[日志分析 1 ]讲义
本次课程用到的软件:SREng(System Repair Engineer)SREng下载地址:http://www.kztechs.com/sreng/download.html讲义更新时间:2010年7月12日,针对新版本SREng加入的对Windows安全更新的检测,以及特殊环境下可以使用的启动参数做了很少的更新,简单看一下即可!讲义打包和相关资料在14楼下载
=====扩展阅读=====关于启动参数:如果在图形界面下直接双击SREng图标无法打开,还有什么办法呢?这时可以尝试加入不同的启动参数,首先说如何使用启动参数,主要有三种方式,以下均以d:\sreng2\SREngLdr.EXE路径为例:
1、在快捷方式的属性中直接加入参数,如图所示位置,注意斜杠前面有个空格
2、点击“开始”——“运行”,输入“d:\sreng2\SREngLdr.EXE /参数”
3、点击“开始”——“运行”,输入“CMD”并按确定打开命令提示符,在命令行中输入“d:\sreng2\SREngLdr.EXE /参数”
再来介绍一下启动参数都有哪些:
1、安全启动(在受限桌面下启动),加参数“/safedesktop”,如d:\sreng2\SREngLdr.EXE /safedesktop;
用途:受限桌面即通过对桌面的权限控制,能够避免一些窗口Hook的工作,同时也能够绕过一些和窗口、默认桌面相关的病毒的攻击。这个特性仅支持Windows 2000或以上的操作系统,可以在SREng无法打开或刚打开就自动关闭的情况下尝试使用。
2、后台扫描并自定义输出日志路径,加参数“/escan /escanlogpath [drive:]\path”,如需要后台扫描并将日志生成在d:\logs目录下,则启动命令为:“d:\sreng2\SREngLdr.EXE /escan /escanlogpath d:\logs”;
用途:同样是在遭受病毒攻击导致SREng无法打开或刚打开就自动关闭的情况下尝试使用,该模式下SREng会完全在后台运行,不会出现任何图形界面,后台扫描完成后自动将日志输出到指定路径下。
============
