123456   3  /  6  页   跳转

[讲义] 2009年7月9日[日志分析 2 ]讲义

收藏
本主题由 大版主 lqqk7 于 2010-7-14 11:14:31 执行 关闭主题/取消 操作
零度的穷浪漫
头像
自信弱冠狮
  • 帖子:499
  • 注册: 2009-06-25
  • 来自:
09欢乐圣诞
发表于: 2009-07-09 18:28 | 短消息 资料
字号: 21楼

回复:2009年7月9日[日志分析 2 ]讲义

好多东西,记不住怎么办啊?
还有我的运行里打不开dllcache,提示找不到,是怎么回事?


===================以下内容为lqqk7回复==================
某些精简版的系统为了节省磁盘空间,把这个备份文件夹删除了,因为里面都是备份文件,平时很少会用到。
但是一旦系统重要文件被改写时无法立即恢复,就会提示插入系统光盘。
最后编辑lqqk7 最后编辑于 2009-07-09 20:03:04
gototop
 
merrk_chuan
头像
飘泊而立狮
  • 帖子:845
  • 注册: 2009-06-07
  • 来自:
发表于: 2009-07-09 19:17 | 短消息 资料
字号: 22楼

回复:2009年7月9日[日志分析 2 ]讲义

在驱动项中
[Closed Caption Decoder / CCDECODE][Stopped/]
  <2 - 系统找不到指定的文件。
><N/A>

这样的是怎么回事?麻烦老师解答下


===================以下内容为lqqk7回复==================
文件已经不存在了,但是驱动项对应的注册表键值还在
最后编辑lqqk7 最后编辑于 2009-07-09 20:03:35
gototop
 
言兮
头像
飘泊而立狮
  • 帖子:839
  • 注册: 2009-06-17
  • 来自:
发表于: 2009-07-09 19:47 | 短消息 资料
字号: 23楼

回复: 2009年7月9日[日志分析 2 ]讲义



引用:
原帖由 Ass_Frog 于 2009-7-9 16:06:00 发表


引用:
原帖由 言兮 于 2009-7-9 14:23:00 发表
6楼七楼贴把我给弄懵了,没看明白是什么意思,Autorun.inf文件要不要删除,及其删除后的影响?老师帮忙解答下。

-----------------------------------------------------------------------------


谢谢ASS Frog 的解答,我的疑问是老师在六楼七楼之间的那段讲义里的话看不懂,没看明白是删了清除病毒,还是删了对系统有影响???
寻找一个梦想存放年轻时的心,每一个回忆都是走过的成绩!
gototop
 
wy13008218
头像
初生襁褓狮
  • 帖子:95
  • 注册: 2009-06-06
  • 来自:
发表于: 2009-07-09 19:58 | 短消息 资料
字号: 24楼

回复:2009年7月9日[日志分析 2 ]讲义

老师吃块西瓜吧,报个到
gototop
 
Ass_Frog
头像
自信弱冠狮
  • 帖子:591
  • 注册: 2009-05-16
  • 来自:
发表于: 2009-07-09 19:59 | 短消息 资料
字号: 25楼

回复: 2009年7月9日[日志分析 2 ]讲义

说简单点,就是autorun.ini和病毒一起删除为好。
如果只删了autorun.ini,没删病毒,不行。因为病毒实体还是存在。
如果只删了病毒没删autorun.ini,也不行。因为autorun.ini可能造成错误提示等问题。

俺就是那传说中的土耳其怪婴!
gototop
 
clnfhd
头像
拙长孩提狮
  • 帖子:128
  • 注册: 2006-08-06
  • 来自:
发表于: 2009-07-09 20:03 | 短消息 资料
字号: 26楼

回复:2009年7月9日[日志分析 2 ]讲义

老师辛苦了,有点小问题请教~
HOSTS 文件
课件里写道想要屏蔽网站可以写入 127.0.0.1  www.123.com
这个127.0.0.1 可以是任意不存在的?

Autorun.inf
在课件里C,D,E盘中AUTORUN都染毒了,依据是因为多了蓝框中的auto.exe吗?如果在没有中毒的情况下Autorun.inf中的内容应该是什么?
当中毒后手动删除Autorun.inf,没有了配置文件没关系么?

