7月8日日志分析练习10 - 瑞星卡卡安全论坛bbs.ikaka.com

瑞星卡卡安全论坛综合娱乐区 活动专区 实习生专区 实习生交流区 7月8日日志分析练习10

	瑞星“1+2”全新解决方案巡展在广州画上圆满句号		叶院长揭秘：瑞星如何运用AI技术革新网络安全		俄乌冲突加剧网络攻击风险白俄罗斯政府遭APT攻击		瑞星ESM防病毒系统助力矿业大学筑牢网络安全防线
	实力拉满瑞星第五十次通过VB100测评		请移步新论坛反馈问题或参与讨论		护航司法，瑞星助力山西省高院构建安全防线		人工智能在网络安全领域的风险和机遇

12

2 / 2 页

跳转页

[练习] 7月8日日志分析练习10

本主题由大版主 lqqk7 于 2009-7-8 16:13:14 执行设置高亮操作

零度的穷浪漫自信弱冠狮帖子:499 注册: 2009-06-25 来自:	发表于： 2009-07-29 04:18 \| 短消息资料字号：小中大 11楼回复：7月8日日志分析练习10 终于分析完8号的日志了
零度的穷浪漫自信弱冠狮帖子:499 注册: 2009-06-25 来自:

still刀刀自信弱冠狮帖子:478 注册: 2009-07-02 来自:一些狗一些事	发表于： 2009-07-30 23:56 \| 短消息资料字号：小中大 12楼回复：零度的穷浪漫 1.[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon] <shell><Explorer.exe> []是被病毒修改了吧？是的！ [HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Windows] <AppInit_DLLs><kmon.dll> [(Verified)Beijing Rising Information Technology Corporation Limited]里面的值应该清空不用清空，这是这是卡卡插入进程的dll文件，正常文件 3.[音乐钥匙] {45CEDCCF-21BD-474C-B691-8CF787647E68} <C:\WINDOWS\system32\lmonaqpdik.dll, www.yy14.com> 签名是网址？这项可疑 4，是不是进程一[N/A, ]就全部可疑啊？我觉得是个人拙见，仅供参考 still刀刀最后编辑于 2009-07-31 00:00:06
still刀刀自信弱冠狮帖子:478 注册: 2009-07-02 来自:一些狗一些事

零度的穷浪漫自信弱冠狮帖子:499 注册: 2009-06-25 来自:	发表于： 2009-07-31 16:08 \| 短消息资料字号：小中大 13楼回复：7月8日日志分析练习10 谢谢楼上的，长进了！
零度的穷浪漫自信弱冠狮帖子:499 注册: 2009-06-25 来自:

乐陶猪拙长孩提狮帖子:127 注册: 2009-07-02 来自:	发表于： 2009-08-04 22:57 \| 短消息资料字号：小中大 14楼回复：7月8日日志分析练习10 [mfc43 / mfc43][Running/Auto Start] <c:\windows\mfc43.exe><N/A> [Qvod Terminal / Qvod Terminal][Stopped/Auto Start] <E:\my things\q vod\QvodTerminal.exe><(File is missing)> [PID: 528 / SYSTEM][\??\C:\WINDOWS\system32\winlogon.exe] [Microsoft Corporation, 5.1.2600.5512 (xpsp.080413-2113)] [C:\WINDOWS\system32\COMRes.dll] [N/A, ] [PID: 1408 / Administrator][C:\WINDOWS\Explorer.EXE] [, 1, 0, 0, 1] [C:\WINDOWS\aboy.dll] [N/A, ] [C:\WINDOWS\system32\COMRes.dll] [N/A, ] [PID: 1236 / SYSTEM][c:\windows\mfc43.exe] [N/A, ] ================================== 进程特权扫描特殊特权被允许： SeLoadDriverPrivilege [PID = 528, C:\WINDOWS\SYSTEM32\WINLOGON.EXE] 特殊特权被允许： SeDebugPrivilege [PID = 1408, C:\WINDOWS\EXPLORER.EXE] 特殊特权被允许： SeDebugPrivilege [PID = 376, C:\WINDOWS\TEMP\EXPLORER.EXE] 特殊特权被允许： SeLoadDriverPrivilege [PID = 376, C:\WINDOWS\TEMP\EXPLORER.EXE] 特殊特权被允许： SeDebugPrivilege [PID = 1996, C:\WINDOWS\VM303_STI.EXE] 特殊特权被允许： SeLoadDriverPrivilege [PID = 1996, C:\WINDOWS\VM303_STI.EXE] 特殊特权被允许： SeDebugPrivilege [PID = 488, C:\PROGRAM FILES\GRIDSERVICE\PEER.EXE] 特殊特权被允许： SeLoadDriverPrivilege [PID = 488, C:\PROGRAM FILES\GRIDSERVICE\PEER.EXE] 特殊特权被允许： SeDebugPrivilege [PID = 876, C:\WINDOWS\SYSTEM32\LCHOST.EXE] 特殊特权被允许： SeLoadDriverPrivilege [PID = 876, C:\WINDOWS\SYSTEM32\LCHOST.EXE] 特殊特权被允许： SeDebugPrivilege [PID = 3160, E:\MY THINGS\杀毒工具\SRENG2\我爱小狮子.BAT] 特殊特权被允许： SeLoadDriverPrivilege [PID = 3160, E:\MY THINGS\杀毒工具\SRENG2\我爱小狮子.BAT]
乐陶猪拙长孩提狮帖子:127 注册: 2009-07-02 来自:

荔枝饭饭自信弱冠狮帖子:454 注册: 2010-06-26 来自:	发表于： 2010-07-11 15:59 \| 短消息资料字号：小中大 15楼回复：7月8日日志分析练习10 1注册表和启动项目：<shell><Explorer.exe> []有问题2[mfc43 / mfc43][Running/Auto Start] <c:\windows\mfc43.exe><N/A>有问题 3<E:\my things\q vod\QvodTerminal.exe><(File is missing)> [Rav Process Communication Center / RavCCenter][Stopped/Auto Start]可疑 4Autorun.inf [C:\] [autorun] Open=1.exe [D:\] [autorun] Open=1.exe [E:\] [autorun] Open=1.exe均中毒表现 5进程特权过多 ~木~
荔枝饭饭自信弱冠狮帖子:454 注册: 2010-06-26 来自:

yalicuan 自信弱冠狮帖子:465 注册: 2010-05-28 来自:	发表于： 2010-07-12 16:36 \| 短消息资料字号：小中大 16楼回复：7月8日日志分析练习10 收到，回去练练
yalicuan 自信弱冠狮帖子:465 注册: 2010-05-28 来自:

<<上一主题|下一主题>>

12

2 / 2 页

跳转页

页面顶部

Powered by Discuz!NT