瑞星卡卡安全论坛

讲师：lqqk7

讲义地址：http://bbs.ikaka.com/showtopic-8641383.aspx

本次课程答疑时间：2010年7月13日 14:00-16:00

答疑形式：提问者看过讲义后可先发表问题咨询，讲师在答疑时间内会将答复直接回复在提问者的问题所在楼层内.

提问方式：回复本帖提问（即跟帖），不要通过QQ群提问！

占个座，开始学习了，呵呵~
首先很感谢lqqk7老师昨天的耐心讲解。
看完今天的讲义后又学到很多东西，不过还有问题，谢谢老师指教。
1、C:\Documents and Settings\Administrator\Local Settings\Temp下的东西可以都删除吗？删了以后有什么影响没？
2、关于分析助手假死的情况，我想软件代码中只要加一个判断条件（按行扫描，当读到的内容为[/CODE]就结束）这样就可以避免永无止境的读取了。
3、启动文件夹中是不是所有的可执行文件项后边都是[File is missing]啊？
4、怎样设置可以让开机时不运行某些服务啊？
5、相同版本的系统的dllcache文件夹的内容都相同吗？安装软件时会不会对这个文件夹中的文件内容进行修改啊？
再次谢过老师

===================以下内容为lqqk7回复==================
1、%temp%下的所以文件都可以放心删除，但需要注意这里只是说你删除这些文件不会造成负面影响，但是不代表你能够把所有文件都删掉，因为只要系统在运行，就会产生临时文件，总会有一些临时会被系统占用，正在被使用的文件是无法删除的。

2、我并非分析助手的开发者，所以这个我无能为力了；

3、不是，只有当目标文件不存在的时候才会显示[File is missing]；

4、方法很多，比如运行services.msc，直接将服务的启动类型设置为“已禁用”；也可以直接到注册表以下位置去更改服务的启动类型键值：
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services]；还可以利用第三方系统设置工具；相对来说直接修改注册表的方式风险最大，另外无论你用那种方式去禁用服务，都要事前做好备份，并且对系统有一定的了解，因为一些系统核心服务是不能禁用的！

5、不一定，首先系统版本相同，但不一定打过相同的补丁，微软每月都会发布新的安全补丁，每次打补丁涉及到系统文件的更改时都会同时应用的dllcache中；其次，目前多数人使用的是非常规授权的系统（就是盗版啦....）这些其中大量充斥着私人打包的版本，这些系统多多少少都进行过优化或精简，dllcache只是用来备份原始文件的，它的存在对于系统正常运行来说不是必须的，所以有些精简多度的系统会清空这个目录；还有一些垃圾文件清理工具，会将dllcache目录中的文件当作占用空间的垃圾清理掉；

lqqk7老师，您辛苦了！在这先谢谢您的耐心指点！

我今天遇到了几个问题，请老师请教：
1.打开SREng的【系统修复】选项，看到【Winsock供应者】下面显示的内容全为红色，如下图，不知这是否是正常文件？

 附件: 您所在的用户组无法下载或查看附件

2.用SREng扫描自己的电脑，持续了很久都没扫描完，如下图:

 附件: 您所在的用户组无法下载或查看附件
当关闭SREng后，重新打开又显示如下图所示，请老师帮忙看看是什么问题？

 附件: 您所在的用户组无法下载或查看附件


===================以下内容为lqqk7回复==================
1、如图可见“发行者”一栏中只列出了厂商信息，没有（Verified）标识，所以这些文件有可能是被修改过的；

2、根据硬件环境和系统环境的不同，扫描用时从几分钟到十几分钟不等，时间太长肯定就不正常了，不排除有其他程序干扰扫描的可能性，可以将当前开启的其他程序关闭后再试，另外在运行SREng过程中如果安全软件出现拦截提示，应该选择允许或放行，只要你是官方下载的SREng，它是不会不经允许的做非法操作的；