启动项中无路径表示的是不是都在三个默认路径下?


===================以下内容为lqqk7回复==================
1、127.0.0.1可以替换成任意不存在的IP;
2、一般情况下磁盘根目录不应该存在Autorun.inf(也有特例,稍后说),如果看到autorun.inf,并且里面写有open=xxx.exe这一行的话,基本可以断定就是病毒所为了;
特例1:多数光盘根目录存在Autorun.inf,插入光盘后自动运行就是这个文件再起作用;
特例2:有些特殊需要的人希望在磁盘右键菜单里加入一些个性化选项,可以通过Autorun.inf实现,但是这种情况极少见;
特例3:有人希望自定义磁盘盘符图标,可以通过Autorun.inf实现,但也很少见,并且只更改盘符图标的话不会出现open=这行;
3、没有路径的程序仍能被正常运行,就表示它一定在变量path列出的那些路径中存在;
最后编辑lqqk7 最后编辑于 2009-07-09 20:15:00
gototop
 
口哨
头像
拙长孩提狮
  • 帖子:114
  • 注册: 2008-12-15
  • 来自:福建省福州市
发表于: 2009-07-09 20:04 | 短消息 资料
字号: 27楼

回复:2009年7月9日[日志分析 2 ]讲义

老师你提到在删除的时候应该注意2点,为什么要先文件,在删注册表呢?



===================以下内容为lqqk7回复==================
先删除病毒文件的目的是防止重启后病毒再次运行,在运行中的病毒可能会监控自己的注册表项,直接删除可能提示拒绝,也可能删除后病毒马上重建
最后编辑lqqk7 最后编辑于 2009-07-09 20:17:49
gototop
 
daemonz
头像
飘泊而立狮
  • 帖子:563
  • 注册: 2009-05-15
  • 来自:
发表于: 2009-07-09 20:06 | 短消息 资料
字号: 28楼

回复:2009年7月9日[日志分析 2 ]讲义

那个chm文件的关联扫描的日志中为什么不给出 hh.exe 文件的完整的路径呢?
这样怎么知道 hh.exe 文件是否有问题呢


===================以下内容为lqqk7回复==================
不是日志中不给出完整路径,而是扫描出的chm文件关联的注册表键值中就没有给出路径(如图)

 附件: 您所在的用户组无法下载或查看附件

如果日志整体反应出hh.exe有异常迹象的话,可以通过md5初步验证一下,如:
http://file.ikaka.com/INFO/FileInfo.aspx?FileID=6044467
最后编辑lqqk7 最后编辑于 2009-07-09 20:26:26
gototop
 
言兮
头像
飘泊而立狮
  • 帖子:839
  • 注册: 2009-06-17
  • 来自:
发表于: 2009-07-09 20:09 | 短消息 资料
字号: 29楼

回复:2009年7月9日[日志分析 2 ]讲义

老师,分析时[File is missing]在注册表项以这个为结尾是不是可以忽略过去啊?


===================以下内容为lqqk7回复==================
[File is missing]表示目标文件已经不存在,但注册表键值还在,这种情况下虽然病毒下次开机不会运行(因为文件已经没了),但是可能在开机时出现找不到xx文件的报错
最后编辑lqqk7 最后编辑于 2009-07-09 20:29:39
寻找一个梦想存放年轻时的心,每一个回忆都是走过的成绩!
gototop
 
Ass_Frog
头像
自信弱冠狮
  • 帖子:591
  • 注册: 2009-05-16
  • 来自:
发表于: 2009-07-09 20:10 | 短消息 资料
字号: 30楼

回复:2009年7月9日[日志分析 2 ]讲义

关于\??\的问题,请老师解答一下,我搜了半天没搜到相关资料……
我的理解是中文盘符造成的,不知道对不对……


===================以下内容为lqqk7回复==================
应该不是中文卷标造成的,具体形成原因需要问一下SREng作者
最后编辑lqqk7 最后编辑于 2009-07-09 20:36:07

俺就是那传说中的土耳其怪婴!
gototop
 
<<上一主题|下一主题>>
123456   3  /  6  页   跳转
页面顶部
Powered by Discuz!NT