瑞星卡卡安全论坛

首页 » 综合娱乐区 » 活动专区 » 实习生专区 » [日志分析 1 ]讲义
lqqk7 - 2009-7-7 9:35:00
本次课程用到的软件:SREng(System Repair Engineer)
SREng下载地址:http://www.kztechs.com/sreng/download.html

讲义更新时间:2010年7月12日,针对新版本SREng加入的对Windows安全更新的检测,以及特殊环境下可以使用的启动参数做了很少的更新,简单看一下即可!

讲义打包和相关资料在14楼下载



=====扩展阅读=====
关于启动参数:
如果在图形界面下直接双击SREng图标无法打开,还有什么办法呢?这时可以尝试加入不同的启动参数,首先说如何使用启动参数,主要有三种方式,以下均以d:\sreng2\SREngLdr.EXE路径为例:
1、在快捷方式的属性中直接加入参数,如图所示位置,注意斜杠前面有个空格


2、点击“开始”——“运行”,输入“d:\sreng2\SREngLdr.EXE /参数”


3、点击“开始”——“运行”,输入“CMD”并按确定打开命令提示符,在命令行中输入“d:\sreng2\SREngLdr.EXE /参数”


再来介绍一下启动参数都有哪些:
1、安全启动(在受限桌面下启动),加参数“/safedesktop”,如d:\sreng2\SREngLdr.EXE /safedesktop;
用途:受限桌面即通过对桌面的权限控制,能够避免一些窗口Hook的工作,同时也能够绕过一些和窗口、默认桌面相关的病毒的攻击。这个特性仅支持Windows 2000或以上的操作系统,可以在SREng无法打开或刚打开就自动关闭的情况下尝试使用。

2、后台扫描并自定义输出日志路径,加参数“/escan /escanlogpath [drive:]\path”,如需要后台扫描并将日志生成在d:\logs目录下,则启动命令为:“d:\sreng2\SREngLdr.EXE /escan /escanlogpath d:\logs”;
用途:同样是在遭受病毒攻击导致SREng无法打开或刚打开就自动关闭的情况下尝试使用,该模式下SREng会完全在后台运行,不会出现任何图形界面,后台扫描完成后自动将日志输出到指定路径下。
============
lqqk7 - 2009-7-7 10:14:00
lqqk7 - 2009-7-7 10:14:00
lqqk7 - 2009-7-7 10:14:00
lqqk7 - 2009-7-7 10:15:00
lqqk7 - 2009-7-7 10:15:00
lqqk7 - 2009-7-7 10:15:00
lqqk7 - 2009-7-7 10:16:00
lqqk7 - 2009-7-7 10:16:00
lqqk7 - 2009-7-7 10:16:00
lqqk7 - 2009-7-7 10:17:00
lqqk7 - 2009-7-7 10:18:00
lqqk7 - 2009-7-7 10:20:00


lqqk7 - 2009-7-7 10:25:00
方便大家阅读,把两篇推荐贴的链接单独拿出来

1、【转贴】学看 SRE 报告(请注意看小聪的注释部分)


2、很多工具的使用。[附SREng工具的AppInit_DLLs和入口点错误提示]


所有讲义图片打包:

附件: 讲义(日志分析1).part1.rar (2010-7-12 11:17:10, 3072 K)
该附件被下载次数 389



附件: 讲义(日志分析1).part2.rar (2010-7-12 11:17:10, 1334.49 K)
该附件被下载次数 366




相关参考资料:

附件: 附件.rar (2009-7-7 16:21:57, 556.20 K)
该附件被下载次数 755

zapline - 2009-7-7 10:51:00
:kaka8: 附件还有一部分没有传
沙羽 - 2009-7-7 10:56:00
先回帖赚个印象分
working_man - 2009-7-7 11:01:00
图片都被默认拉伸了,看着真不舒服,还是原始图片好看
幽灵楠 - 2009-7-7 11:12:00
怎么解压的时候第六章图片出现问题呢?>
HeeNu - 2009-7-7 11:30:00
在7楼中老师分析服务时提到C:\WINDOWS\system32\svchost.exe 是正常系统文件,要是后面加载执行的%SystemRoot%\System32\appmgmts.dll就有问题了

扫描了自己电脑,发现服务中有2处后面加载执行%SystemRoot%\System32\appmgmts.dll,请解读!