3、非常规方式退出SREng后就会弹出这个提示，因为SREng不知道上一次进程被结束到底是用户自己的意愿还是病毒所为，所以提示用户起到一个警示的作用。此时选择否即可正常运行，选择是将会以后台扫描的方式运行，后台扫描在讲义1第一楼中已经讲过了；

看完今天的课程 感觉在分析日志方面还是要多多的熟练。

倒是没什么问题，就是感觉使用工具能帮助我们把日志分类清楚，以前自己看日志的时候是纯TXT，后来就是使用PLA，感觉软件可以让日志分析更简单。不知道这样是不是弊端。呵呵


环境变量还有就是通配符，这些也专门的研究过，呵呵，现在也感觉受益匪浅呢。host文件的使用在平时也有一些不一样的作用。呵呵。但是太多屏蔽的话，在扫描日志的时候貌似会有点慢。

恩，就这么多了。

===================以下内容为lqqk7回复==================
1、关键不在于使用什么工具，还是在于分析日志的人，如果能保证准确，使用工具来改善分析环境、提高效率、保护视力又有什么不好的呢~

2、hosts内容太多确实会扫描很慢，甚至会造成扫描程序假死，一般hosts控制在1M以内应该没什么问题，但是日志还是会很长很长，如果要大量屏蔽恶意网址，还是推荐使用防火墙之类的工具来的快

抢座备用

学习啦

学习学习~~

开始今天的学习:kaka12:

还在第一页，呵呵，好好上课今天！！

学习，，学习~！！！:kaka12:

学习~:kaka12:

谢谢lqqk7老师，环境变量的问题之前一直很困惑，今天终于清楚了。

老师你好！
请问一下，为什么在电脑中的日记记录的时候，要用环境变量呢，直接用我们熟悉的路径表示不是更好让人解读吗？用环境变量会提高系统的安全性吗？还是用环境变量可以提高系统的性能呢？

===================以下内容为lqqk7回复==================
1、不是日志要使用变量，而是系统或应用程序在运行时需要使用变量，比如某个软件运行时需要创建临时文件，直接使用“C:\Documents and Settings\Administrator\Local Settings\Temp”去创建行不行呢？绝大多数情况下下这样做没问题，因为现在大多数人都把系统装在C盘，但是对于双系统的人怎么办？开发者当然可以预先设置多个路径去适应不同情况，但是永远不可能考虑到所有可能出现的环境，也会造成代码冗余降低程序执行效率。比如一万个人中只有我一个人把系统装在c:\win目录下，那么此时如果软件试图在在c:\windows下创建文件，在我的电脑上就是行不通的，因为我没有这个目录，所以就要用到环境变量，%systemroot%在那9999个人的电脑上都代表C:\windows，而在我的电脑上%systemroot%则代表C:\win，这样就可以适应所以系统环境。

再举个通俗点的例子，老师需要每个班的男生都出列，那他可以有两种方案，一是把每个班的男生姓名都喊出来，二是直接喊“全体男生出列”，显然第二种方案效率更高。这时“全体男生”就可以看作是一个变量，在一班“全体男生”可能代表“小王、小李、小张、小孙....”，而到了二班“全体男生”就代表“小刘、小陈、小高、小董....”

2、使用变量对于系统安全性没什么影响，但是会让程序适应不同的环境，提高执行效率；

老师你好！
想请问一下，在HOSTS中想免疫某一个恶意IP地址，那么是在那里修改呢？直接在分析助手里可以改吗？怎么去操作的？谢谢老师指导！

===================以下内容为lqqk7回复==================
hosts可以用来屏蔽恶意网站，但是不能用来屏蔽具体的页面网址，也不能屏蔽IP地址，他的格式是：
IP地址 域名
中间有空格分隔；

举个例子，有一个钓鱼网站域名为www.taoboa.com，这是可以这样屏蔽对他的访问：
127.0.0.1 www.taoboa.com

如果有一个正常的网站，域名为www.abcde.com，该网站的某一个页面被黑客挂马，页面地址为http://www.abcde.com/html/page.html，如果你想单独屏蔽这一个页面而不影响该站点其他页面的访问，hosts是做不到的，即只能这样写来屏蔽整站：
127.0.0.1 www.abcde.com

