瑞星卡卡安全论坛

老师您好：
驱动程序：[5BBD23A8 / 5BBD23A8][Stopped/Auto Start]
  <\??\C:\WINDOWS\system32\drivers\5BBD23A8.sys><N/A>
这个是正常的么？
==================================================
浏览器加载项：
[ASniff Control]
  {B1A7DC5E-BFF1-11D6-8563-00D009D8ED5B} <C:\WINDOWS\system32\ASniff.ocx, ASniff Technology>
[]
  {E2883E8F-472F-4FB0-9522-AC9BF37916A7} <, >
[]
  {00000000-0000-0000-0000-000000000000} <, >
[]
  {00000000-12C9-4305-82F9-43058F20E8D2} <, >
这个是正常的么？
==================================================
还有一个：上面的[]是什么意思？


===================以下内容为lqqk7回复==================
1、这个驱动从路径和文件名来看，首先肯定不是系统文件，也无法判断是否属于某个第三方软件，通过网络搜索也没有获得有价值的信息，且看文件名极有可能是采取了随机命名的方式，所以它非常可疑！通过状态可知其当前并未运行，所以这种情况可以将启动类型改为禁用，然后提取文件上报反病毒厂商分析；

2、C:\WINDOWS\system32\ASniff.ocx这个通过网络搜索得知应该是反聚生网管软件或局域网嗅弹工具；
其他三个是空的CLSID，可能是第三方软件创建的或免疫恶意插件用的；

3、[]表示该CLSID的名称为空；

lqqk7老师辛苦了，看完讲义有如下问题望回答：
1、
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run]
[HKEY_CURRENT_USER\Software\Microsoft\Windows NT\CurrentVersion\Windows]
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run]
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon]
这四个位置都有启动项，他们有何区别？

2、我做了一下您去年给出的练习
练习地址：http://bbs.ikaka.com/showtopic-8640994.aspx
在日志中，我看到浏览器加载项。
[]
  {6AD31948-2ED9-4A2B-85EA-105DD4F656B4} <, >
[]
  {33564D57-9980-0010-8000-00AA00389B71} <, >
[]
  {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} <, >
[]
  {D18A0B52-D63C-4ED0-AFC6-C1E3DC1AF43A} <, >
自己感觉这些无名称的加载项很可疑，为什么在参考答案中放过了这些项目呢？

3、另外在练习中，我看到类似：
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Active Setup\Installed Components\>{26923b43-4d38-484f-9b9e-de460746276c}]
    <Internet Explorer><%systemroot%\system32\shmgrate.exe OCInstallUserConfigIE>  [File is missing]
什么情况下会导致文件丢失？文件丢失现象会是病毒引起的吗？
                                                                                                                                    实习生：panxiaoting

===================以下内容为lqqk7回复==================
1、把注册表路径拆开来看比较容易理解：
HKEY_CURRENT_USER表示针对当前用户的设置；
HKEY_LOCAL_MACHINE表示针对本地计算机的设置；
\Software\Microsoft\Windows这部分表示和windows有关，但和NT无关的设置，这部分设置在非NT内核的Win系统（如win98\winme等）下也是通用的；
\Software\Microsoft\Windows NT这部分表示基于NT内核的功能设置；
\CurrentVersion表示针对当前版本Windows的设置；
\Run表示自动运行相关设置；
\Windows表示和Windows有关的功能；
\Winlogon表示和系统登陆有关的功能；

2、因为他们仅仅有一个CLSID而已，没有对应的文件路径；

3、文件丢失有很多种情况，针对系统文件丢失，比较常见的就是用了第三方封装的系统，将不必要的组件精简掉了。另外也有可能是第三方软件卸载不干净，导致注册表残留。当然，也有可能是病毒导致的，病毒可能删除掉那些可能干扰它正常运行的程序。

lqqk7老师好。
现在有病毒使用的是真实的签名，这个是不是只有通过文件名和对应签名来依靠经验判断了？
对于一些相对智能的分析工具，是不是就不能用直接过滤签名功能来排除具有签名的文件了吧？
对于伪造的数字签名如何更好的识别而不遗漏呢？