[Application Management / AppMgmt][Stopped/Manual Start]
  <C:\WINDOWS\system32\svchost.exe -k netsvcs-->%SystemRoot%\System32\appmgmts.dll><N/A>
[HID Input Service / HidServ][Stopped/Auto Start]
  <C:\WINDOWS\System32\svchost.exe -k netsvcs-->%SystemRoot%\System32\hidserv.dll><N/A>


lqqk7回复:
讲义里面说的那个文件是rpcadmin.dll,不是系统文件,也没有版本信息,所以可以度很高
而你说的appmgmts.dll是没问题的,这是一个系统服务





zapline - 2009-7-7 11:36:00


引用:
原帖由 HeeNu 于 2009-7-7 11:30:00 发表
在7楼中老师分析服务时提到C:\WINDOWS\system32\svchost.exe 是正常系统文件,要是后面加载执行的%SystemRoot%\System32\appmgmts.dll就有问题了

扫描了自己电脑,发现服务中有2处后面加载执行%SystemRoot%\Syste......


http://bbs.ikaka.com/showtopic-8504098.aspx
这里说了[HID Input Service / HidServ][Stopped/Auto Start]
  <C:\WINDOWS\System32\svchost.exe -k netsvcs-->%SystemRoot%\System32\hidserv.dll><N/A>
是安全的
54wy - 2009-7-7 13:52:00
不才补充一下Sreng的官方下载地址:http://www.kztechs.com/sreng/download.html里面还有一些很有用的插件。
插件安装步骤:在安装根目录下建立Plugins文件夹,将所有插件复制到该文件夹即可(插件后缀名为SRE)。然后在Sreng界面里就可以看到安装的插件了。


===================以下内容为lqqk7回复==================
嗯,感谢,我已经把地址补充进去了
烟随风逝云伴风流 - 2009-7-7 14:42:00
先下载下来,认真学习
QoS - 2009-7-7 15:30:00


引用:
原帖由 HeeNu 于 2009-7-7 11:30:00 发表
在7楼中老师分析服务时提到C:\WINDOWS\system32\svchost.exe 是正常系统文件,要是后面加载执行的%SystemRoot%\System32\appmgmts.dll就有问题了

扫描了自己电脑,发现服务中有2处后面加载执行%SystemRoot%\Syste......

这是系统变量的一些表述方法
%SystemRoot% = C:\WINDOWS 
还有一些比如
%HOMEDRIVE% = C:\         
%windir% = %SystemRoot% = C:\WINDOWS     
%USERPROFILE% = C:\Documents and Settings\sihochina


===================以下内容为lqqk7回复==================
呵呵,HeeNu说的应该是另一个问题,与环境变量无关的
艾米宝贝 - 2009-7-7 17:17:00
:kaka1: 可不可以提个小小意见!

给我们介绍的软件可不可以顺带传上来

还有就是图,有的地方标注的不是很清楚


===================以下内容为lqqk7回复==================
:kaka4: 原图其实挺清楚的,就是放大的时候没有等比,有点变形了,实在不行就下载14楼附件自己用看图工具看吧
HeeNu - 2009-7-7 17:21:00


引用:
原帖由 艾米宝贝 于 2009-7-7 17:17:00 发表
:kaka1: 可不可以提个小小意见!

给我们介绍的软件可不可以顺带传上来

还有就是图,有的地方标注的不是很清楚


你可以下载下来,用系统分自带的图片浏览器查看啊!
SReng工具
最新版本下载地址 http://www.kztechs.com/sreng/download.html
基牛 - 2009-7-7 18:56:00
学到很多。 很喜欢~
零度的穷浪漫 - 2009-7-7 19:29:00
这个讲义可不可以下载下来看呢?


===================以下内容为lqqk7回复==================
在本帖14楼有打包下载
zapline - 2009-7-7 19:31:00


引用:
原帖由 零度的穷浪漫 于 2009-7-7 19:29:00 发表
这个讲义可不可以下载下来看呢?


讲义的最后有附件
言兮 - 2009-7-7 19:43:00
讲义2 其中的6.jgp解压错误啊,提示说要从上一级启用解压。


===================以下内容为lqqk7回复==================
14楼的附件已经重新上传了,重新下载就行了
lqqk7 - 2009-7-7 19:50:00


引用:
原帖由 zapline 于 2009-7-7 10:51:00 发表
:kaka8: 附件还有一部分没有传
:kaka12:已经都传上去了
12345
查看完整版本: [日志分析 1 ]讲义