瑞星卡卡安全论坛

讲师：lqqk7

讲义地址：http://bbs.ikaka.com/showtopic-8640641.aspx

本次课程答疑时间：2010年7月12日 14:00-16:00

答疑形式：实习生看过讲义后即可发表问题咨询，讲师在答疑时间内会将答复直接回复在提问者的问题所在楼层内.

提问方式：回复本帖提问（即跟帖），不要通过QQ群提问！

第一个  好好先复习一下！！

一定要好好学这章，觉得很有用！！

老师请问一下！
在预习的过程中发现有问题的部分都有一些共性，在【浏览器加载项】这一部分，是否插件的路径在
c:\windows\system32\……都是有问题的呢？

===================以下内容为lqqk7回复==================
不一定，综合多种情况判断，首先需要对系统和常用软件的文件足够熟悉，通过完整路径和文件名看是否输入系统文件或正常软件；另外要看他是否通过签名验证；对于拿不准的文件，百度、google搜一下看看别人的结论也是很有参考价值的；经验就是这样一点一点积累的！

这个^-……叫 预习 把？

这么快就出来啦

这么快就开始啦:kaka12: 学习~一下是学习心得和小问题
1启动注册表：找到了瑞星:kaka1: [(Verified)Qizhi Software (beijing) Co. Ltd]
    <RisTray><"E:\rising\Rising\Ris\RsTray.exe" -system>  [(Verified)Beijing Rising Information Technology Corporation Limited]
正确的internet：<shell><Explorer.exe>  [(Verified)Microsoft Windows Component Publisher]
这样子的<Themes Setup><%SystemRoot%\system32\regsvr32.exe /s /n /i:/UserInstall %SystemRoot%\system32\themeui.dll>  [File is missing]他说明missing有问题么？是有病毒的么？
2服务：我的服务项为[Agere Modem Call Progress Audio / AgereModemAudio][Running/Auto Start]这个与例子中的一点都不一样，是什么原因导致的呢？镜像后面不应该有.dll吧？
3驱动：能见到<Agree System>这个是什么意思？在我扫描的日志中经常能看到
[rfwtdi / rfwtdi][Running/Auto Start]<\??\E:\rising\Rising\Ris\rfwtdi.sys><Beijing Rising Information Technology Co., Ltd.>这个是正确的瑞星的服务么？有问号，而且粒子里面没有它
4浏览器加载项：有(signed)标志的是不是就是可信的？[]
  {e2e2dd38-d088-4134-82b7-f2ba38496583} <%windir%\Network Diagnostic\xpnetdiag.exe, (Signed) N/A>这个是否可疑？有两个类似的语句
5正在进行的进程部分：有的进程是这样子的[PID: 844 / SYSTEM][\??\C:\WINDOWS\system32\csrss.exe] 为什么会有问号出现？
6文件关联部分：.TXT  Error. [C:\WINDOWS\notepad.exe %1]我的扫描出来真的出现例子中的问题了:kaka4: 请问老师这个可能是什么原因？应该如何排查？
7Winsock 提供者
N/A

==================================
Autorun.inf
N/A这个就是正常扫描的样子吧？
8特殊特权：特殊特权被允许： SeLoadDriverPrivilege [PID = 1424, E:\TUDOU\飞速TUDOU\TUDOUVA.EXE]这个应该就是我不想让飞速土豆开机启动它就启动的原因吧？请问老师我应该怎样禁止他呢？
9入口点为空，API为空，我安装了瑞星全功能软件，可是这里API为空是代表我的瑞星防火墙没起作用么？
以上就是我的问题:kaka12: 期待老师的回答~

===================以下内容为lqqk7回复==================
1、[(Verified)Qizhi Software (beijing) Co. Ltd]这一部分应该属于前面的一个启动项，后面的<RisTray><"E:\rising\Rising\Ris\RsTray.exe" -system>  [(Verified)Beijing Rising Information Technology Corporation Limited]这部分才是对瑞星监控程序的体现；

2、<shell><Explorer.exe>  [(Verified)Microsoft Windows Component Publisher]是Windows的外壳程序，不是internet；