如果像下面这样写是没有作用的：
127.0.0.1 http://www.abcde.com/html/page.html
127.0.0.1 www.abcde.com/html/page.html

如果你想屏蔽IP，如202.106.0.20，即这样写：
127.0.0.1 202.106.0.20
实际是无效的

所以，如果你想单独屏蔽某个具体的网页，或IP，建议使用防火墙来实现！

老师好，请问一下：重启后EXE的文件关联又关联上了一个文件名随机的exe文件，而且这个文件重启前不存在。这是什么情况呢？

===================以下内容为lqqk7回复==================
存在其他活体病毒在关机前（即用户已经选择了关机或重启后）或开机后重新创建随机文件名.exe，并修改.exe文件关联；
这里说的活体病毒可能是一个运行中的进程、服务、驱动、计划任务等等；

站位先，不懂问题随后更贴！

老师你好！
看了日记分析查找病毒这一部分，我头好疼。我发现病毒会通过系统文件加载运行，也会通过不是系统文件加载运行，是不是一般情况下，若一个文件不是通过系统文件或正常系统文件加载运行的就是病毒呢？

===================以下内容为lqqk7回复==================
这问题有点难理解......实际应该也不是这样，严格来说任何程序运行都是通过系统程序来执行的，即使用户自行双击一个图标打开的程序，实际上也是由explorer.exe来调用执行的，所以说这个不能作为文件是否安全的依据。

老师请问一下！
平时我们用优盘的时候，很多人都说建一个autorun.inf文件在里面会防御病毒的攻击，这是为什么呢？病毒不就是利用系统中autorun.inf的自动播放性，来感染系统的吗？这样做为什么可以起到防御病毒的功效

呢？


===================以下内容为lqqk7回复==================
因为windows系统不允许同一目录下存在相同名称的两个或多个文件（文件夹），比如在c:\根目录下，已经存在了一个autorun.inf，无论它是一个文件还是文件夹，无论它的名称是大写还是小写，系统都不允许这里再有其他任何文件夹或文件夹命名为autorun.inf。正是利用这一点，通常在U盘中自行创建一个名为autorun.inf的文件夹，病毒就无法在这里创建同名的文件了！

但是实际上这样做的安全性并不高，对于早起的自动播放病毒来说可能有些成效，之后病毒也在不断改进，病毒可以把你创建的autorun.inf先删掉，然后再创建自己的autorun.inf，所以建议还是配合NTFS权限和杀毒软件来限制autorun.inf的创建更安全些！

老师好～日志分析看的真实眼花缭乱啊，以下有几个问题:
1.使用分析助手的时候，进程模块列表中的项目字体颜色不同，有的黑色有的红色，请问这代表什么？
2.用SREngLog分析出来的日志中自启动项比运行msconfig看到的自启动项多的多，甚至一些早已卸载的程序都在其中，这是为什么？是不是因为没有清理注册表？而且之后我再运行一遍msconfig，发现所有自启动项前面都打了勾，这又是为什么？
3.在自启动项中发现很多wlnotify.dll，在原始日志分析文本中如下：
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\crypt32chain]
    <WinlogonNotify: crypt32chain><crypt32.dll>  [(Verified)Microsoft Windows Publisher]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\cryptnet]
    <WinlogonNotify: cryptnet><cryptnet.dll>  [(Verified)Microsoft Windows Publisher]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\cscdll]
    <WinlogonNotify: cscdll><cscdll.dll>  [(Verified)Microsoft Windows Publisher]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\ScCertProp]
    <WinlogonNotify: ScCertProp><wlnotify.dll>  [(Verified)Microsoft Windows Publisher]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\Schedule]
    <WinlogonNotify: Schedule><wlnotify.dll>  [(Verified)Microsoft Windows Publisher]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\sclgntfy]
    <WinlogonNotify: sclgntfy><sclgntfy.dll>  [(Verified)Microsoft Windows Publisher]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\SensLogn]
    <WinlogonNotify: SensLogn><WlNotify.dll>  [(Verified)Microsoft Windows Publisher]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\termsrv]
    <WinlogonNotify: termsrv><wlnotify.dll>  [(Verified)Microsoft Windows Publisher]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\wlballoon]
    <WinlogonNotify: wlballoon><wlnotify.dll>  [(Verified)Microsoft Windows Publisher]
这些是什么程序？
4.在驱动程序里看到如下两个文件：
\??\C:\WINDOWS\system32\npkycryp.sys
\??\C:\WINDOWS\system32\npkcrypt.sys
他们公司都为N/A，百度了下有的说是病毒，他们到底是什么呢？

