«12345678»   5  /  13  页   跳转

[日志分析 1 ]讲义

收藏
本主题由 大版主 networkedition 于 2012-2-24 10:48:44 执行 移动主题 操作
a123b_lin
头像
拙长孩提狮
  • 帖子:147
  • 注册: 2008-07-06
  • 来自:
发表于: 2009-07-07 20:05 | 短消息 资料
字号: 41楼

回复:2009年7月7日[日志分析 1 ]讲义

现在是上课时间,不要乱跟帖子


浏览器加载项下有很多类似
[]
  {00000AAA-A363-466E-BEF5-9BB68697AA7F} <, >
这是怎么一回事???


===================以下内容为lqqk7回复==================
很多流氓插件会在你访问某个网页时被自动安装,他们判断一个用户是否已经安装过这个插件一般就是通过clsid,这个{00000AAA-A363-466E-BEF5-9BB68697AA7F}就是一个clsid,假设它是一个恶意插件,当检测到注册表中不存在这个id时就会去下载安装。于是很多安全工具就推出了“插件免疫”功能,免疫的方法就是在注册表中建立这个插件的clsid,用来骗过恶意插件的检测机制,这时候就会在注册表中留下这样一个空白的键值
最后编辑lqqk7 最后编辑于 2009-07-07 20:26:20
gototop
 
幽灵楠
头像
自信弱冠狮
  • 帖子:450
  • 注册: 2008-05-21
  • 来自:
发表于: 2009-07-07 20:06 | 短消息 资料
字号: 42楼

回复:2009年7月7日[日志分析 1 ]讲义

对了.我想问的是 对于那些病毒 他自己能不能设置自己为 微软的啥啥啥 呢? 就是说设置公司 版本都和正常的程序一样的?可以修改不?我想应该是可以设置的吧?那这样的话怎么判断呢/ 对这个问题一直很纠结咧.
因为原来自己做灰鸽子的时候 改的系统服务啥的 全部和微软的改成一样的.结果页是可以运行的...汗...


===================以下内容为lqqk7回复==================
SREng不知检测公司、版本等信息,还会验证数字签名,伪造一个公司名很容易,但是伪造签名相对就很难了
另外分析日志需要对系统关键文件很熟悉,譬如c:\windows\system32下存在svchost.exe,这是一个正常系统文件,如果发现出现一个c:\windows\system32\drivers\svchost.exe,就算他伪装的再好,也肯定是不正常的。
最后编辑lqqk7 最后编辑于 2009-07-07 20:29:37
gototop
 
坤前独后
头像
初生襁褓狮
  • 帖子:66
  • 注册: 2009-06-13
  • 来自:
发表于: 2009-07-07 20:09 | 短消息 资料
字号: 43楼

回复 21F 54wy 的帖子

在安装根目录下建立Plugins文件夹,将所有插件复制到该文件夹即可(插件后缀名为SRE)。然后在Sreng界面里就可以看到安装的插件了。
打开sreng界面看不见呀


===================以下内容为lqqk7回复==================
插件是在这里的
最后编辑lqqk7 最后编辑于 2009-07-07 20:32:05
gototop
 
331878347
头像
飘泊而立狮
  • 帖子:725
  • 注册: 2009-06-20
  • 来自:Sicau
发表于: 2009-07-07 20:09 | 短消息 资料
字号: 44楼

回复: 2009年7月7日[日志分析 1 ]讲义

老师,目前暂时有两个问题请教你一下:
我是连接了Ipv6的,通知在扫描生成日志的过程中正在使用IPv6网络,我好像记得这个服务就是什么“6to4”(借你图用用),为什么我的日志里没有呢??

另外,请看一下下面的部分,能不能解释一下那些0.0.0.0,我不太懂,谢谢!
==================================
HOSTS 文件
127.0.0.1      localhost
------ 屏蔽迅雷看看广告 ------
0.0.0.0  pubstat.sandai.net
0.0.0.0  mcfg.sandai.net
0.0.0.0  biz5.sandai.net
0.0.0.0  float.sandai.net
0.0.0.0  recommend.xunlei.com
0.0.0.0  cl.kankan.xunlei.com
0.0.0.0    211.94.190.80
0.0.0.0  mtips.xunlei.com
0.0.0.0  211.94.190.80
0.0.0.0  mtips.xunlei.com
0.0.0.0  adsresult.joywell.com.cn
==================================


===================以下内容为lqqk7回复==================
1、对ipv6了解不多,但可以肯定你所说的6to4并非我截图中的这个6to4,截图中的这个应该是个病毒伪装的,你可以看一下网络连接里有没有ipv6网络协议,这是你连接ipv6的基础;
2、host中的0.0.0.0没有任何含义,它可以换成任意一个IP,目的是让你在访问后面的地址时解析到指定的IP,达到屏蔽恶意网站的目的
最后编辑lqqk7 最后编辑于 2009-07-07 20:42:03
身体发肤,受之父母,不敢毁伤,孝至始也。
立身行道,扬名於后世,以显父母,孝之终也。
Click here to my blog.Welcome!!!
gototop
 
larry6224
头像
自信弱冠狮
  • 帖子:418
  • 注册: 2009-06-08
  • 来自:
发表于: 2009-07-07 20:09 | 短消息 资料
字号: 45楼

回复:2009年7月7日[日志分析 1 ]讲义

<\??\>    <N/A>
老师啊  这2个符号在里面的含义到底是什么?