3、[File is missing]不一定有问题，直接从字面就能够理解它表达的含义，即文件不存在；造成文件不存在有很多种情况，比如软件卸载不干净，文件删掉了但注册表启动项还有残留；或是使用优化软件将某些文件当作垃圾文件清除，但它的启动项没有清除；又或者病毒开机启动之后将自身删除以掩人耳目；所以看到[File is missing]不一定就是病毒，还是要结合路径和签名去分析；

4、每个人的系统环境不同，安装的软件不同，所以不存在完全相同的日志；至于映像路径，可以是.exe，也可以是.dll，甚至可以是其他任何合法的后缀；

5、仅通过<Agree System>判断不出什么，需要截取完整项目分析；

6、更正：/??/是一个符号链接，常见于内核级的程序，驱动程序给设备命名，用于内核级的程序查询，而用户级的程序是查询不到的，为了让用户级程序访问设备，就需要用到符号链接，本例中的/??/对应的设备为\Device\Harddisk0\Partition1，即第一块硬盘的第一个分区；

7、(signed)表示为可信任的，但也有少数特例；

8、同6；

9、C:\WINDOWS\下有notepad.exe，C:\WINDOWS\system32下也有notepad.exe，所以这两个路径都是正确的；排查方法就是看关联的程序时候正常；

10、Winsock 提供者和Autorun.inf显示N/A就表示不存在异常；

11、不是因为开机启动导致它要提权，而是因为它需要实现某些功能而需要提升权限，至于权限，有兴趣可以自己搜索一下相关知识，这里的SeLoadDriverPrivilege应该和安装加载驱动有关；

12、防火墙能够正常开启就没问题，我的讲义中只是举个例子，做讲义的时候大概是几年前了，软件版本不同而已；

先占楼，回头不懂的问题再上交！

尊敬的老师，您好，我有如下FAQ，请您赐教：

1）关于病毒，我想知道：木马病毒最主要的功能仅仅是为了盗取密码账号吗？

2）关于SREng日志，“系统文件被非法篡改，在日志中是不是看不出来？此外，注册表登陆项Userinit如果被篡改，可以将此键值直接删除吗？

===================以下内容为lqqk7回复==================
1、盗取帐号密码是木马病毒的普遍特征，但是当今活跃的病毒之中很多其实已经不只具备单一特性了，有些虽然命名为trojan，但实际上它也具备了下载器的功能；

2、“系统文件被非法篡改，在日志中是不是看不出来？如果该系统文件正在内存中运行，比如进程、服务、驱动等，那么通常他是过不了SREng的签名验证这一关的。但是如果这个系统文件当前没有运行，也不在注册表启动项中，这时候日志是无能为力的！

3、Userinit键值决不可删除！一定要改回默认值，否则系统将无法登陆，安全模式也不行！

先看看！感觉这个有需要经验~

占位，等编辑

纠结 我发现有时候电脑中招后日志分析作用不是很大。。。。

还有就是一些流氓修改IE的更是有点困难 俄 难道是偶没学好？:kaka6:

===================以下内容为lqqk7回复==================
不可否认任何工具都不是万能的，但是我们不得不佩服smallfrogs的实力，在一些极端环境中SREng可能起不到任何作用，但是作者也是在不断的更新完善着这个小工具，有兴趣可以去看看作者的更新日志，至少到目前为止，应对网络中流行的病毒问题还是比较靠谱的。

至于流氓软件修改IE，需要认真查看IE加载项、进程、服务、驱动，如果主页修复后又被改回，通常是存在一个正在运行中的程序在监视并保护它的键值，仔细查找会有所发现的。

还有一些流氓软件是通过注册表权限限制了IE主页键值被改写，这种情况日志确实无能为力，需要手动找到键值修改权限即可。

好快！！赶不上了，得加油了。。:kaka9:

这个需要继续增加新的学习呗。:kaka1:

因为一般扫描工具会不扫描在IE恶改方面需要看的那些注册表项目。

学习中~~:kaka12:

学习ing

lqqk7老师，您辛苦了!我有几个问题，想请您指点一下：

1.关于注册表
文件出版的公司信息：例如：
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run]<ctfmon.exe><C:\WINDOWS\system32\ctfmon.exe>
[(Verified)Microsoft Windows Component Publisher]
后面的[(Verified)Microsoft Windows Component Publisher]，
带有(Verified)及Microsoft Windows Component Publisher文件一定是正常文件吗？