===================以下内容为lqqk7回复==================
1、黑色进程标识没有加载模块，红色进程标识加载了其他模块；


2、这是由于msconfig和SREng对禁用启动项的处理方式不同造成的；
首先msconfig只检查常规软件最常用的自启动注册表项，用msconfig禁用启动项时，其实并不是把这个启动项从注册表中彻底删除，而是把它从注册表原有位置删除，然后将这条启动项转存到[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg]，这样做的目的是在msconfig中仍能保存已经禁用的启动项，以备误操作时恢复。


而SREng检查的启动项除了msconfig检测的位置外，还有其他很多常规软件可能不常用，但经常被病毒使用的启动项，所以SREng扫出的启动项比msconfig要多，是因为它的检测面更广泛；当使用SREng禁用启动项时，也不是将其删除，而是采取在注册表键值前加分号的方式使路径失效。并且SREng在检测启动项时也会检测msconfig已经禁用的项目（即[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg]），并且把已经被msconfig禁用的项恢复到原有位置，然后再在它的键值前加入分号使路径无效。于是，当你使用SREng检测过启动项之后，再次使用msonfig查看启动项时就会发现，之前禁用的项又被勾选，但是路径前面会多出一个分号！


3、这里加载的都是一些需要在系统登陆或注销时运行的程序；


4、这两个文件是nProtect键盘加密保护程序，用于防止键盘输入密码时被木马记录，在老版本的QQ中有使用过，还有一些网游也会使用，但是不排除会有病毒伪装的可能性，可以备份后将其删除，这样如果网游登陆时出错可以恢复，也可以提取文件上报反病毒厂商分析

学习，学习！

看完了，觉得今天学到了很多，但好像没啥问题可提的，觉得都是需要积累。

lqqk7老师，再请教您几个问题：

1.在日志注册表项目中，如出现：
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File
Execution Options\]就一定表明中了IFEO的劫持吗？

2.在日志的浏览器加载项部分，有下面两项：

[]
{95B3F550-91C4-4627-BCC4-521288C52977} <, >
[]
{9701758C-4373-482E-B13C-776C048EC890} <, >
不知这两项是否是正常的文件？

谢谢您，lqqk7老师！

===================以下内容为lqqk7回复==================
1、不一定，系统默认就有这个项，具体是否被病毒利用，需要看其下的子项；


2、这样的加载项可能是某些软件创建的CLSID，也可能是用来免疫某个恶意插件的，一般没什么问题；

先看看......

讲义看完了，觉得通过今天的内容对昨天的知识也更了解了。果然要多练习啊。有个小问题。当一个病毒通过另一个病毒文件加载运行时，是不是删除了被加载的病毒文件，那个加载的那个也就不能运行了？

===================以下内容为lqqk7回复==================
似乎是问有A、B两个病毒，A有启动项可以开机自动运行，B没有启动项需要通过A启动后调用B？
这样的情况如果A不运行则B也不会自己运行的。

老师，我还有个问题。如果有病毒依附autorun.inf。我们把autorun.inf删掉，那正常的依附于该文件运行的程序不也就没法运行了吗？不能通过同事修改该文件和配置文件来只禁止病毒文件的运行吗？

