\Documents and Settings\sihochina


===================以下内容为lqqk7回复==================
呵呵，HeeNu说的应该是另一个问题，与环境变量无关的

:kaka1: 可不可以提个小小意见！

给我们介绍的软件可不可以顺带传上来

还有就是图，有的地方标注的不是很清楚


===================以下内容为lqqk7回复==================
:kaka4: 原图其实挺清楚的，就是放大的时候没有等比，有点变形了，实在不行就下载14楼附件自己用看图工具看吧

你可以下载下来，用系统分自带的图片浏览器查看啊！
SReng工具
最新版本下载地址 http://www.kztechs.com/sreng/download.html

学到很多。 很喜欢~

这个讲义可不可以下载下来看呢？


===================以下内容为lqqk7回复==================
在本帖14楼有打包下载

讲义的最后有附件

讲义2 其中的6.jgp解压错误啊，提示说要从上一级启用解压。


===================以下内容为lqqk7回复==================
14楼的附件已经重新上传了，重新下载就行了

:kaka12:已经都传上去了