谢谢老师

===================以下内容为lqqk7回复==================
1、对于极少数能够成功伪造签名的病毒，基本上经验判断占大多数了；

2、呃。。。。这个，不知道你指的是什么工具，智能化程度有多高？这种只能至少也是建立在人为指定规则的基础上的，所以还是看规则的完善程度了；

3、经验！没什么好办法，不过伪造微软签名应该可以被SREng识破吧，至少从SREng对系统文件的验证机制来看，伪造是行不通的；

非常荣幸我们能获得这次培训的机会，我使得我对安全方面有了更多的体会，尤其这次日志分析课程，让我能够更直观的方法发现病毒。但是我觉得可能这个需要很多经验，我觉得我还没这方面的经验，所以想请老师能不能多提供些案例或资料，让我们能够更好的积累些经验。

下面一些是我在学习与使用时遇到的一些问题。请您帮我看下。
1。SREng扫描时间过长。为什么我用SREng扫描扫描了很久很久。已经一个小时了。我以前用过这个记得并不要很久啊？
一直在扫描“驱动程序”“正在运行的进程”，这两项。我用的是SREng2.8.2。1321版本，难道它无法扫描我的计算机。

===================以下内容为lqqk7回复==================
一个多小时确实不正常，关掉当前运行的其他第三方程序后再试，或者到安全模式下扫描；

2。AcroRd32Info.exe-应用程序错误。
“Ox0700609c”指令引用的“Ox000000014”内存，该内存不能为“read”。
要终止程序，请单击“确定”

在运行过程中怎么出现这个？这是不是也是引起我问题1的原因？

===================以下内容为lqqk7回复==================
adobe reader相关程序报错，仅通过报错很难判断问题原因

3。能稍微列举几个常见的病毒能过扫描出现的结果吗？并告诉我们下这个病毒的名称。

===================以下内容为lqqk7回复==================
这种情况并不常见，更多时候是一些对抗性比较强的病毒阻止SREng打开，或造成打开后无法正常操作，比如磁碟机，新版本的SREng针对这种对抗性病毒也有应多措施，可以看一下讲义一楼昨天更新的部分！大多数情况下只有存在活体病毒，日志都能发现蛛丝马迹，极端特例也有过，手头没有现成的例子，看以后能不能遇到吧:kaka1:

4。现在系统那么多，如winxp,ser2003,ser2008,win7等等，那么启动项，进程名称都类似吗？

===================以下内容为lqqk7回复==================
系统关键项的路径和名称基本是一致的，但由于新版本的系统新增了更多的特性和功能，也会比较老的系统多一些系统文件，比如服务项，win7包含了一些xp中已有的服务，也有自己新增的服务。

终于整出来日志文件了。

在附件中，好多啊~您能帮我看看是不是有有问题的？

附件: SREngLOG.log (2010-7-12 11:09:31, 64.59 K)
该附件被下载次数 149

===================以下内容为lqqk7回复==================
没有明显异常

老师好，请问为什么一些不安全的文件也会有"Verified"标识呢？

===================以下内容为lqqk7回复==================
这种情况多见于系统文件被感染，病毒同时将dllcache中的备份文件也一同感染，也就是说这个时候原始文件和dllcache里的备份文件均被感染，并且他们两个文件是完全相同的，所以SREng在检测文件SFC状态时就会就会得到一个验证通过的报告。这时文件虽然没有通过数字签名验证，但是通过了SFC验证，就会显示Verified

