2010年2月4日[日志分析]-讲义 bbs.ikaka.com

完颜无泪 - 2010-2-4 9:34:00

沙发占楼:kaka12: :kaka12: :kaka12:
1.老师关于IFEO的问题
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\taskmgr.exe]
"Debugger"="C:\\123.exe"
一开始是不让建键值结果关掉防火墙和禁用瑞星杀毒软件可以建立键值但是不能建立debugger为名称的键值建立别的名称达不到
IFEO效果啊
2.
[] {e2e2dd38-d088-4134-82b7-f2ba38496583} <%windir%\Network Diagnostic\xpnetdiag.exe, (Signed) N/A>
请问老师讲义里面说【】一般都有问题那我电脑里这个有问题么

引用:

以下内容为lqqk7回复：
1、你是不是还装了其他安全软件？貌似360也会拦截创建debugger键值；
2、这项是正常的。

是啊老师但是我把360关掉了啊:kaka2:

小傻大呆 - 2010-2-4 9:47:00

问题:

今天讲义里面第9项里"正在运行的进程"部分下面说到红色部分是进程的PID和用户名,根据用户名可得知该进程继承的权限, 这个进程继承权限是指什么? 这个权限有级别的区分吗?

引用:

以下内容为lqqk7回复：
windows系统中常见的用户组，按权限级别高到底排序：SYSTEM>Administrators>Power Users>Users>Gusets
知道用户隶属于哪个组就可以知道这个用户所拥有的权限

eatingdog - 2010-2-4 9:51:00

地板占座

by02304501 - 2010-2-4 9:57:00

下载学习~~

zhaopeng19891114 - 2010-2-4 10:37:00

[]
{E2883E8F-472F-4fb0-9522-AC9BF37916A7} <, >

老师如果（浏览器加载项）中有上面的内容怎么看，以前没学过，相关能容。
为什么只有注册地址：
[]
{95B3F550-91C4-4627-BCC4-521288C52977} <, >
[卡卡上网安全助手]
{98B7C13A-E9CD-4959-8B46-FBEAB41E42A8} <C:\Windows\system32\UrlFilter.dll, (Signed) Beijing Rising Information Technology Co., Ltd.>
[Rising Online Antivirus scanner control]
{9FAFB576-6933-4CCC-AB3D-B988EC43D04E} <%ProgramFiles%\Rising\RavOL\RavOLCtl.dll, (Signed) N/A>
[]
{A7F05EE4-0426-454F-8013-C41E3596E9E9} <, >
[]
{AB89DD48-0830-4E5F-84D8-26FD53117778} <, >
[]
{B2170871-063C-45F6-8F53-AFB1DE8450A4} <, >
[]
{B580CF65-E151-49C3-B73F-70B13FCA8E86} <, >

引用:

以下内容为lqqk7回复：
这种情况就是在注册表CLSID下只有一个子项，没有名称、路径等其他信息

曾小崔 - 2010-2-4 10:42:00

来咯:kaka1:

greenwheat - 2010-2-4 11:03:00

:kaka1: 首页占位....请问老师(问的问题可能白痴点,第一次看日志分析......):

1.结尾标示[File is missing]是什么意思?

2.这是什么意思?google过,没找到.

入口点错误：GetCurrentThread (危险等级: 高, 被下面模块所HOOK: 0x03EE776D)

3.我看那个日志分析练习时,IFEO劫持项是否都是可疑的?

4.<; "D:\Unlocker\UnlockerAssistant.exe" -H> 里的-H是什么意思?

5.<C:\WINDOWS\System32\userinit.exe,,"D:\HFEE\SVOHOST.EXE" un userinit.exe> 中的两个路径分别是什么意思?

6.标注[(Verified)Microsoft Windows Component Publisher]之类的是否一定安全?

7.如果发现了可疑项,有没有有效的途径来确认它是否病毒?如果用谷歌或百度,搜出来的有说是这样或是那样,也没个确定的.

8.要是确认了某一可疑项是病毒的话,要如何才能把病毒删彻底?