===================以下内容为lqqk7回复==================
可以，但是必要性不大，首先说系统默认状态下在磁盘中不会出现autorun.inf，他也不是系统运行所必须的，除非你希望双击盘符不打开磁盘，而是自动运行你指定的某个程序，有这种需求的人应该不多。而且还有一个前提，就是首先要把病毒主体干掉，因为大多数此类病毒如果还在运行，无论你是删除还是修改autorun.inf，病毒都会在重建该文件的

老师，我记得之前有一阵子好像可以通过HOSTS修改来访问被屏蔽的utube之类的网站，这是什么原理呢？而且后来这种方法失效了，又是怎么回事啊？

===================以下内容为lqqk7回复==================
youtube这种访问量巨大的网站通常不可能只有一台服务器和一条线路，肯定有多台服务器和多条稳定的线路来分担其庞大的流量，且DNS还具备智能分配最优线路的功能，大致原理是这样的：
假设youtube有3条线路，ip分别为1.1.1.1，2.2.2.2，3.3.3.3；
当用户访问www.youtube.com时，DNS首先获取用户线路，将中国用户分配到1.1.1.1，英国用户分配到2.2.2.2，美国用户分配到3.3.3.3；
当1.1.1.1被GFW屏蔽后，中国用户就无法访问youtube了；
此时可以通过hosts强制将www.youtube.com解析到2.2.2.2或3.3.3.3，这样只要这两个IP没有被屏蔽，就可以正常访问了，只是访问速度可能比DNS只能解析的线路要慢一些。

lqqk7老师，您有没有病毒的样本，我们可以放到模拟机上看看，输出的日志会是怎么样的？

===================以下内容为lqqk7回复==================
这个.......未经各种老大们的授权，我不能这样做。建议你多发点贴挣点积分，然后可以去可疑文件交流区淘点样本:kaka17:

呵呵 这个问题我来帮你解答 因为以前国内没有封锁YouTube的几台服务器，所以可以在host文件中把无法使用的服务器IP屏蔽掉就可以了。
以前flickr也遇到过这种现象，比如某些图片无法正常显示，直接把不能使用的服务器IP屏蔽掉就可以了。因为你的图片在多台显示器上有备份。

学会用卡卡，裸奔都不怕~！哇哈哈

谢谢lqqk7老师，今天的课程让我收获不少，这里有两个关于path部分的小问题，望解答：
1、可否手动添加path的路径？如果可以，如何做呢？
2、探讨个问题
依照讲义的内容，关于yzztimsn.dll，
按照我的理解，是否可以用windows的搜索功能，在在C:\下搜索yzztimsn.dll，应该就能得到相应的路径了，如果是病毒创建的，那么，得到的搜索结果也应该是唯一的了。不知道这样理解对不对。
                          实习生：panxiaoting

===================以下内容为lqqk7回复==================
1、可以通过图形界面设置变量，如图：

 附件: 您所在的用户组无法下载或查看附件

 附件: 您所在的用户组无法下载或查看附件
上半部分是针对当前登陆系统的用户有效的变量，下半部分是对所有用户生效的系统变量；

也可以通过cmd命令行设置变量，需要用到两个命令，一个是系统自带的set.exe，用它创建的变量只针对当前cmd窗口，当cmd窗口关闭后变量也就失效了，创建格式为
set 变量名=变量值

另外一个命令不是系统自带的，需要单独安装微软提供的Support Tools（可以在原版系统光盘中获取或到微软网站下载），使用其中的setx.exe设置永久变量。

也可以直接修改注册表设置变量，不过操作有风险，不介绍具体方法。


2、常规请情况下可以这样做，但是如果病毒通过技术手段也可能造成资源管理器无法找到文件的情况，而且还有最重要的一点，通常木马群都是群体大量行动的，日志中会看到几十个没有路径的文件，一个一个去搜索恐怕不现实