7月8日日志分析练习1 - 瑞星卡卡安全论坛bbs.ikaka.com

瑞星卡卡安全论坛综合娱乐区 活动专区 实习生专区 实习生交流区 7月8日日志分析练习1

	瑞星“1+2”全新解决方案巡展在广州画上圆满句号		叶院长揭秘：瑞星如何运用AI技术革新网络安全		俄乌冲突加剧网络攻击风险白俄罗斯政府遭APT攻击		瑞星ESM防病毒系统助力矿业大学筑牢网络安全防线
	实力拉满瑞星第五十次通过VB100测评		请移步新论坛反馈问题或参与讨论		护航司法，瑞星助力山西省高院构建安全防线		人工智能在网络安全领域的风险和机遇

3 / 5 页

跳转页

[练习] 7月8日日志分析练习1

本主题由大版主 lqqk7 于 2009-7-8 12:46:38 执行设置高亮操作

凡尘之沙叱咤花甲狮帖子:6814 注册: 2008-09-14 来自:安徽蚌埠	发表于： 2009-07-08 12:43 \| 短消息资料字号：小中大 21楼回复: 7月8日日志分析练习1 *** 该内容需回复才可浏览 ***
凡尘之沙叱咤花甲狮帖子:6814 注册: 2008-09-14 来自:安徽蚌埠

merrk_chuan 飘泊而立狮帖子:845 注册: 2009-06-07 来自:	发表于： 2009-07-08 13:00 \| 短消息资料字号：小中大 22楼回复: 7月8日日志分析练习1 *** 该内容需回复才可浏览 ***
merrk_chuan 飘泊而立狮帖子:845 注册: 2009-06-07 来自:

handle 拙长孩提狮帖子:99 注册: 2009-04-10 来自:	发表于： 2009-07-08 13:10 \| 短消息资料字号：小中大 23楼回复：7月8日日志分析练习1 <Userinit><C:\WINDOWS\System32\userinit.exe,,"D:\HFEE\SVOHOST.EXE" un userinit.exe> [File is missing]有问题还有就是镜像劫持，但劫持的指向文件是系统文件csrss.exe和sysocmgr.exe，而且从签名看出貌似不是被替换的系统文件。以前只看到过病毒劫持安全软件指向病毒文件，这个有点不解。 host好像也是被篡改了但是找不到病毒文件
handle 拙长孩提狮帖子:99 注册: 2009-04-10 来自:

月下的提子快乐黄口狮帖子:216 注册: 2009-07-01 来自:	发表于： 2009-07-08 13:16 \| 短消息资料字号：小中大 24楼回复：7月8日日志分析练习1 ！！还是看不懂。
月下的提子快乐黄口狮帖子:216 注册: 2009-07-01 来自:

se7ensun 自信弱冠狮帖子:519 注册: 2008-11-02 来自:上海	发表于： 2009-07-08 13:33 \| 短消息资料字号：小中大 25楼回复: 7月8日日志分析练习1 引用: 原帖由月下的提子于 2009-7-8 13:16:00 发表！！还是看不懂。呵呵多看看讲义啦都是慢慢学起来的~~
se7ensun 自信弱冠狮帖子:519 注册: 2008-11-02 来自:上海

幽灵楠自信弱冠狮帖子:450 注册: 2008-05-21 来自:	发表于： 2009-07-08 14:07 \| 短消息资料字号：小中大 26楼回复：7月8日日志分析练习1 1.<Userinit><C:\WINDOWS\System32\userinit.exe,,"D:\HFEE\SVOHOST.EXE" un userinit.exe> [File is missing] 2.[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Active Setup\Installed Components\>{26923b43-4d38-484f-9b9e-de460746276c}] <Internet Explorer><%systemroot%\system32\shmgrate.exe OCInstallUserConfigIE> [File is missing] 3.[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Active Setup\Installed Components\>{881dd1c5-3dcf-431b-b061-f3f88e8be88a}] <Outlook Express><%systemroot%\system32\shmgrate.exe OCInstallUserConfigOE> [File is missing] 4.[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\0.EXE] <IFEO[0.EXE]><C:\WINDOWS\system32\csrss.exe> [(Verified)Microsoft Windows Component Publisher] IFEO 等.都有问题. 5.浏览器加载项倒煤啥问题 6.HOSTS 文件修改
幽灵楠自信弱冠狮帖子:450 注册: 2008-05-21 来自:

wendy062 初生襁褓狮帖子:63 注册: 2009-06-13 来自:江苏无锡	发表于： 2009-07-08 15:15 \| 短消息资料字号：小中大 27楼回复：7月8日日志分析练习1 找半天，哎，猜的这些是不？ <RFWTray><; "D:\Rising\RFW\RsTray.exe" -system> [File is missing] <UnlockerAssistant><; "D:\Unlocker\UnlockerAssistant.exe" -H> [] <Userinit><C:\WINDOWS\System32\userinit.exe,,"D:\HFEE\SVOHOST.EXE" un userinit.exe> [File is missing] <Internet Explorer><%systemroot%\system32\shmgrate.exe OCInstallUserConfigIE> [File is missing] <Outlook Express><%systemroot%\system32\shmgrate.exe OCInstallUserConfigOE> [File is missing] <Themes Setup><%SystemRoot%\system32\regsvr32.exe /s /n /i:/UserInstall %SystemRoot%\system32\themeui.dll> [File is missing] <Microsoft Outlook Express 6><"%ProgramFiles%\Outlook Express\setup50.exe" /APP:OE /CALLER:WINNT /user /install> [File is missing] <通讯簿 6><"%ProgramFiles%\Outlook Express\setup50.exe" /APP:WAB /CALLER:WINNT /user /install> [File is missing] <C:\WINDOWS\System32\svchost.exe -k netsvcs-->%SystemRoot%\System32\hidserv.dll><N/A> <C:\WINDOWS\System32\svchost.exe -k netsvcs-->C:\WINDOWS\SYSTEM32\W32TIME.DLL><Microsoft Corporation> <D:\nh\WEBPLA~1\WP9Service.exe><WebPlayer9.com> [360procmon / 360procmon][Running/Manual Start] <\??\C:\Program Files\360safe\safemon\360procmon.sys><> [npkycryp / npkycryp][Stopped/Manual Start] <\??\C:\WINDOWS\system32\npkycryp.sys><N/A>
wendy062 初生襁褓狮帖子:63 注册: 2009-06-13 来自:江苏无锡

331878347 飘泊而立狮帖子:725 注册: 2009-06-20 来自:Sicau	发表于： 2009-07-08 16:34 \| 短消息资料字号：小中大 28楼回复: 7月8日日志分析练习1 一点一点看，一点一点挑错，嘿嘿…… <RFWTray><; "D:\Rising\RFW\RsTray.exe" -system> [File is missing] 这一行，文件不存在了？？？是不是被病毒解决了呢？ <Userinit><C:\WINDOWS\System32\userinit.exe,,"D:\HFEE\SVOHOST.EXE" un userinit.exe> [File is missing] 这行肯定是有问题吧，svchost被SVOHOST伪装，毒！但是文件又不存在，什么意思？已被删除了？ [PID: 1260 / s][D:\HFEE\SVOHOST.EXE] [, 3000.0.0.0] 进程里，又发现它了SVOHOST.EXE，嘿嘿，跑不掉！ [D:\nh\WEBPLA~1\FTKernelAPI.dll] [p2plib.com, 2, 0, 0, 4242] [D:\nh\WEBPLA~1\kadnetdll.dll] [, 2, 0, 0, 10] 有问题，百度了一下，kadnetdll.dll是灰鸽子运行文件，看看路径，那上一行有问题咯，p2plib.com也就…… [D:\nh\WEBPLA~1\FTKUDPxAPI.dll] [hwysoft.com, 1, 0, 0, 80] [D:\nh\WEBPLA~1\FTKTCPxAPI.dll] [hwysoft.com, 1, 0, 0, 342] [D:\nh\WEBPLA~1\UDPEchoAPI.dll] [hwysoft.com, 1, 0, 0, 31] 由上面可知，这几行也都是问题了！ HOSTS文件被修改（但是个人认为没有问题，感觉那些网站都不是什么好站，屏蔽了好！……）暂时就找出了6个地方，估计多半都有遗漏的地方，希望老师同学批评指点，大家共同进步！谢谢身体发肤,受之父母,不敢毁伤,孝至始也。立身行道,扬名於后世,以显父母,孝之终也。 Click here to my blog.Welcome!!!
331878347 飘泊而立狮帖子:725 注册: 2009-06-20 来自:Sicau

零度的穷浪漫自信弱冠狮帖子:499 注册: 2009-06-25 来自:	发表于： 2009-07-09 06:05 \| 短消息资料字号：小中大 29楼回复：7月8日日志分析练习1 少了[CODE][/CODE]
零度的穷浪漫自信弱冠狮帖子:499 注册: 2009-06-25 来自:

精神病院看门的禁止访问帖子:346 注册: 2009-06-11 来自:	发表于： 2009-07-09 08:56 \| 短消息资料字号：小中大 30楼回复: 7月8日日志分析练习1 该用户帖子内容已被屏蔽青春就像卫生纸用着用着就没有了……
精神病院看门的禁止访问帖子:346 注册: 2009-06-11 来自:

<<上一主题|下一主题>>

3 / 5 页

跳转页

页面顶部

Powered by Discuz!NT