2.如果日志分析中的某一项没有公司信息，如何知道它是不是正常文件呢？

3.从网上下载的第三方软件，如果它的公司信息自己不熟悉，如何辨别它是不是恶意软件？

4.如果一个病毒假冒系统文件名，如何能分辨出来呢？



===================以下内容为lqqk7回复==================
1、[(Verified)Microsoft Windows Component Publisher]这种情况基本就是完全可信的了，因为实际上SREng不仅仅验证数字签名，还会通过SFC状态、文件版本信息和微软文件的一些其他特性去验证，所以准确率是很高的。但如果没有(Verified)或只有[(Verified)]就需要特别留意了；

2、通过路径看看是不是你所熟悉的第三方应用软件，如果你不熟悉它，最好的方法就是百度+google，因为在众多的软件中除了一些比较正规的厂商会在自己的程序中加入厂商信息，更多的程序可能根本就没有这些信息；

3、同上！分析日志离不开百度和google，这个过程也是积累经验的过程！

4、1里面提到了SREng验证系统文件的机制，所以如果没有(Verified)标识或缺少厂商信息，就需要注意了！

快快提前复习！！！

学习完后，一些不懂得地方，期待老师解惑:kaka1:
1:关于驱动程序的疑问：
[rsfwdrv / rsfwdrv][Running/System Start]
  <\??\C:\Program Files\Rising\RFW\rsfwdrv.sys><Beijing Rising Information Technology Co., Ltd.>
[rfwtdi / rfwtdi][Running/Auto Start]
  <\??\C:\Program Files\Rising\RFW\rfwtdi.sys><Beijing Rising Information Technology Co., Ltd.>
这两行是否说明潜藏着病毒呢？若含有“\??\”的项是不是一定存在问题呢？

2：关于浏览器加载项的疑问
[启动迅雷5]
  {09BA8F6D-CB54-424B-839C-C2A6C8E6B436} <C:\Program Files\Thunder Network\Thunder\Thunder.exe, Thunder Networking Technologies,LTD>
[]
  {0A155D3C-68E2-4215-A47A-E800A446447A} <, >
[Windows Live Toolbar Helper]
  {E15A8DC0-8516-42A1-81EA-DC94EC1ACF10} <C:\Program Files\Windows Live\Toolbar\wltcore.dll, (Signed) Microsoft Corporation>
[]
  {E2E2DD38-D088-4134-82B7-F2BA38496583} <, >

发现我的日志中还有其他类似的可疑项，用瑞星杀毒没发现病毒，此时可疑排除它的非安全性吗？

3：关于”正在运行的进程部分“的疑问
在日志中我发现了一下四种形式，能否详细解释一下它们？
[C:\WINDOWS\system32\nvshell.dll]  [, ]
[C:\Program Files\FileZilla FTP Client\fzshellext.dll]  [, 3, 3, 0, 1]
[C:\Program Files\Thunder Network\Thunder\Components\ResWorker\DsBho_00.dll]  [Thunder Networking Technologies,LTD, 1, 0, 0, 19]
[C:\Program Files\KWMUSIC\pd.dll]  [N/A, ]

4：其他的部分疑问
API HOOK
入口点错误：ShellExecuteExW (危险等级: 一般,  被下面模块所HOOK: C:\Program Files\Maxthon2\Modules\MxKWS\kswebshield.dll)

上面的日志项的问题怎么解决呢？  坐下小板凳慢慢等答案~~:kaka1:



===================以下内容为lqqk7回复==================
1、看它的状态是[Running/Auto Start]，即正在运行，所以是肯定存在的。更正：/??/是一个符号链接，这里对应的设备为\Device\Harddisk0\Partition1，即第一块硬盘的第一个分区；但是不能通过[Running/Auto Start]和\??\就判断存在问题，需要通过路径和厂商标识综合判断；