老师好。。
我想先说一下我的学习经验。。昨天晚上我在官网上下载了最新版的SREng，然后开始扫描，就碰到楼上说的扫描时间过长，扫了半个小时也没扫完，我就觉得不太对劲，于是关了重开，还是如此，一会儿我就没管它，之后我在运行窗口输入msconfig配置启动项，结果发现程序无法响应，一般情况下这是不可能的。。我想不会是中招了吧。。由于时间太晚，我太困了，所以暂时没去处理（:kaka12: ），直到今天早上开机，再次运行SREng，360开始弹出提示有异常程序要修改启动项，我于是肯定我真是中招了，本来还不太确定是不是官网上的SREng有问题，现在看楼上有几个类似情况，于是我觉得有70%的可能了。。我立即开360杀木马（不是我不想用瑞星，实在电脑里文件多，瑞星扫得有那么点慢了呃，嘿嘿。。:kaka5: ），果然杀出了一个，为了方便以后的学习，我暂时尚未处理，应该没啥问题吧。。。后来我便在http://bbs.ikaka.com//showtopic-8442813.aspx上下了2.8版开始扫描，不用几分钟便扫完了，得以成功继续学习，呵呵。。

在学习过程中，我遇到以下问题，希望老师指导：
1. 在扫描日志的注册表中，如果文件属性版本中的公司显示[File is missing]这种情况，对于系统有没有威胁？需不需要处理？

2. 在扫描日志的服务中，有如下情况：
（1）  [System Restore Service / srservice][Stopped/Disabled]
  <C:\windows\system32\svchost.exe -k netsvcs-->C:\WINDOWS\system32\srsvc.dll><N/A>
照讲义所讲C:\windows\system32\svchost.exe是正常的系统文件，但是后面加载执行C:\WINDOWS\system32\srsvc.dll就有问题，对不对？但是其状态和启动类型是[Stopped/Disabled]，那它具不具有威胁？
（2）  [Dell Wireless WLAN Tray Service / wltrysvc][Running/Auto Start]
  <C:\windows\System32\WLTRYSVC.EXE C:\windows\System32\bcmwltry.exe><N/A>
这个WLTRYSVC.EXE和bcmwltry.exe是不是病毒文件呢？因为我用的是笔记本电脑，可能会有其他配置程序的开启而导致SREng不识别，但我觉得也不能判定这两个程序是否安全吧？

3. 在扫描日志的浏览器加载项中，
[使用迅雷下载]
  <C:\Program Files\Thunder\Program\geturl.htm, N/A>
[使用迅雷下载全部链接]
  <C:\Program Files\Thunder\Program\getallurl.htm, N/A>
[发送到 Bluetooth 设备(&B)...]
  <C:\Program Files\WIDCOMM\Bluetooth Software\btsendto_ie_ctx.htm, N/A>
[导出到 Microsoft Office Excel(&X)]
  <res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000, N/A>
[添加到QQ表情]
  <C:\Program Files\Tencent\QQ\Bin\AddEmotion.htm, N/A>
这些虽然标为可疑程序，但我们自己是能够辨别正常的。
[HTML Document]
  {25336920-03F9-11CF-8FD0-00AA00686F13} <%SystemRoot%\system32\mshtml.dll, (Signed) N/A>
[SearchAssistantOC]
  {B45FF030-4447-11D2-85DE-00C04FA35C89} <%SystemRoot%\system32\shdocvw.dll, (Signed) N/A>
可如果是如上这种我们自己也不认识的程序被标为可疑，我们该怎么办呢？


写了这么多，希望老师有耐心看完哟。。:kaka12:


===================以下内容为lqqk7回复==================
1、[File is missing]表示文件不存在，没有威胁，通常是系统经过精简去掉了不必要的组件，或病毒文件删除后注册表项有残留，可以将此项删除。

2、
[System Restore Service / srservice][Stopped/Disabled]
  <C:\windows\system32\svchost.exe -k netsvcs-->C:\WINDOWS\system32\srsvc.dll><N/A>这个是系统还原服务，是正常的！讲义是举例，分析日志需要对系统正常项比较熟悉，这里是一个正常的系统服务，病毒同样也可以用同样的方法创建服务，只有对系统熟悉才能避免误判；
 
