2009年7月9日[日志分析 2 ]讲义 - 瑞星卡卡安全论坛bbs.ikaka.com

瑞星卡卡安全论坛综合娱乐区 活动专区 实习生专区 实习生交流区 2009年7月9日[日志分析 2 ]讲义

	瑞星“1+2”全新解决方案巡展在广州画上圆满句号		叶院长揭秘：瑞星如何运用AI技术革新网络安全		俄乌冲突加剧网络攻击风险白俄罗斯政府遭APT攻击		瑞星ESM防病毒系统助力矿业大学筑牢网络安全防线
	实力拉满瑞星第五十次通过VB100测评		请移步新论坛反馈问题或参与讨论		护航司法，瑞星助力山西省高院构建安全防线		人工智能在网络安全领域的风险和机遇

4 / 6 页

跳转页

[讲义] 2009年7月9日[日志分析 2 ]讲义

本主题由大版主 lqqk7 于 2010-7-14 11:14:31 执行关闭主题/取消操作

331878347 飘泊而立狮帖子:725 注册: 2009-06-20 来自:Sicau	发表于： 2009-07-09 20:19 \| 短消息资料字号：小中大 31楼回复: 2009年7月9日[日志分析 2 ]讲义谢谢老师提醒，我也键盘误了……（其实我在卡卡论坛已经很小心很小心了，生怕哪错了酿成大错，唉，粗心的毛病+不爽的输入法，呵呵）关于你讲的那一段系统变量，以前学JAVA（初学）的时候，就只知道按照老师说的添加系统变量、用户变量。现在终于明白有一些眉目了，真谢谢你啊！对了用户变量又是什么呢，是不是和系统变量也类似呢？可否简单介绍几句。另外，今天看到一位网友提出的问题“输入regedit 回车后弹出打开方式的对话框”，我想会不会是系统变量出了问题，请老师说说您自己的看法吧，谢谢~ 《再次感谢我们可爱的老师，辛苦咯!!!》 ===================以下内容为lqqk7回复================== 1、windows是多用户操作系统，比如你的系统有两个帐户，一个是默认的administrator，另一个是自己新建的ikaka，系统变量就是说无论你用administrator登陆还是用ikaka登陆都会生效的变量；而用户变量则是指你在administrator账户下添加的用户变量，在ikaka帐户下是不生效的，反之亦然。 2、可以让网友试试执行其他.exe文件是否正常，判断是否是.exe文件关联出了问题；另外可以通过日志看看regedit.exe是否被劫持； lqqk7 最后编辑于 2009-07-09 20:43:50 身体发肤,受之父母,不敢毁伤,孝至始也。立身行道,扬名於后世,以显父母,孝之终也。 Click here to my blog.Welcome!!!
331878347 飘泊而立狮帖子:725 注册: 2009-06-20 来自:Sicau

口哨拙长孩提狮帖子:114 注册: 2008-12-15 来自:福建省福州市	发表于： 2009-07-09 20:20 \| 短消息资料字号：小中大 32楼回复：2009年7月9日[日志分析 2 ]讲义老师为什么启动文件在注册表没有键值呢？ ===================以下内容为lqqk7回复================== 你指的是开始——程序——启动文件夹里面的文件吧？windwos在启动时会去自动运行这里面的程序，不需要注册表项的支持，微软就是这样设计的。 lqqk7 最后编辑于 2009-07-09 20:47:42
口哨拙长孩提狮帖子:114 注册: 2008-12-15 来自:福建省福州市

skaka7941455 健康舞勺狮帖子:295 注册: 2008-08-11 来自:	发表于： 2009-07-09 20:30 \| 短消息资料字号：小中大 33楼回复：2009年7月9日[日志分析 2 ]讲义老师好第一、sreng 扫描服务和驱动的时候是不是微软的初始服务没有扫描出来啊直接跳过了因为看见扫出来的服务很少第二、病毒可能不可能改变了微软的初始服务来达到启动的目的啊？比如把原来的文件替换掉等等 ===================以下内容为lqqk7回复================== 1、引用SREng用户手册中的话“为了减少报告的体积，智能扫描功能将把发行者是 Microsoft 的项目过滤掉，并不会出现在报告里面。”； 2、可能，并且这种病毒早已出现了，但因为文件被替换或改写后，其本身的版本信息和签名都被破坏，在日志中还是能够体现出异常的，另一方面系统服务被替换后通常也会伴随一些比较明显的系统故障； lqqk7 最后编辑于 2009-07-09 20:52:22
skaka7941455 健康舞勺狮帖子:295 注册: 2008-08-11 来自:

bluesonata 初生襁褓狮帖子:70 注册: 2009-06-18 来自:	发表于： 2009-07-09 20:36 \| 短消息资料字号：小中大 34楼回复：2009年7月9日[日志分析 2 ]讲义老师~如果open=abc.exe中的文件abc.exe被删除了，所在的盘就会出现打不开的现象吗？那我以前一个同学电脑所有盘都只能右键--打开才能打开，就有可能是因为杀毒软件杀了病毒而这个文件没有改造成的吗？还有其他可能吗？谢谢老师啦~~ ===================以下内容为lqqk7回复================== 你说的是最常见的情况，还有一种不常见的情况，直接在注册表中篡改了磁盘的打开方式，对应的注册表项在 HKEY_CLASSES_ROOT\Drive\shell 但是不建议直接去操作注册表，先确定autorun.inf已经删除并重启了系统，如果还有问题，最好让求助者将这个注册表项导出后具体分析 lqqk7 最后编辑于 2009-07-09 21:06:49
bluesonata 初生襁褓狮帖子:70 注册: 2009-06-18 来自:

零度的穷浪漫自信弱冠狮帖子:499 注册: 2009-06-25 来自:	发表于： 2009-07-09 20:48 \| 短消息资料字号：小中大 35楼回复: 2009年7月9日[日志分析 2 ]讲义引用: 原帖由 lqqk7 于 2009-7-9 9:31:00 发表 [attach]538608[/attach] U盘中的Autorun.inf就删不掉是什么原因？ ===================以下内容为lqqk7回复================== 我能想到的可能性： 1、U盘有写保护开关，并且已经开启； 2、U盘损坏（相对可能性较低）； 3、文件系统错误（用windows自带的磁盘查错功能修复错误后一般能解决）； 4、针对NTFS文件系统，该文件被设置了拒绝改写的权限； 5、插着U盘的这台电脑存在活体病毒，以独占的方式保护这个文件，使其无法被删除； lqqk7 最后编辑于 2009-07-09 21:05:29
零度的穷浪漫自信弱冠狮帖子:499 注册: 2009-06-25 来自:

伸张正翼初生襁褓狮帖子:90 注册: 2009-06-09 来自:四川	发表于： 2009-07-09 20:54 \| 短消息资料字号：小中大 36楼回复: 2009年7月9日[日志分析 2 ]讲义引用: 原帖由 bluesonata 于 2009-7-9 20:36:00 发表老师~如果open=abc.exe中的文件abc.exe被删除了，所在的盘就会出现打不开的现象吗？那我以前一个同学电脑所有盘都只能右键--打开才能打开，就有可能是因为杀毒软件杀了病毒而这个文件没有改造成的吗？还有其他可能吗？谢谢老师啦~~ "电脑所有盘都只能右键--打开才能打开"这个也有可能是ROSE.EXE病毒造成的 ROSE.EXE病毒病毒利用系统驱动器双击自读的漏洞，尤其是移动存储用户的电脑更是为之疾首，中了该病毒以后，用右键点击本地磁盘，发现原来应该是“打开”的指令变成了“自动播放”。呵呵，我自己的理解，可能还有其他原因吧~ 刚刚看完，觉得这讲比较容易理解哈老师辛苦了，谢谢老师~ 我很被动啊~~~
伸张正翼初生襁褓狮帖子:90 注册: 2009-06-09 来自:四川