2、你这里列出的4个加载项都是安全的，判断不能完全以来杀毒软件是否报毒，如果杀毒软件能够查杀所有的病毒，那么日志也就没有存在的必要了；

3、[C:\WINDOWS\system32\nvshell.dll]  [, ]——没有厂商信息和版本信息；
[C:\Program Files\FileZilla FTP Client\fzshellext.dll]  [, 3, 3, 0, 1]——没有厂商信息，版本为1.3.3.0；
[C:\Program Files\Thunder Network\Thunder\Components\ResWorker\DsBho_00.dll]  [Thunder Networking Technologies,LTD, 1, 0, 0, 19]——厂商名称：Thunder Networking Technologies,LTD，文件版本1.0.0.19；
[C:\Program Files\KWMUSIC\pd.dll]；

4、C:\Program Files\Maxthon2\Modules\MxKWS\kswebshield.dll，通过路径判断应该是傲游浏览器中的金山网盾模块，HOOK的目的应该是实现过滤网址的功能，所以如果你需要使用傲游浏览器的相关功能，那就不要管它。

學習學習！！

:kaka2: 怎么都提前来学习了？俺来也

1、一般来说您是怎么分析日志的？扫出来的日志很多，如果不用分析助手的话，我想我都要崩溃了。2、空项和没有公司签名的项一般来说怎么判断是不是病毒？
3、微软签名没通过的项目是不是重点的怀疑对象
4、autorun.inf 是否都是病毒？
5、特权进程怎么判断其合法性？

以上就是我的问题，谢谢老师






===================以下内容为lqqk7回复==================
1、不是说完全不能使用分析助手，分析助手的分类分项显示确实比较省眼睛，但是用分析助手的话一定要保证没有遗漏，至少要分析完之后再用记事本简单的过一遍日志；

2、如果那不是你所熟悉的，就只有求助于百度和google了，没有那个人能够一眼认出所有的程序；

3、没错！

4、autorun.inf是windows提供的自动播放功能的配置文件，它本身不是病毒，具体是否被病毒利用要看它的内容了；

5、通过路径看看是不是你所熟知的第三方程序，通常病毒很少会把自己放在一个不具备共性的路径下，简单来说几乎每个人安装windows的时候都会选择默认路径，那么像C:\windows这样的目录就是具备共性的，几乎每个人的电脑都有这个目录，像这样的目录就是病毒常用的藏身之处。而我的电脑中安装了foxmail，而你的电脑中没有安装，那么如果病毒把自己放在foxmail目录里的话，显然对于你来说，只要稍微了解一点尝试就很容易发现了！

先学习，回头整理问题再来提问

我也先占个位子，随后有问题，补上

占位的还真不少
以前只知道有日志这东西，还没研究过，先学习去

看完日志文件我的感受是英语还是要好好学的:kaka16:

然后我有几个问题想请教一下老师

1。如何判断靠Appinit_dlls插入的进程是病毒还是其他的？
2.是不是说在日志文件中进程有准确的文件属性版本和公司名就代表它是准确的？
3.什么样的正常程序修改会导致ERROR的出现？我们如何判断ERROR是由正常程序修改而非病毒呢？

===================以下内容为lqqk7回复==================
1、其实会在Appinit_dlls里插东西的软件并不多，基本上就是安全软件和系统美化类软件，只要通过文件名搜索一下就会了解，必要的时候还可以问一下电脑的主人是否安装了某些美化软件；

2、版本和厂商信息伪造起来很容易，但是伪造数字签名是很困难的，所以不能单凭一条就判断它的安全性；

3、我想你指的是文件关联里的error吧？这里比较常见的就是.txt文件关联的，它的关联可以是c:\windows\system32\notpad.exe，也可以是c:\windows\notpad.exe，这都是正常的。.chm文件关联显示错误通常是因为没有使用绝对路径；至于其他的错误，只要通过所关联的程序路径去判断就可以了；

谢谢lqqk7老师解答。
1.  SREng中有一部分一直不是很明白，就是启动项目-注册表中的以下值，数字签名已去掉：
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\crypt32chain]
    <WinlogonNotify: crypt32chain><crypt32.dll>
。。。。。。。。。
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\wlballoon]
    <WinlogonNotify: wlballoon><wlnotify.dll>
他们是什么作用？

