«678910111213   9  /  13  页   跳转

[日志分析 1 ]讲义

收藏
本主题由 大版主 networkedition 于 2012-2-24 10:48:44 执行 移动主题 操作
凌霜寒
头像
拙长孩提狮
  • 帖子:217
  • 注册: 2009-06-13
  • 来自:峨眉派
发表于: 2009-07-07 21:05 | 短消息 资料
字号: 81楼

回复:2009年7月7日[日志分析 1 ]讲义

提问:
1.浏览器加载项部分,如果只显示出注册表项,或者没有文件路径,如:
[]
  {09BA8F6D-CB54-424B-839C-C2A6C8E6B436} <, >
[IFlashGetNetscapeEx Class]
  {116BA71C-8187-4F15-9A1F-C9D6289155D1} <, >
[EWA Control]
  {18226BF8-DC0B-4D81-80E9-A41AE37BB73A} <, >
[]
  {19EFFC12-25FB-479A-A0F2-1569AE1B3365} <, >

是有问题吗?

2.正在运行的进程如果是这样: [C:\WINDOWS\system32\msdmo.dll]  [, ]
有问题吗


===================以下内容为lqqk7回复==================
1、参考41楼的回复;
2、C:\WINDOWS\system32\msdmo.dll是正常的文件
最后编辑lqqk7 最后编辑于 2009-07-07 22:07:28
人若不自在  莫不如轻笑一声飞到天外
心若不自在  是不是荡尽天涯路  无处觅蓬莱
gototop
 
幽灵楠
头像
自信弱冠狮
  • 帖子:450
  • 注册: 2008-05-21
  • 来自:
发表于: 2009-07-07 21:07 | 短消息 资料
字号: 82楼

回复 53F a123b_lin 的帖子

你点那个修改 他会打开一个文件夹。你删除相应的就行了。。搜狗的是他输入法升级的相关的程序。。
gototop
 
澜若是
头像
快乐黄口狮
  • 帖子:184
  • 注册: 2009-06-24
  • 来自:
发表于: 2009-07-07 21:10 | 短消息 资料
字号: 83楼

回复:2009年7月7日[日志分析 1 ]讲义

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Active Setup\Installed Components\{44BBA840-CC51-11CF-AAFA-00AA00B6015C}]
    <Microsoft Windows Mail 7><"%ProgramFiles%\Windows Mail\WinMail.exe" OCInstallUserConfigOE>  [File is missing]
请问如上的[File is missing]代表什么含义


===================以下内容为lqqk7回复==================
[File is missing]表示目标文件不存在
最后编辑lqqk7 最后编辑于 2009-07-07 22:08:11
gototop
 
CPU_ring0
头像
禁止访问
  • 帖子:635
  • 注册: 2009-03-22
  • 来自:Tehon Team
论坛8周年活动礼物
发表于: 2009-07-07 21:22 | 短消息 资料
字号: 84楼

回复: 2009年7月7日[日志分析 1 ]讲义

该用户帖子内容已被屏蔽
最后编辑lqqk7 最后编辑于 2009-07-07 22:09:59
发扬硅谷创业精神,开发世界领先技术。品质源于专注,实力成就梦想。
欢迎您访问:http://www.xsk.org.ru
gototop
 
MickeyWangQY
头像
初生襁褓狮
  • 帖子:97
  • 注册: 2009-06-29
  • 来自:
发表于: 2009-07-07 21:22 | 短消息 资料
字号: 85楼

回复:2009年7月7日[日志分析 1 ]讲义

老师,我有几个问题请教一下:
1、为什么下面两个都包含[N/A,]上面一个没毒,下面一个却是可疑的?       
[PID:4888/new]  [C:\Program Files\WinRAR\WinRAR.exe]  [N/A, ]
[C:\Windows\System32\ypcqchlp.dll]  [N/A, ]
2、“文件关联”部分,如果有error出现,怎么判断是由于正常程序修改造成的还是由病毒破坏的呢?
3、“hosts文件“部分如果出现了老师发上来的日志中的情况是不是说明很可疑了?
4、我扫描的自己电脑的日志中有
[已禁用] PMTask.job
        C:\PROGRA~1\ThinkPad\UTILIT~1\PWMIDTSK.EXE”的字样,是不是哪里有问题啊?
麻烦老师啦~~~非常感谢!