小杯咖啡自信弱冠狮帖子:440 注册: 2009-06-07 来自:	发表于： 2009-07-09 20:56 \| 短消息资料字号：小中大 37楼回复：2009年7月9日[日志分析 2 ]讲义老师辛苦啦. 我有2个问题想问问.. 1.你说如果某个地区的网络服务商的DNS服务器出了问题,那我们可以强制将www.rising.com.cn解析到219.238.233.203,解一时之急.这个219.238.233.203是不是可以随意更换的? 2.有没有这方面的书可以推荐下? 我想借些书深入了解下. 谢谢老师啦. ===================以下内容为lqqk7回复================== 1、38楼正解，这个是不可以任意更换的，只能置顶为瑞星官网的IP； 2、貌似没有专门讲解Hosts文件的书吧.....不过可以去搜索一下微软知识库 lqqk7 最后编辑于 2009-07-09 21:10:10
小杯咖啡自信弱冠狮帖子:440 注册: 2009-06-07 来自:

Ass_Frog 自信弱冠狮帖子:591 注册: 2009-05-16 来自:	发表于： 2009-07-09 20:59 \| 短消息资料字号：小中大 38楼回复: 2009年7月9日[日志分析 2 ]讲义 219.238.233.203<------貌似就是瑞星的官网服务器的IP地址，不能随意的俺就是那传说中的土耳其怪婴！
Ass_Frog 自信弱冠狮帖子:591 注册: 2009-05-16 来自:

dipahole 飘泊而立狮帖子:634 注册: 2009-06-05 来自:洛克公园	发表于： 2009-07-09 21:10 \| 短消息资料字号：小中大 39楼回复：2009年7月9日[日志分析 2 ]讲义首先谢谢lqqk7老师耐心地准备齐全的资料,看了以后受益匪浅,突然发现自己以前学的那点分析技巧还非常的不全面,谢谢,衷心地谢谢.... 然后诚恳地向lqqk7老师请教几个问题: 1.dllcache目录下是不是也可能存在病毒文件,当我们干掉一个病毒后,它又回来了? 2.能不能介绍一个编辑软件,让我看报告文件可以看得舒服一点,看记事本看得头晕死了.... ===================以下内容为lqqk7回复================== 1、有可能，并且已经早已出现过这样的病毒，通常是将原系统正常文件改写（或替换）的同时，将DLLCACHE下的备份文件也一并改写或替换，遇到这种极端情况就需要到其他相同的系统去拷贝正常文件了；如果求助者反应所有病毒文件和注册表项都处理掉之后病毒文件还会还原，可以去检查一下文件的MD5来判断； 2、目前可以读取SREng日志的工具只有分析助手和FmtLOG，附件提供下载，另附logEnToCn工具，在英文操作系统中扫描出的日志也是英文的，分析助手无法加载，通过工具可以转换成中文的；但是一定注意：两个工具各有利弊，可以辅助使用，但不可依赖，否则会降低分析能力，另外讲义中提到的分析助手的问题也要注意；附件: 您所在的用户组无法下载或查看附件 lqqk7 最后编辑于 2009-07-09 21:24:12
dipahole 飘泊而立狮帖子:634 注册: 2009-06-05 来自:洛克公园

安旗中国强壮不惑狮帖子:871 注册: 2006-01-30 来自:	发表于： 2009-07-09 21:13 \| 短消息资料字号：小中大 40楼回复：2009年7月9日[日志分析 2 ]讲义请教3个问题 1、dll病毒是否只能通过修改注册表插入吗？ 2、我这里瑞星的地址怎么是这个？附件: 您所在的用户组无法下载或查看附件强制解析和用dns服务器的效果完全一样吗？ 3、file is missing 是不是因为删除了病毒没有删除注册表引起的？光删病毒文件不删注册表项会有什么后果？ ===================以下内容为lqqk7回复================== 1、不，还有其他方式，调用系统函数插入进程，后面的进阶课程可能会讲到； 2、不知道啥时候IP变了，不过目前解析到219.238.233.203也是可以访问的，可能多台服务器或者是ChinaCache的加速服务； 3、file is missing是指目标文件不存在，一般就是删除了文件而没有删除注册表键值，可能出现开机提示找不到xx文件的错误； lqqk7 最后编辑于 2009-07-09 21:42:12
安旗中国强壮不惑狮帖子:871 注册: 2006-01-30 来自:

<<上一主题|下一主题>>

4 / 6 页

跳转页

页面顶部

Powered by Discuz!NT