3、这个是无线网卡的托盘管理程序，并非SREng不识别，可能程序本身就不带有版本信息，要知道SREng就是扫描你的系统，把系统中原有的信息以日志的形式展现出来，它并不具备智能分析的能力，系统环境是什么样的日志就是什么样的，SREng并不能判断一个文件是否安全，判断的过程是人为完成的。

4、日志中出现N/A这个标识，并不是说它可疑，这个概念一定不要混淆，刚才已经说过了，SREng不具备智能分析的能力，它就是把系统环境以日志的形式呈现出来而已。至于这里为什么显示N/A，是因为这个文件本身不含有厂商和版本信息，所以显示为N/A。

5、注意一下后面显示的Signed，这就表示该项是可信任的，那如果你还有怀疑怎么办呢？可以通过百度或google搜索一下，多数情况下可以获得有价值的信息。如果有条件也可以直接提取文件样本发送到反病毒厂商进行检测。

1.检查进程模块的数字签名是不是就是扫描进程中加载的DLL文件的数字签名？
//verifide该文件已经通过数字签名验证。
2.驱动程序和软件如此众多服务项目也是很多没见过的，面对这些我们应该怎么辨别？
其实如老师所说SRENG日志真的只能靠自己多看才可以。以上两个问题是我在实际中碰到的问题，以前遇到一个病毒只是单纯的加载了一个动态函数链接库就达到了很强大的目的，我在想要是这个DLL文件名和系统中的DLL文件名一样是不是日志分析就没什么用了呢？
而且以前在看一些日志的时候，很多的服务项多的让人眼花，而且都没见过，就更加脑袋疼了，呵呵，我以前都是查百度，很浪费时间，不知道有啥好的方法。

===================以下内容为lqqk7回复==================
1、不只是dll，多看日志你会发现进程中可能还有其他比如.ime、.ocx等等其他模块，勾选后会验证所有这些模块的签名；

2、病毒一般都会把自己隐藏在有共同性的目录中，比如机会每个人都把系统装在c:\windows目录中，也就是说几乎每台win系统的电脑都有这个目录，那么病毒藏在这里就不易被发掘，这类目录还有诸如windows下的子目录、IE浏览器目录、C盘根目录、系统还原目录、回收站目录等等，他们都具有共同性。很少有病毒会把自己藏在不具备共同性的目录，比如“e:\forever”这样的路径就不具备共同性，且不说是不是每台电脑都有E盘，这样一个陌生文件夹的突然出现肯定会引起人们的警觉。依据这个原则，再去结合路径判断，比如“D:\chengxu\Thunder Network\Thunder\ComDlls\ThunderAgent5.9.22.1466.dll”这样一个文件，这是迅雷的相关文件，假设你不知道它是什么，但是从路径看，不可能每台电脑都有这样的目录，那么一般病毒就不会选择这里，多半是用户自己安装的软件。分析日志要多练习，看得多了对一些常用的软件相关的文件名就会有印象，少数不常用软件结合搜索引擎搜索，也能够帮助你进行判断。

3、至于你说的病毒文件名和系统文件名一样的情况，分两种情况，无论那种情况都需要你对系统关键文件有一定的了解，只要要知道文件名和路径在哪：
A、病毒直接修改或替换了系统正常文件，这种情况下单凭路径和文件名来看都是没问题的，但是有一点，它绝不能通过数字签名的验证；
B、病毒使用和系统文件相同的文件名（如svchost.exe），并将自己放在一个与系统正常文件相似的有迷惑性的目录中，比如c:\windows\system\svchost.exe或c:\windows\svchost.exe，这时你首先要知道系统正常的svchost.exe应该是在c:\windows\system32下，在其他路径下出现高度伪装系统文件的情况，就需要特别注意了！