是无法获取么?

如果扫描出来没有实际意义 我又怎么去把它们给删除了?

如果不删除的话  它们的存在会不会有什么影响?


==================================
Winsock 提供者
N/A
==================================
Autorun.inf
N/A
==================================
HOSTS 文件
127.0.0.1      localhost
::1            localhost
==================================
进程特权扫描
N/A
==================================
API HOOK
N/A
==================================
隐藏进程
N/A
==================================

这个属于正常现象?VISTA系统


===================以下内容为lqqk7回复==================
1、一般是在驱动项中经常见到\??\,具体原因暂时不清楚,轩辕小聪应该知道,有空问问他去,在分析日志时只要删除\??\后面跟随的文件即可,比如<\??\c:\windows\system32\drivers\virus.sys>
2、vista系统的host确实是多一行::1            localhost的,正常
最后编辑lqqk7 最后编辑于 2009-07-07 20:55:28
gototop
 
烟雨江南春
头像
自信弱冠狮
  • 帖子:538
  • 注册: 2009-06-07
  • 来自:台州黄岩
发表于: 2009-07-07 20:10 | 短消息 资料
字号: 46楼

回复:2009年7月7日[日志分析 1 ]讲义

老师 有没有纯净系统下正常的日志范例啊  混在一起我们不好学啊  先有个基本概念 以后自己也好分析呀


===================以下内容为lqqk7回复==================
完全干净的新系统,且默认未做任何改动的日志不好搞,有空我去虚拟机里扫一个吧
最后编辑lqqk7 最后编辑于 2009-07-07 20:56:37
gototop
 
言兮
头像
飘泊而立狮
  • 帖子:839
  • 注册: 2009-06-17
  • 来自:
发表于: 2009-07-07 20:10 | 短消息 资料
字号: 47楼

回复:2009年7月7日[日志分析 1 ]讲义

用谷歌的 picasa 3.1 看这文件比较清晰一些,可以拖放移动。
寻找一个梦想存放年轻时的心,每一个回忆都是走过的成绩!
gototop
 
凌霜寒
头像
拙长孩提狮
  • 帖子:217
  • 注册: 2009-06-13
  • 来自:峨眉派
发表于: 2009-07-07 20:10 | 短消息 资料
字号: 48楼

回复:2009年7月7日[日志分析 1 ]讲义

6L图中为什么有的后面是[N/A]或[ ]的是病毒,有的不是病毒?比如第一个黄框下的第二行和第三行


===================以下内容为lqqk7回复==================
通过对文件的公司、版本、签名的识别只是判断病毒的一方面,更多的要靠经验
最后编辑lqqk7 最后编辑于 2009-07-07 20:57:31
人若不自在  莫不如轻笑一声飞到天外
心若不自在  是不是荡尽天涯路  无处觅蓬莱
gototop
 
艾米宝贝
头像
初生襁褓狮
  • 帖子:58
  • 注册: 2009-06-10
  • 来自:
发表于: 2009-07-07 20:12 | 短消息 资料
字号: 49楼

回复:2009年7月7日[日志分析 1 ]讲义

还有个问题,难道日志必须要用这个软件来扫描?

不可以查看系统自动的日志文件?


===================以下内容为lqqk7回复==================
系统日志对于判断蓝屏、程序报错会更有帮助,但是对于病毒问题分析系统日志就会力不从心了
SREng是众多工具中比较出色、常用的一个,类似的日志扫描工具还有很多,比如瑞星听诊器、autoruns、wsyscheck、狙剑、卡卡助手、360等等
最后编辑lqqk7 最后编辑于 2009-07-07 21:00:45
gototop
 
坤前独后
头像
初生襁褓狮
  • 帖子:66
  • 注册: 2009-06-13
  • 来自:
发表于: 2009-07-07 20:13 | 短消息 资料
字号: 50楼

回复: 2009年7月7日[日志分析 1 ]讲义



引用:
原帖由 lqqk7 于 2009-7-7 10:16:00 发表
[attach]537592[/attach]

当中说这里包括了IE-BHO..........请问是从哪看出来的呀


===================以下内容为lqqk7回复==================
浏览器加载项即包括IE-BHO
最后编辑lqqk7 最后编辑于 2009-07-07 21:01:58
gototop
 
<<上一主题|下一主题>>
«12345678»   5  /  13  页   跳转
页面顶部
Powered by Discuz!NT