===================以下内容为lqqk7回复==================
1、熟悉系统和常见的软件是判断可以程序的基础,C:\Program Files\WinRAR\WinRAR.exe是winrar压缩解压程序,而ypcqchlp.dll不是我们所熟知的系统文件,但是他存在于C:\Windows\System32目录下,而且插入多个进程,明显不正常的行为;
2、下节课会讲;
3、目前大部分情况下还是免疫恶意网站的更多,具体判断方法可以通过网址作为依据,如果是将各大反病毒厂商、知名正规的网站指向其他IP,一般都是不正常的;
4、没有问题,是ThinkPad电脑自带的程序;
最后编辑lqqk7 最后编辑于 2009-07-07 22:14:47
gototop
 
澜若是
头像
快乐黄口狮
  • 帖子:184
  • 注册: 2009-06-24
  • 来自:
发表于: 2009-07-07 21:27 | 短消息 资料
字号: 86楼

回复:2009年7月7日[日志分析 1 ]讲义

启动文件夹
[OneNote 2007 屏幕剪辑程序和启动程序]
  <C:\Users\lenovo\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\OneNote 2007 屏幕剪辑程序和启动程序.lnk --> D:\PROGRA~1\MICROS~1\Office12\ONENOTEM.EXE [Microsoft Corporation]><N>
[OneNote 2007 屏幕剪辑程序和启动程序]
  <C:\Users\lenovo\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\OneNote 2007 屏幕剪辑程序和启动程序.lnk --> D:\PROGRA~1\MICROS~1\Office12\ONENOTEM.EXE [Microsoft Corporation]><N>
有请问如上的<N>是否与老师列举过的[N/A],[]等具有相类似的含义啊
gototop
 
最硬的石头
头像
版主
  • 帖子:4140
  • 注册: 2008-07-24
  • 来自:
论坛8周年活动礼物冰激凌09欢乐圣诞
发表于: 2009-07-07 21:28 | 短消息 资料
字号: 87楼

回复: 2009年7月7日[日志分析 1 ]讲义



引用:
原帖由 CPU_ring0 于 2009-7-7 21:22:00 发表
刚写了个r3下的隐藏进程的代码,用sreng查了下,,根本发现不了隐藏的进程,之前没有用过这个工具,不知道是基于什么原理查进程的。


那你说说都有几种方法隐藏哈枚举进程
gototop
 
6709的空
头像
强壮不惑狮
  • 帖子:1118
  • 注册: 2009-06-05
  • 来自:
09欢乐圣诞情侣戒指女
发表于: 2009-07-07 21:31 | 短消息 资料
字号: 88楼

回复 80F 迷失の坏坏 的帖子

坏坏。。。我也不知道啊。。。是不是没扫描出来啊。。再我的启动项目里
gototop
 
朋♂友
头像
自信弱冠狮
  • 帖子:380
  • 注册: 2009-04-07
  • 来自:中国湖南
09欢乐圣诞
发表于: 2009-07-07 21:40 | 短消息 资料
字号: 89楼

回复:2009年7月7日[日志分析 1 ]讲义

先学习学习
gototop
 
小漠663
头像
初生襁褓狮
  • 帖子:92
  • 注册: 2009-06-11
  • 来自:
发表于: 2009-07-07 21:48 | 短消息 资料
字号: 90楼

回复:2009年7月7日[日志分析 1 ]讲义

老师,这两行显示
.HLP  Error. [winhlp32.exe %1]
.INI  Error. [C:\WINDOWS\System32\NOTEPAD.EXE %1]
是否正常?哪些显示error是不正常的呢?
gototop
 
<<上一主题|下一主题>>
«678910111213   9  /  13  页   跳转
页面顶部
Powered by Discuz!NT