Winsock 提供者
N/A

==================================
Autorun.inf
N/A

==================================
HOSTS 文件
N/A

==================================
进程特权扫描
N/A
==================================

API HOOK
N/A

==================================
隐藏进程
N/A

老师，这些能否说明我的电脑目前正常呢？
不理解为什么都不可用。。。

===================以下内容为lqqk7回复==================
这几项显示N/A表示没有发现异常

这个不是很懂，先看看。。。。。。

老师好。我有以下几个问题：

1. 7楼，服务那一页，从什么地方可以看出rpcadmin.dll这个加载项有问题？它看上去和第三行hidserv.dll形式上相似。除了百度，有没有更好的判断方法？
2. 8楼，驱动程序那一页，除了瑞星其他都可疑，  其他从哪看出来可疑？是不是因为文件名比较无规则？
3. 11楼，1).autorun.inf那一页，例中的abc.exe文件位置在哪？ 2).隐藏进程那一页，腾讯为什么要隐藏进程？3). 既然autorun.inf是正常文件，那么删除它会不会造成不良后果？删除之后会不会再生？如何再生？能否不删除而将其修改为正常文件？

===================以下内容为lqqk7回复==================
1、首先要对系统文件有所了解，这样至少可知rpcadmin.dll不是一个系统文件，那么它应该属于病毒或其他第三方程序；其次，还是基于对系统的熟悉，你先要知道系统有一个很重要的服务名为Remote Procedure Call (RPC)，再看它的服务名称为Remote Procedure Call (RPC) Administrative Service，与系统正常服务名相似，有伪装的嫌疑，无论这个文件所在路径还是服务名称还是文件名，都是极力想伪装为RPC相关服务，基于这些因素来看，它高度可疑！

2、有一些不太专业的安全软件会通过文件名去识别病毒，并且现在网络很发达，一个人中毒后只要发个贴子，这个病毒的文件名、路径就能够被很多人看到，所以很多病毒开始使用随机命名的方式，每次感染时生产不同的文件名，企图让人摸不到规律。另外还需要了解，一个正常的应用程序几乎不会使用这种随机文件名，因为涉及到维护的问题，比如用户使用某个正常软件时遇到问题向厂商求助，厂商可能需要用户提供某个程序文件来检测，这时这个文件必须有一个固定的文件名，用户才能顺利找到文件，如果正常软件随机命名，那么恐怕连厂商自己都不知道自己的程序在用户电脑中是什么名称，后期更新维护难度极大。只有少数专杀工具为了不被病毒破坏，会在每次开启时释放一个随机文件名的文件，但通常会在你关闭专杀工具后自动删除掉。所以看到这种没有规律的文件名，且没有厂商信息，就非常可疑。

3、这里使用的是相对路径，文件在c盘根目录下，即c:\abc.exe；

4、隐藏进程分两种，一种是自身具备隐藏的功能，这种情况多见于安全软件和病毒；另一种情况是本身不具备也不需要隐藏，它的进程是被其他程序隐藏的，至于被谁隐藏，要结合进程模块、服务、驱动等综合判断；

5、autorun.inf是自动播放配置文件，有些正常软件会用到自动播放的功能，比如虚拟系统Prayaya V3，有一个功能就是利用autorun.inf达到双击盘符就运行虚拟系统的功能。这种情况下如果删除autorun.inf，会使这项功能无法正常使用，至于删除后是否重新生产，要看软件开发者是如何设定的了。
同时，病毒也会利用autorun.inf达到双击盘符自动运行的需求，如果病毒主体存在，只要你双击盘符病毒就会自动运行；而如果病毒主体已经不存在而autorun.inf仍然存在，就会造成双击盘符无法打开磁盘的故障，所以这时删除autorun.inf是没有任何不良后果的，而且是非常必要的！至于重新生成的问题，只要没有活体病毒存在，就不会重新生成。

