瑞星卡卡安全论坛

首页 » 综合娱乐区 » 活动专区 » 实习生专区 » 实习生交流区 » 7月14日 日志分析 练习2
lqqk7 - 2009-7-14 23:07:00
即日起每日会给大家提供一些染毒环境的SREng日志,因为部分实习生是第一次接触SREng这个工具,对日志分析不熟悉,如果冒然跑去反病毒区回帖,一旦出现误判,可能对求助者不利,因此采用这种“内部”交流的方式,希望大家能够多练习,真正分析日志的方法是靠自己实践摸索出来的!

注:日志分析练习情况与大家的实习期总成绩没有关联,请大家不要有顾虑,放心大胆的练习!



 附件: 您所在的用户组无法下载或查看附件


以下为参考处理方案(仅列出需要删除的文件和注册表项等,具体使用什么工具请自行根据实际情况选择)

 附件: 您所在的用户组无法下载或查看附件
daemonz - 2009-7-15 9:32:00
又见磁碟机啊,可能很多工具用不了,
不过猫叔的方法很巧妙:http://bbs.ikaka.com/showtopic-8427464.aspx

c:\windows\system32\dnsq.dll
c:\windows\system32\com\lsass.exe
c:\windows\system32\com\netcfg.dll
c:\windows\system32\com\smss.exe
c:\windows\system32\drivers\alg.exe  (好像被感染)
c:\netapi000.sys

    启动项目 -- 注册表之如下项删除:
注意该项[AppInit_DLLs]修改:把<C:\WINDOWS\system32\dnsq.dll>修改为<>即清空
注册表的垃圾项:
[IMJPMIG8.1]    <; C:\WINDOWS\IME\imjp8_1\IMJPMIG.EXE /Spoil /RemAdvDef /Migration32>
[PHIME2002A]    <; C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.EXE /IMEName>
[PHIME2002ASync]    <; C:\WINDOWS\IME\imjp8_1\IMJPMIG.EXE /Spoil /RemAdvDef /Migration32>

    启动项目 -- 服务-- 驱动程序之如下项禁用:
[NetApi000 / NetApi000]    <\??\C:\NetApi000.sys>
朋♂友 - 2009-7-15 11:50:00
文件关联
.TXT  Error. [C:\WINDOWS\notepad.exe %1]
.SCR  Error. [AutoCADScriptFile]
.CHM  Error. ["hh.exe" %1]
.HLP  Error. [winhlp32.exe %1]
.INI  Error. [C:\WINDOWS\System32\NOTEPAD.EXE %1]
==
API HOOK
入口点错误:OpenProcess (危险等级: 高,  被下面模块所HOOK: C:\WINDOWS\system32\dnsq.dll)
merrk_chuan - 2009-7-15 17:05:00
***** 该内容需回复才可浏览 *****
Lighting_Cui - 2009-7-15 17:18:00
API HOOK
入口点错误:OpenProcess (危险等级: 高,  被下面模块所HOOK: C:\WINDOWS\system32\dnsq.dll)
精神病院看门的 - 2009-7-15 21:31:00
该用户帖子内容已被屏蔽
零度的穷浪漫 - 2009-7-31 17:04:00
开始操作之前,先把网络断开;
———————————————————————————————————————
使用暴力文件删除工具删除以下文件:
———————————————————————————————————————
C:\WINDOWS\IME\imjp8_1\IMJPMIG.EXE /Spoil /RemAdvDef /Migration32
C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.EXE /IMEName
C:\WINDOWS\IME\imjp8_1\IMJPMIG.EXE /Spoil /RemAdvDef /Migration32
\??\C:\NetApi000.sys
system32\DRIVERS\sr.sys
c:\windows\system32\dnsq.dll
———————————————————————————————————————
打开SREng,选择【启动项目】-【注册表】,编辑以下项,将其值改为空:
注意:一定不要删除这些项,将其值改为空即可!
[AppInit_DLLs]
———————————————————————————————————————
打开SREng,选择【启动项目】-【服务】将以下项删除:
C:\Program Files\kingsoft\KSM2.0\KSMSvc.exe
[NetMeeting Remote Desktop Sharing / mnmsrvc]
[WLTRYSVC / WLTRYSVC ]  <C:\WINDOWS\System32\wltrysvc.exe C:\WINDOWS\System32\bcmwltry.exe
———————————————————————————————————————
打开SREng,选择【启动项目】-【服务】-【驱动程序】,将以下项删除:
\??\C:\NetApi000.sys
\??\C:\WINDOWS\system32\npkcrypt.sys
system32\DRIVERS\sr.sys
———————————————————————————————————————
零度的穷浪漫 - 2009-7-31 17:12:00
还有磁碟机没看出来呢,这问题可严重了,看来不能光注意没有公司签名的啊
1
查看完整版本: 7月14日 日志分析 练习2
© 2000 - 2026 Rising Corp. Ltd.