2.  SREng日志有时会出现扫描时间长长的现象，有时达到20分钟以上（并没有打开其他程序）。打开保存后的日志 ，发现主要是服务，驱动，正在运行的程序中的dll，大幅增多。怀疑是SREng的过滤机制出现问题。这种现象是因为什么？怎样解决？  下面是一些例子：
服务（我感觉正常情况下，这些不应出现在SREng日志中）：
[Portable Media Serial Number Service / WmdmPmSN][Stopped/Manual Start]
  <C:\WINDOWS\System32\svchost.exe -k netsvcs-->C:\WINDOWS\system32\mspmsnsv.dll><Microsoft Corporation>
[Windows Management Instrumentation Driver Extensions / Wmi][Stopped/Manual Start]
  <C:\WINDOWS\System32\svchost.exe -k netsvcs-->%SystemRoot%\System32\advapi32.dll><Microsoft Corporation>

驱动：
[IP Traffic Filter Driver / IpFilterDriver][Stopped/Manual Start]
  <system32\DRIVERS\ipfltdrv.sys><Microsoft Corporation>
[IP in IP Tunnel Driver / IpInIp][Stopped/Manual Start]
  <system32\DRIVERS\ipinip.sys><Microsoft Corporation>

正在运行的进程：
C:\WINDOWS\system32\winlogon.exe]  [Microsoft Corporation, 5.1.2600.5512 (xpsp.080413-2113)]
    [C:\WINDOWS\system32\ntdll.dll]  [Microsoft Corporation, 5.1.2600.5755 (xpsp_sp3_gdr.090206-1234)]
    [C:\WINDOWS\system32\kernel32.dll]  [Microsoft Corporation, 5.1.2600.5781 (xpsp_sp3_gdr.090321-1317)]
    [C:\WINDOWS\system32\ADVAPI32.dll]  [Microsoft Corporation, 5.1.2600.5755 (xpsp_sp3_gdr.090206-1234)]

3.老师在平时我们经常碰见替换系统文件的病毒，我们应该通过什么简单易行的方法，帮助求助者将正常的文件换回？有什么好的工具可以推荐么？

谢谢老师！

===================以下内容为lqqk7回复==================
1、WinlogonNotify项通常是在系统登陆和注销的时候产生作用的，至于rypt32.dll和wlnotify.dll文件，百度一下便知其作用。不过没有签名和厂商信息存在被病毒修改或替换的可能性；

2、这种情况确实存在，原因我不清楚，有机会可以问问SREng的作者；

3、工具见反病毒版块天月版主的置顶帖~

觉得学习日记分析真的懂了好多东西!谢谢老师！
老师请问一下！
在判断驱动程序这一部分是否有问题时，一般情况下是否可以直接看后面是否出现公司的信息来决定驱动是否有问题？
有后面不出现<Beijing Rising Information Technology Co., Ltd.>类似信息的驱动还是正常的吗？有的话举个例子！！


===================以下内容为lqqk7回复==================
只有一些比较正规的研发团队会很注重文件的厂商信息和版本信息，其他很多小型团队或个人开发者可能没有这个意识，所以在无数应用程序中，没有任何版本和厂商标识的文件比比皆是，但是并不是说没有这些信息就不正常，例如：
daemon虚拟光驱软件的驱动：
[d347bus / d347bus][Stopped/Boot Start]
  <\SystemRoot\system32\DRIVERS\d347bus.sys><>
[d347prt / d347prt][Running/Boot Start]
  <\SystemRoot\System32\Drivers\d347prt.sys><>