6、能否不删除autorun.inf，将其改为正常文件？
可以，但没必要，相对于删除来说这样操作更繁琐，但达到的效果是相同的。除非你有特殊需求，比如希望双击盘符的时候自动执行某个设定的程序、或者希望更改盘符图标、又或者希望增加盘符右键菜单中的选项，这些都可以通过autorun.inf实现。但是我不建议你用autorun.inf去实现这些功能，因为部分不严谨的安全软件始终将autorun.inf列入病毒的行列去查杀，另外诸如更改图标、添加右键菜单选项这样的功能，很多系统设置工具都可以更方便的实现。

lqqk7老师，您好！

这是我机器的扫描结果：
启动文件夹
[腾讯QQ]
  <C:\Documents and Settings\All Users\「开始」菜单\程序\启动\腾讯QQ.lnk --> C:\Program Files\winsoft9\2222.vbs [File is missing]><N>

1.请问老师这是不是一个脚本病毒？

2.我查看了扫描结果的注册表部分：
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run]，没有发现和上边的[腾讯QQ]相关联的项，那只删除C:\Program Files\winsoft9\2222.vbs和快捷方式图标能否清理干净？

谢谢您，lqqk7老师！

===================以下内容为lqqk7回复==================
1、从路径和文件名看，应该是脚本病毒，但是文件已经不存在了，可以将启动文件夹中的快捷方式删除；

2、这个不能确定，最好将你扫的完整日志发上来，通过文件名很难判断是否和病毒有关系；

上课啦，过来签到

谢谢老师的回答！！

我来晚了，不过我会赶上的呵呵

lqqk7老师您好，我有两个问题向您请假：
1.SREng是通过什么判断是否添加Verified标识的呢？那个Explorer.exe是通过什么方法获得Verified的标识呢？
2.在扫描日志中常看到长串的数字，如[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Active Setup\Installed Components\>{881dd1c5-3dcf-431b-b061-f3f88e8be88a}]，我想了解一下{881dd1c5-3dcf-431b-b061-f3f88e8be88a}究竟是什么呢，与我们的日志判断工作是否相关呢？请您赐教，谢谢您！

===================以下内容为lqqk7回复==================
1、SREng通过数字签名、SFC状态、版本信息、Microsoft文件的一些其他特征。当通过SFC且通过数字签名，该文件标识为Verified且可以通过签名获取发行商名称；当通过SFC但没有通过数字签名，同时其他规则检查符合Microsoft文件特征的情况下，该文件仅标识为Verified，但因为不能通过数字签名检查，所以获取不到发行商名称；

2、这是一个CLSID，用来标识系统中的程序或组件，是一个全球唯一标识，有些CLSID是系统组件，有些是第三方软件创建的，也有用来屏蔽恶意插件的，当然也有恶意程序创建的，可以通过路径或网络搜索来协助判断；

lqqk7老师您好，我有两个问题向您请假：
1.SREng是通过什么判断是否添加Verified标识的呢？那个Explorer.exe是通过什么方法获得Verified的标识呢？
2.在扫描日志中常看到长串的数字，如[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Active Setup\Installed Components\>{881dd1c5-3dcf-431b-b061-f3f88e8be88a}]，我想了解一下{881dd1c5-3dcf-431b-b061-f3f88e8be88a}究竟是什么呢，与我们的日志判断工作是否相关呢？请您赐教，谢谢您！

===================以下内容为lqqk7回复==================
50楼已回

先看看呵呵，希望能学到点东西

老师您好！请问
1. 讲义第13张图片 腾讯将进程隐藏是正常的情况么？
2.autorun.inf为什么在使用资源管理器打开盘符时无法起作用？

===================以下内容为lqqk7回复==================
1、常规软件一般不需要隐藏自己的进程，发现这种情况就要结合日志的其他部分综合分析，比如看看进程中加载了哪些模块，有哪些服务、驱动等；

2、因为autorun.inf中的配置针对的是“双击盘符”或“右键单击盘符选择打开”这样的方式时去运行指定的程序，而资源管理器采用了树形目录结构，只要在左栏“单击”盘符，就会在右侧显示出磁盘中的文件，要注意这时仅仅是“单击”，autorun.inf是不起作用的！