引用:

以下内容为lqqk7回复：
1、[File is missing]表示目标文件已不存在；
2、这里指的是GetCurrentThread函数被HOOK；应用程序为了实现某些功能，经常会用到系统API函数；API HOOK就是拦截对某个API的调用，通过改变函数原有入口地址，可以简单理解为改变了其原有功能；具体的信息可以“API HOOK”作为关键词搜索；
3、不一定，具体要看被劫持的程序是什么，有些安全软件也会利用IFEO去劫持一些常见病毒的文件名，达到免疫的目的；
4、-H是这个程序的运行参数，具体作用不能确定，是他的开发人员自行设定的，但是通过字面理解，H极有可能是Hide的缩写，即隐藏，使用该参数运行程序可能是为了实现隐藏界面的功能；
5、两个路径就是这两个文件所在的文件夹；
6、多数情况下是可信任程序，但没有绝对，只用作辅助判断，还是要综合路径、文件名等其他信息综合判断；
7、除了搜索以外更重要的是积累更多的经验，除此之外没有更好的方法，因为日志提供给我们的信息很有限，我们永远无法通过日志了解到某个程序运行之后具体做了什么；
8、最常用的方法就是利用工具手工删除文件，这类工具很多，后面介绍；

Iris1011 - 2010-2-4 11:24:00

想问问老师，我的电脑的日志里面，AUTORUN.inf 和进程特权扫描那一栏打开以后只有一个N/A，这是为什么啊？

引用:

以下内容为lqqk7回复：
这表示在此项检测中没有发现异常

念初 - 2010-2-4 11:32:00

万众期待啊，日志分析来了

穷小子cd - 2010-2-4 11:39:00

1.文件不存在
5.也不一定哈

DragonKid - 2010-2-4 11:45:00

老师：
http://bbs.ikaka.com/showtopic-8640641.aspx#9782221
为什么说在这里的加载执行的%systemroot%\system32\rpcadmin.dll就有问题了？？

引用:

以下内容为lqqk7回复：
主要判断依据如下：
1、rpcadmin.dll本身不是系统文件，但不排除是第三方应用程序的文件；
2、Remot Procedure Call（RPC） Administrative Service这个服务不是系统服务，但服务名称却模仿了系统正常的RPC服务名称，不像是正常软件所谓，有试图通过与正常服务相似的名称蒙蔽用户的嫌疑；
3、通过google搜索rpcadmin.dll看看结果

综合以上几点认为这个文件很有问题；

微米天空 - 2010-2-4 11:57:00

日志分析是不是凭着对系统进程及注册表项的熟悉，判断可疑项目？细心和经验应该和重要吧？

引用:

以下内容为lqqk7回复：
:default69: 说的太对了！

战雨晨 - 2010-2-4 12:13:00

请教一下老师：
正在运行的进程部分，有的程序PID后面标注了“strike”，请问这是什么意思？是不是这样的文件都是有问题的？

谢谢老师~:kaka1:

梅罗 - 2010-2-4 12:19:00

因为他是通过svchost这个正常进程加载的，而且文件名比较可疑~

DragonKid - 2010-2-4 12:29:00

那他下面那条不也是通过svchost加载的吗，为什么就这个有问题呢？？
还有为什么说rpcadmin.dll这个文件名可以呢？？
O(∩_∩)O谢谢

DragonKid - 2010-2-4 12:33:00

老师：
是不是驱动程序中有完整公司信息和版本信息的都可以视为安全
而缺少版本信息和公司信息的都有可能是由病毒或恶意软件引起的呢？？

引用:

以下内容为lqqk7回复：
不一定，没有厂商信息、版本信息的不一定就是病毒，正常的文件多得不计其数，很多都没有保留这些信息；而病毒伪造一个版本信息是很容易的；

ty88 - 2010-2-4 12:39:00

参见http://tieba.baidu.com/f?kz=332897888

ty88 - 2010-2-4 12:48:00

1文件没找到
2HOOK 函数GetCurrentThread
3一般比较可疑
4程序启动的一个参数不用理他
5同时启动2个程序，前后并列启动
6一般安全，部分文件特殊处理后可以通过这一项但是现在应用较少
7多种途径结合，这个没法教
8同上

ty88 - 2010-2-4 12:49:00

那表示不存在AUTORUN.INF和隐藏进程

ty88 - 2010-2-4 12:51:00

1不一定，有些东西就是仿冒的，文件信息可以伪造
目前比较可信的只有数字签名
2也不尽然，有些东西本身就是没有文件信息的

At1n9 - 2010-2-4 13:08:00

O10 - Broken Internet access because of LSP provider `c:\progra~1\common~2\toolbar\cnmib.dll` missing 导致无法上网
我使用杀毒软件清除间谍程序，但是还是不能上网，而且提示HijackThis在O10项报告网络连接破坏，该怎么办？

引用:

以下内容为lqqk7回复：
修复winsock即可，有些工具也可能叫“修复LSP”；sreng、卡卡助手等等很多工具都有这个功能，点击修复，修复完成重启电脑即可

Luke8 - 2010-2-4 13:25:00

问题。
1.userinit.dll逗号如果后面跟着别的文件。应当怎么处理？
2.服务项如果运行，而且服务名称、公司名称很奇怪，在启动项内能找到他，有没有可能是病毒？
3..预览加载项，如果发现可疑项，直接用SRE删除即可？
曾看过一个拓展的帖子，说那些空白的项，大部分是杀毒软件阻止一些流氓软件导致的，那有没有必要用SRE删除他？
4如果出现ifeo。是不是可以用sre处理？
5.autorun.inf的问题。以教材中的图为例。是不是要把每个盘符的abc.exe删除。再去注册表找对应的键值进行删除就可以了？
6..hpi hook这个章节说到：一些病毒文件会利用此技术来隐藏自己，那病毒利用这个技术隐藏自己，会有什么特征？
7.[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run]<svchost><C:\windows\system32\drivers\svchost.exe> [Microsoft Corporation]
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run]<svhcost><C:\windows\system32\svhcost.exe> [Microsoft Corporation]
这2个哪个有问题？还是说2个都有问题？
8.[svchost / svchost][Stopped/Auto Start]
<C:\WINDOWS\system32\dllcache\svchost.exe -g><Microsoft Corporation>
如果在日志里看到这个，是不是说明备份文件被替换了？

引用:

以下内容为lqqk7回复：
1、编辑userinit注册表键值，将逗号后面的内容删除，保留c:\windows\system32\unerinit.exe,即可；
2、只能说有可能，最好通过路径、文件名综合判断；
3、可以用sreng直接删除，空白加载项可以不删；
4、可以，但是如果劫持项很多的话，用sreng逐一删除很不方便，可以用其他支持批量删除的工具；
5、autorun.inf是一个存在于磁盘根目录下的文件，并非注册表键值，所以只要删除abc.exe和autorun.inf文件即可；
6、不一定，日志中能体现出的特征很有限，比如隐藏进程、发现函数入口点错误等，最好能够借助其他工具如冰刃、wsyscheck等去进一步检查；
7、都有问题，第一个首先路径很可疑，drivers下一版不会有exe文件，且该文件名伪装为系统正常文件名；第二个准确的说是不合常理，虽然看路径和文件名都没问题，但是常规情况下svchost.exe不可能出现前面的那个注册表启动项中，即使是正常的svchost.exe，单独运行它也没什么意义；
8、被替换的可能性较大，dllcache里的程序正常情况下不会去运行，更不会注册为系统服务去运行；

穷小子cd - 2010-2-4 13:29:00

正常的

穷小子cd - 2010-2-4 13:33:00

提问：==================================
Winsock 提供者
VMCI sockets DGRAM
F:\Program Files\VMware\VMware Workstation\vsocklib.dll(VMware, Inc., VSockets Library)
VMCI sockets STREAM
F:\Program Files\VMware\VMware Workstation\vsocklib.dll(VMware, Inc., VSockets Library)什么意思