哇，这么早就出来了啊！
lqqk7老师您好，以下是我看过讲义后的问题。
1、当我点击工具SREng中的启动项目选项时，会有一个警告出现，内容是：“警告！注册表UIHost被修改为非正常值（默认值是logonui.exe）。请检查你的系统中可能内存在的计算机病毒”这是什么意思啊？360安全卫士也弹出提示框让阻止这个操作。
2、SREng工具智能扫描一般需要多长时间啊？我的扫描了将近两个小时了，还没有完成。
3、我的注册表启动项中有这么一项
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Active Setup\Installed Components\>{881dd1c5-3dcf-431b-b061-f3f88e8be88a}]
    <Outlook Express><%systemroot%\system32\shmgrate.exe OCInstallUserConfigOE>  [File is missing]
文件已经丢失，那这一项还怎么能自动启动呢？
ps：以前我的电脑总是自动弹出outlook express，后来我就卸载了，启动项中所有有关outlook express都是[File is missing]。
4、[Help and Support / helpsvc][Stopped/Disabled]
  <C:\WINDOWS\System32\svchost.exe -k netsvcs-->%WINDIR%\PCHealth\HelpCtr\Binaries\pchsvc.dll><N/A>
这个服务是不是有问题啊？正常的系统文件后加载了%WINDIR%\PCHealth\HelpCtr\Binaries\pchsvc.dll><N/A>
怎样才能开机的时候不启动某些服务啊？
5、驱动程序中
[tifm21 / tifm21][Stopped/Manual Start]
  <system32\drivers\tifm21.sys><N/A>
这个是不是很可疑啊？没有明确的写出发行商。
6、浏览器加载项中
[]
  {0347C33E-8762-4905-BF09-768834316C61} <, >
[]
  {0468C085-CA5B-11D0-AF08-00609797F0E0} <, >
是不是很可疑啊？这个怎么判断它是否安全啊？
7、正在运行的进程中
[PID: 632 / Administrator][C:\WINDOWS\Explorer.EXE]  [(Verified) Microsoft Corporation, 6.00.2900.5512 (xpsp.080413-2105)]
    [C:\Program Files\Common Files\Adobe\Acrobat\ActiveX\PDFShell.CHS]  [, ]
    [C:\Program Files\WinRAR\rarext.dll]  [N/A, ]
这两个加载项是不是很可疑啊？
“加载”的具体含义是什么啊？就是进程632运行的时候，这些东西也随着它一起运行吗？
8、Winsock 提供者  是什么意思啊？为什么我的这项是N/A啊？
9、进程特权扫描中
特殊特权被允许： SeLoadDriverPrivilege [PID = 2524, C:\DOCUMENTS AND SETTINGS\ADMINISTRATOR\桌面\工具\SRENGLDR.EXE]
这个是SREng中的进程吗？这有什么用啊？
10、计划任务中的任务有什么作用啊？

问题有些多，辛苦老师了。
谢谢老师

===================以下内容为lqqk7回复==================
1、logonui.exe是windows系统登陆、注销、切换用户时显示的界面，注册表键UIHost的值默认为logonui.exe，这是一个相对路径，有些工具可能会将其修改为绝对路径，这时SREng就会出现这样的警告提示，当然也有可能是病毒篡改了UIHost的键值达到开机启动的目的，具体情况需要看你的日志内容了。至于360的提示是正常情况，UIHost被认为是一个关键启动项，众多安全软件都会保护关键项不被修改，但是目前的软件还达不到人脑的智能程度，只能拦截到试图修改注册表的这个动作，但是不能识别这个动作是不是正常的，所以会给出一个建议拦截的提示！

2、扫描时间根据硬件环境和当前运行的程序的不同有所不同，一般在几分钟到十几分钟，两个小时就不正常了，可以尝试关掉当前运行的第三方应用程序后再试，也可以到安全模式下尝试；

3、[File is missing]（文件不存在），这时虽然注册表中的启动项还在，但实际上开机后也是不能运行的了，你列举的就是这种情况，日志中显示的仅仅是一个注册表键值而已，并未显示它当前是否运行；对于[File is missing]的启动项，可以当作注册表垃圾删除掉；

4、从服务名和路径看，没问题，是系统的帮助服务，但是没有包含文件信息，存在被修改或替换的可能性，但是有一个细节你没注意到，它的状态是[Stopped/Disabled]，这表明这个服务处于被禁用状态，且当前没有运行；

5、通过路径看，这不是一个我们所熟知的程序，通过搜索也不能获取到太多有价值的信息，那么它的可疑程度的确很高，但是至少当前它没有运行，可以选择暂不处理，找到文件上报给反病毒厂商进一步分析；

6、这样的加载项通常是只在注册表中存在一个CLSID键值，但是没有对应的文件，通常不具备威胁，可能是安装某些第三方程序时写入的CLSID，也可能是用来免疫某些恶意插件的；