问下：今天的日子分析有作业吗

===================以下内容为lqqk7回复==================】
没有

看着讲义上列出了很多有问题的进程，可是看着自己的日志文件却很难知道哪个进程是有问题的

===================以下内容为lqqk7回复==================
分析日志需要对系统关键项、常见项、主流软件都有所了解，通过路径一看就应该知道这个文件是不是系统文件，同时还要善于利用网络搜索，多加练习积累经验，就会比较容易了

lqqk7老师您好，根据讲义学习了sreng的种种，遇到了一些问题，具体如下：
1、今天打开SREngLdr.EXE后，选择【工具】→【检查新版本】后，它就停在下图那里了。
[attachimg]624402[/attachimg]
然后我就在任务管理器里，把它给强制关了，然后就出现了下图中的那个红色框框里的东西，删也删不掉。这个是为什么呀？


2、在SREng的标题栏中的数字是版本号吗？还是其他什么？


3、在生成的日志文件的【注册表】中
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Active Setup\Installed Components\>{26923b43-4d38-484f-9b9e-de460746276c}]
    <Internet Explorer><%systemroot%\system32\shmgrate.exe OCInstallUserConfigIE>  [File is missing]
可以看到好多的这种数字和字母混合的字符串，它们代表相同的意义吗？都是注册表中的ClassID？
这个Flies is missing是什么意思？对系统有没有影响呢？

4、在生成的日志文件的【浏览器加载项】中
[]
  {776B71E2-B4CC-4C94-BC7C-09103AA690B6} <, >
[]
  {7ED4CA4F-9FE2-4C6D-BA56-55247415C3BA} <, >
[]
  {87515F61-A66C-4319-A0E0-D416CB8059E3} <, >
讲义中说这些都是可疑项，那如何判定他到底是不是呢？

5、在生成的日志文件的【正在运行的进程】部分中
[C:\Program Files\Netease\网易闪电邮\FlashMailShell.dll]  [NetEase, 1.0.0.1]
这个压根儿就没运行的程序，怎么会有？

O(∩_∩)O谢谢~~

===================以下内容为lqqk7回复==================
1、第一张图没显示出来....
有些病毒会通过技术手段造成SREngLdr.exe无法运行，所以SREng会在运行时创建一个随机命名的副本，实际运行的是这个副本，在退出SREng时副本会自动删除。但如果非正常退出，这个副本就不会被删除，你需要看一下这个随机命名的程序进程是否已经退出了，如果因为程序异常导致进程没有退出，是不能删除的；

2、有些病毒通过获取窗口标题的方式判断当前窗口中的程序是否为安全软件，如果标题固定为“SREng”，则病毒很容易找到它并把它关掉，所以SREng的窗口标题也采用随机命名的方式，让病毒无法通过查找标题来关闭；

3、是CLSID，对应一个系统组件，或第三方软件；
Flies is missing表示文件已经不存在，但注册表项还有残留，可以删掉，对系统没有影响；

4、通过后面的路径判断的，注意看讲义中的那些加载项，后面是有路径的，如图：

在判断时可以根据路径并结合网络搜索；

5、这是加载到其他进程中的一个模块，用来实现一些功能，比如Winrar，很多人都在使用，只要安装了Winrar就会看到他的模块存在于其他进程中：
[PID: 240][C:\WINDOWS\Explorer.EXE]  [Microsoft Corporation, 6.00.2900.5512 (xpsp.080413-2105)]
    [D:\Program Files\WinRAR\rarext.dll]  [, ]
比如这个是用来实现右键菜单调用Winrar压缩的

大家都好早啊，刚看完课件，感觉要想做好“日志分析”需要掌握的东西好多啊，抓紧学习！
有个问题一时没想明白问老师一下，正常程序在什么情况下才需要修改文件关联啊，能举个简单的例子吗？
谢谢