引用:

以下内容为lqqk7回复：
应该是安装了VMware Workstation虚拟机，为了实现虚拟机的网络相关功能会去修改winsock

飘零の翼 - 2010-2-4 13:36:00

请问老师，这个网游加速为什么会修改winsock
Winsock 提供者
Easy2Game-TCPChain
C:\WINDOWS\system32\GameLink.dll(www.Easy2Game.com, Easy2Game Service Provider)
Easy2Game-UDPChain
C:\WINDOWS\system32\GameLink.dll(www.Easy2Game.com, Easy2Game Service Provider)
Easy2Game-UDPChain
C:\WINDOWS\system32\GameLink.dll(www.Easy2Game.com, Easy2Game Service Provider)
Easy2Game-TCPChain
C:\WINDOWS\system32\GameLink.dll(www.Easy2Game.com, Easy2Game Service Provider)
Easy2Game-TCPFilter
C:\WINDOWS\system32\GameLink.dll(www.Easy2Game.com, Easy2Game Service Provider)
Easy2Game-UDPFilter
C:\WINDOWS\system32\GameLink.dll(www.Easy2Game.com, Easy2Game Service Provider)
Easy2Game-UDPFilter
C:\WINDOWS\system32\GameLink.dll(www.Easy2Game.com, Easy2Game Service Provider)
Easy2Game-TCPFilter
C:\WINDOWS\system32\GameLink.dll(www.Easy2Game.com, Easy2Game Service Provider)

引用:

以下内容为lqqk7回复：
拦截网络数据包，转发到自己的代理服务器实现加速的目的。很多网络相关的工具都跟winsock有关

穷小子cd - 2010-2-4 13:37:00

提问
windows安全检查怎么分析

引用:

以下内容为lqqk7回复：
多数情况下不需要特别进行分析，这跟我们判断系统是否存在病毒没有太大的关系。这个windows安全更新检测会把所有系统未安装的微软安全更新补丁列出来，除此之外没有其他作用。

穷小子cd - 2010-2-4 13:45:00

不一定吧，可以百度一下

jks_风 - 2010-2-4 13:47:00

引用:

原帖由 穷小子cd 于 2010-2-4 13:33:00 发表
提问：==================================

VMCI sockets DGRAM
F:\Program Files\VMware\VMware Workstation\vsocklib.dll(VMware, Inc., VSockets Library)
VMCI sockets STREAM
F:\P......

这个是和虚拟机有关的，VMware是现在主流的虚拟机的一种，至于Winsock 提供者你可以百度下下:kaka12:

jks_风 - 2010-2-4 13:55:00

提问：
1：是不是在分析日志的时候启动项和注册表都要特别关注（就是说病毒常常驻留的地方）？
2：对于系统进程中调用了动态函数链接库的我们要怎样辨别是不是正常的dll文件？
3：对于驱动文件的分析，我们要怎么辨别是不是系统自带的驱动呢？
4：对于可疑的dll我们要怎么删除呢？
5：对于可疑的驱动文件，我们应该怎样处理呢？

引用:

以下内容为lqqk7回复：
1、没错；文件路径、文件名也要关注；
2、怎么判断一个文件是否正常呢？这个没办法教，因为我们看到的仅仅是文件路径、文件名、厂商、版本这类信息，它到底做了什么通过日至是看不到的，只能是积累更多的经验吧；
3、对系统熟悉，至少要保证对系统核心文件、关键文件、关键注册表项等非常熟悉，比如一说到svchost.exe就知道它应该在system32下，说到explorer.exe就该知道它在windows下，这就跟背课文似的，死记硬背，没什么好方法；
4、我想你要说的肯定是那些正在被占用，无法右键直接删除的吧，有很多途径可以删掉它，比如找到哪个程序在占用它，先把这个程序干掉再去删除文件，或者尝试改变要删除的文件名，重启之后在删除，也可以利用工具暴力删除；
5、方法通上，但要更加谨慎，拿不准的可以先改名备份，以备不测；

瑞星卡卡安全论坛