[日志分析 1 ]讲义 - 瑞星卡卡安全论坛bbs.ikaka.com

瑞星卡卡安全论坛综合娱乐区 活动专区 实习生专区 [日志分析 1 ]讲义

	瑞星“1+2”全新解决方案巡展在广州画上圆满句号		叶院长揭秘：瑞星如何运用AI技术革新网络安全		俄乌冲突加剧网络攻击风险白俄罗斯政府遭APT攻击		瑞星ESM防病毒系统助力矿业大学筑牢网络安全防线
	实力拉满瑞星第四十七次通过VB100测评		携手老友，拥抱新精彩 —— 新论坛新活动，感谢你的陪伴		护航司法，瑞星助力山西省高院构建安全防线		人工智能在网络安全领域的风险和机遇

«6 7 8 91011 12 13

10 / 13 页

跳转页

[日志分析 1 ]讲义

本主题由大版主 networkedition 于 2012-2-24 10:48:44 执行移动主题操作

凡尘之沙叱咤花甲狮帖子:6814 注册: 2008-09-14 来自:安徽蚌埠	发表于： 2009-07-07 21:49 \| 短消息资料字号：小中大 91楼回复 85F MickeyWangQY 的帖子上面那个是压缩软件下面那个不常见所以是可疑文件 PWMIDTSK.EXE 是正常文件电源管理程序
凡尘之沙叱咤花甲狮帖子:6814 注册: 2008-09-14 来自:安徽蚌埠

backway 卡卡反病毒小组帖子:2473 注册: 2008-11-20 来自:	发表于： 2009-07-07 21:49 \| 短消息资料字号：小中大 92楼回复：2009年7月7日[日志分析 1 ]讲义好热闹啊驱动中出现<\??\> 不是sreng的问题，它检测驱动服务等就是读取注册表HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services下的项和键值，出现<\??\>这个是因为在注册表中驱动的映像文件路径里本身就有那个东西，至于有的驱动有有的驱动没有这个没法解释，我们看到的就是这样...... Snap1.jpg (44.68 K) 2009-7-7 22:00:14 PID是进程ID，一般进程的ID是唯一的重启后也会变但system的PID=4 System idle process的PID=0这个貌似是唯一不变话的日志中显示file is missing 一般情况下是无法找到指定文件，但有时不是的向之前有人提到Active Setup\Installed Components下也有file is missing，但是我们还是可以找到它指定的文件至于此处为什么会显示file missing 没法解释......有人说是变量问题但有时不存在变量时仍然是显示missing 还有一处要注意的是启动文件夹中的出现的file missing 这很很很可疑一般启动文件夹里放的是快捷方式lnk文件但如果直接放的是可执行文件等 sreng也会显示file missing 显示missing只是因为sreng是靠读取快捷方式读取这里的文件的 backway 最后编辑于 2009-07-07 22:07:25
backway 卡卡反病毒小组帖子:2473 注册: 2008-11-20 来自:

乐陶猪拙长孩提狮帖子:127 注册: 2009-07-02 来自:	发表于： 2009-07-07 21:51 \| 短消息资料字号：小中大 93楼回复: 2009年7月7日[日志分析 1 ]讲义想问一下：日志中的“Apple Inc.” 这句话是什么意思？作用是什么？
乐陶猪拙长孩提狮帖子:127 注册: 2009-07-02 来自:

零度的穷浪漫自信弱冠狮帖子:499 注册: 2009-06-25 来自:	发表于： 2009-07-07 21:52 \| 短消息资料字号：小中大 94楼回复: 2009年7月7日[日志分析 1 ]讲义引用: 原帖由言兮于 2009-7-7 20:22:00 发表搞不懂。老师那[N/A]和PID是什么含义呀？ ===================以下内容为lqqk7回复================== PID就是一个进程标识符，当进程启动之后由系统自动分配的进程标识符PID是进程控制块PCB里的标识符么？
零度的穷浪漫自信弱冠狮帖子:499 注册: 2009-06-25 来自:

_逸枫_ 拙长孩提狮帖子:133 注册: 2009-06-14 来自:兰州军区	发表于： 2009-07-07 22:00 \| 短消息资料字号：小中大 95楼回复: 2009年7月7日[日志分析 1 ]讲义引用: 原帖由 _逸枫_ 于 2009-7-7 20:44:00 发表疑问一： <nwiz><nwiz.exe /install> [ ] 这个正常吗？ nwiz是什么意思？经常见。疑问二： <BigDogPath><C:\WINDOWS\VM_STI.EXE USB PC Camera 301P> [File is missing] 通过看前面的解答已经更新了问题首先是疑问二：出现 File is missing 如何解决？就是说怎么做才能让下次扫描的时候不显示这些。其实是疑问四：所询问的CCtInf Class ，明白是某个插件在注册表中的名称，这个问题的本意是问CCtInf Class 是什么插件的名称。 PS：感谢老师回答嘿嘿
_逸枫_ 拙长孩提狮帖子:133 注册: 2009-06-14 来自:兰州军区

Sonof_Dragon 拙长孩提狮帖子:172 注册: 2009-06-28 来自:	发表于： 2009-07-07 22:03 \| 短消息资料字号：小中大 96楼回复: 2009年7月7日[日志分析 1 ]讲义 1.jpg (14.98 K) 2009-7-7 22:02:55 对这段话崇拜ing！explorer.exe是Windows 资源管理器，可以说是 Windows 图形界面外壳程序，它是一个有用的系统进程。所以肯定是带有公司信息的。如果没有，就有可能是被改过了。我想问一下老师，"(verified)" 标示和公司信息全都有的项是否可以确定它一定没问题。我的启动项中 <KernelFaultCheck><; %systemroot%\system32\dumprep 0 -k> [File is missing] [File is missing]是个什么情况——文件找不到了？！ ------------------------------------------------------------ [attachimg]537519[/attachimg] Sonof_Dragon 最后编辑于 2009-07-07 22:04:43
Sonof_Dragon 拙长孩提狮帖子:172 注册: 2009-06-28 来自:

_逸枫_ 拙长孩提狮帖子:133 注册: 2009-06-14 来自:兰州军区	发表于： 2009-07-07 22:05 \| 短消息资料字号：小中大 97楼回复 81F 凌霜寒的帖子 ===================以下内容为lqqk7回复================== 很多流氓插件会在你访问某个网页时被自动安装，他们判断一个用户是否已经安装过这个插件一般就是通过clsid，这个{00000AAA-A363-466E-BEF5-9BB68697AA7F}就是一个clsid，假设它是一个恶意插件，当检测到注册表中不存在这个id时就会去下载安装。于是很多安全工具就推出了“插件免疫”功能，免疫的方法就是在注册表中建立这个插件的clsid，用来骗过恶意插件的检测机制，这时候就会在注册表中留下这样一个空白的键值代替回答哈哈我觉得这种全空白的就是没问题 _逸枫_ 最后编辑于 2009-07-07 22:07:45
_逸枫_ 拙长孩提狮帖子:133 注册: 2009-06-14 来自:兰州军区

乐陶猪拙长孩提狮帖子:127 注册: 2009-07-02 来自:	发表于： 2009-07-07 22:06 \| 短消息资料字号：小中大 98楼回复: 2009年7月7日[日志分析 1 ]讲义 <AppInit_DLLs><kmon.dll> 那上面说键值出现文件即是中毒，那我的这个日志里出现的这个，是不是就中毒了？？如果是的话，怎么删除呢？
乐陶猪拙长孩提狮帖子:127 注册: 2009-07-02 来自:

a123b_lin 拙长孩提狮帖子:147 注册: 2008-07-06 来自:	发表于： 2009-07-07 22:09 \| 短消息资料字号：小中大 99楼回复 81F 凌霜寒的帖子 1 答案在41F
a123b_lin 拙长孩提狮帖子:147 注册: 2008-07-06 来自:

Sonof_Dragon 拙长孩提狮帖子:172 注册: 2009-06-28 来自:	发表于： 2009-07-07 22:23 \| 短消息资料字号：小中大 100楼回复: 2009年7月7日[日志分析 1 ]讲义引用: 原帖由乐陶猪于 2009-7-7 22:06:00 发表 <AppInit_DLLs><kmon.dll> 那上面说键值出现文件即是中毒，那我的这个日志里出现的这个，是不是就中毒了？？如果是的话，怎么删除呢？ kmon.dll是卡卡的dll。
Sonof_Dragon 拙长孩提狮帖子:172 注册: 2009-06-28 来自:

<<上一主题|下一主题>>

«6 7 8 91011 12 13

10 / 13 页

跳转页

页面顶部

Powered by Discuz!NT