===================以下内容为lqqk7回复==================
txt文件关联默认是系统自带记事本notepad.exe，有些程序员喜欢使用功能更为丰富的第三方文本编辑器，比如Notepad++、UltraEdit、EditPlus等，他们希望双击txt文件的时候不要自动使用系统自带的记事本，转为自动使用自己安装的第三方软件打开，这时候就会去修改txt文件关联；

老师，我还有两个问题。1.当访问域名时，都是先扫描host文件，如果没有要访问的域名时，再访问DNS服务器吗？
2.安全软件为什么要创建隐藏进程，既然是安全进程为什么不让用户看到？

===================以下内容为lqqk7回复==================
1、对，HOSTS的优先级高于远程DNS服务器；

2、商业化的软件通常不会隐藏进程，一般是一些专杀工具或者辅助处理病毒的小工具可能具备创建隐藏进程的能力，它并不是为了不让用户看到，而是为了不让病毒看到；

我很多地方都不明白，问问题可以也问不到点子上，望老师指点。
1。<cloud.exe><"H:\云端软件平台\cloud.exe" "min">  [File is missing]  这个[File is missing]是怎么造成的呢？

2。 在服务中有一段你说“C:\Windows\System32\svchost.exe -k netsvcs-->%SystemRoot%\system32\rpcadmin.dll有问题”我这个
[Themes / Themes][Running/Auto Start]<C:\Windows\System32\svchost.exe -k netsvcs--%SystemRoot%\system32\themeservice.dll><Microsoft Corporation>
应该没问题吧？我看<Microsoft Corporation>这个是微软公司的。

3。 还是不知道可疑项怎么看...是不是就是和其他项相比少东西比如没有公司名、文件版本，加载模块的路径和正常的不一样而且还不怎么认识的就是可以的么？？

4。 在文件关联部分中我也遇到了
.TXT  Error. [C:\Windows\notepad.exe %1]这句话，
应该怎么样判断到底是中毒了还是一些正常程序修改的？

5。 在Winsock提供者部分中：
“有些正常的软件会修改Winsock”怎么看出来被改过了？修改前应该是什么样子的呢？

===================以下内容为lqqk7回复==================
1、文件丢失可能是软件已经卸载，但注册表项还有残留，即卸载不干净；也可能是文件被误删除，被病毒删除，因为硬盘的逻辑错误或屋里损坏造成丢失，还有可能是病毒文件被杀毒软件杀掉，但是注册表项没有处理；

2、你这个没问题，这是系统的桌面主题管理服务；

3、主要是靠经验去判断，首先要对系统文件和常用软件相关文件比较熟悉，通过路径一眼就能看出这个文件是不是系统文件，然后再综合签名、厂商等信息去判断这个系统文件是否被修改；然后剩下的那些不是系统文件，也不是常见第三方软件的文件，那么他就只能是一些不常见的软件或病毒了，再结合路径和网络搜索去判断；多联系多积累经验！

4、这个是正常的，因为c:\windows下有notepad.exe，c:\windows\system32下也有notepad.exe，所以虽然这里显示error，但实际上关联哪个都是正常的，至于如何判断，还是要看关联的文件是否正常；

5、如果没有修改，处于正常状态的话，这项检测显示的结果应该是N/A，如果日志中这项下面显示了其他内容，则表示已经不是系统默认的了；

纠结了，在智能扫描下，到Windows 安全更新检查这里一直停到这里，20分钟后还是在Windows 安全更新检查这里，我想问下老师这是怎么啦！！！
还有就是在系统修复这里-高级修复-API HOOK检查这个主要是用来干什么的？  谢谢老师！

===================以下内容为lqqk7回复==================
1、扫描前尽量关闭其他第三方应用软件，使用官方下载的SREng扫描，运行SREng时如果安全软件出现某些拦截提示，应该选择允许或放行

2、API HOOK检测请参考官方帮助文档：
http://www.kztechs.com/sreng/help2/apihook.htm