7、可疑度不高，通过路径就可以判断出属于Adobe Reader和WinRAR的相关文件，只是没有包含厂商和版本信息而已；

8、
相关知识可见：http://baike.baidu.com/view/1172480.htm
这项显示N/A表示未发现异常；

9、通过路径判断一下，如果你把SREng存放在C:\DOCUMENTS AND SETTINGS\ADMINISTRATOR\桌面\工具目录下，那么就是了。提升特权是为了实现一些特殊的功能，比如加载驱动，如果软件本身不需要提权，就需要关注一下程序进程中加载的模块了。

10、计划任务，顾名思义，就是让系统按照预先设置的计划执行一些操作；

老师您好~
关于日志分析这次的讲义，感觉有点摸不着头脑。感觉很多东西判断是病毒都是主观印象或者是之前的经验来判断是本机正常进程还是病毒。。
以下是我的问题：
1.经常看到NT环境，NT环境主要指的是什么?我们不是主要用的XP或者win7 vista之类的操作系统么，那windows NT又是做什么的？上网搜了一下感觉解释的不太直观，还是不太懂。

2.我的浏览器加载项里存在这样的
[]
  {FB5F1910-F110-11D2-BB9E-00C04F795683} <, >
这个是不是病毒？为什么后面的尖括号里什么都没有？是否可以删掉？

3.一般怎样判断注册表项是否为可疑，还是抓不到感觉。

4.昨天没发现 今天才发现打开SRE会出现这个。。= =。。为什么会出现这样的东西。。



===================以下内容为lqqk7回复==================
1、早年间，微软和IBM共同开发了一个名为OS/2的系统，后因技术上的分期转化为两个不同的系统，IBM继续维护OS/2系统，微软则将自己的OS/2命名为Windows NT，NT是New Technology的缩写。所以通常所说的NT，就是对系统内核架构的命名，就像Intel的CPU除了除了人们熟知的型号名称，还有一个核心代号一样，至于现在常用的XP，是基于NT 5.1开发的，Vista是NT 6.0，Win7是NT 6.1；

2、因为注册表里的键值就是这个样子，只有一个CLSID，没有文件路径，这种情况可能是第三方软件创建的CLSID，也可能是用来免疫恶意插件的，可以删除；

3、其实一开头你的理解就是正确的，分析日志靠的就是丰富的经验和对系统文件常用软件的熟悉程度，这个没什么捷径可走；

4、360的这个提示应该跟SREng本身对系统文件的验证机制有关，选择允许即可；

老师请问一下！
为什么在的我电脑中winsock、进程特权扫描和Autorun这三部分显示成这样：（我的是Vista系统）
==================================
Winsock 提供者
N/A

==================================
Autorun.inf
N/A

==================================
HOSTS 文件
127.0.0.1      localhost
::1            localhost

==================================
进程特权扫描
N/A

==================================
是系统有问题吗？如果不是，怎样设置，使它正常显示出来。
谢谢老师回答！


===================以下内容为lqqk7回复==================
1、Winsock 提供者、Autorun.inf、进程特权扫描这三项如果显示为N/A，则表示没有发现异常；

2、Vista和Win7的HOSTS 文件默认就是
127.0.0.1      localhost
::1            localhost
这样的；
而XP的HOSTS 文件默认是
127.0.0.1      localhost
这样的，所以无论显示上述内如还是显示N/A都表示没有发现异常！

老师请问一下！
在计划扫描这一部分，我发现我的一个程序已经卸载了，但是为什么在这里显示【已启动】，我的是vista系统。这里显示【已启动】的程序就是开机启动项吗？

===================以下内容为lqqk7回复==================
1、计划任务中显示的已启用并不一定是表示一开机他就马上启动，而是表示这个任务是有效的，而程序要在何时启动要看任务如何设定的，可能是在某个时间点，也可能是在某个周期内；

至于你说的程序已经卸载，但还在计划任务中，应该是本身没有卸载干净，只要自己把这个任务删掉即可；

老师请问一下！
出现下面的现象：
==================================
API HOOK
N/A

==================================
隐藏进程
N/A
一般是表示系统正常的是吧？


===================以下内容为lqqk7回复==================
这两项显示N/A也表示没有发现异常