7月9日日志分析练习3 - 瑞星卡卡安全论坛bbs.ikaka.com

瑞星卡卡安全论坛综合娱乐区 活动专区 实习生专区 实习生交流区 7月9日日志分析练习3

	瑞星“1+2”全新解决方案巡展在广州画上圆满句号		叶院长揭秘：瑞星如何运用AI技术革新网络安全		俄乌冲突加剧网络攻击风险白俄罗斯政府遭APT攻击		瑞星ESM防病毒系统助力矿业大学筑牢网络安全防线
	实力拉满瑞星第五十次通过VB100测评		请移步新论坛反馈问题或参与讨论		护航司法，瑞星助力山西省高院构建安全防线		人工智能在网络安全领域的风险和机遇

12

1 / 2 页

跳转页

[练习] 7月9日日志分析练习3

本主题由大版主 lqqk7 于 2009-7-9 9:54:45 执行设置高亮操作

lqqk7 社区嘉宾帖子:4876 注册: 2006-03-15 来自:	发表于： 2009-07-09 09:50 \| 只看楼主短消息资料字号：小中大 1楼 7月9日日志分析练习3 即日起每日会给大家提供一些染毒环境的SREng日志，因为部分实习生是第一次接触SREng这个工具，对日志分析不熟悉，如果冒然跑去反病毒区回帖，一旦出现误判，可能对求助者不利，因此采用这种“内部”交流的方式，希望大家能够多练习，真正分析日志的方法是靠自己实践摸索出来的！注：日志分析练习情况与大家的实习期总成绩没有关联，请大家不要有顾虑，放心大胆的练习！附件: 您所在的用户组无法下载或查看附件 ========以下为参考分析结果======== 异常项见附件（仅保留日志中可疑度较高的项）注意： 1、计划任务中N个rundll32.exe，具体要看后面执行的是什么dll文件，如果有异常可以删除掉对应的dll文件，但这个rundll32.exe不要删除；附件: 您所在的用户组无法下载或查看附件酷卡最后编辑于 2009-07-28 17:15:07 哦
lqqk7 社区嘉宾帖子:4876 注册: 2006-03-15 来自:	分享到：

merrk_chuan 飘泊而立狮帖子:845 注册: 2009-06-07 来自:	发表于： 2009-07-09 18:25 \| 短消息资料字号：小中大 2楼回复: 7月9日日志分析练习3 *** 该内容需回复才可浏览 ***
merrk_chuan 飘泊而立狮帖子:845 注册: 2009-06-07 来自:

基牛强壮不惑狮帖子:841 注册: 2009-06-19 来自:	发表于： 2009-07-09 19:24 \| 短消息资料字号：小中大 3楼回复: 7月9日日志分析练习3 *** 该内容需回复才可浏览 ***
基牛强壮不惑狮帖子:841 注册: 2009-06-19 来自:

言兮飘泊而立狮帖子:839 注册: 2009-06-17 来自:	发表于： 2009-07-09 20:36 \| 短消息资料字号：小中大 4楼回复: 7月9日日志分析练习3 *** 该内容需回复才可浏览 *** 寻找一个梦想存放年轻时的心，每一个回忆都是走过的成绩！
言兮飘泊而立狮帖子:839 注册: 2009-06-17 来自:

daemonz 飘泊而立狮帖子:563 注册: 2009-05-15 来自:	发表于： 2009-07-09 21:34 \| 短消息资料字号：小中大 5楼回复: 7月9日日志分析练习3 可疑的地方： c:\windows\system32\nspass4.sys c:\windows\system32\nspass3.sys c:\windows\system32\nspass2.sys c:\windows\system32\nspass1.sys c:\windows\system32\nspass0.sys c:\windows\system32\nskhelper2.sys [AppInit_DLLs]被修改好像是卡巴吧启动项目－－服务－－驱动程序之如下项删除： [NsPsDk04 / NsPsDk04] <\??\C:\WINDOWS\system32\NsPass4.sys> [NsPsDk03 / NsPsDk03] <\??\C:\WINDOWS\system32\NsPass3.sys> [NsPsDk02 / NsPsDk02] <\??\C:\WINDOWS\system32\NsPass2.sys> [NsPsDk01 / NsPsDk01] <\??\C:\WINDOWS\system32\NsPass1.sys> [NsPsDk00 / NsPsDk00] <\??\C:\WINDOWS\system32\NsPass0.sys> [NsDlRK250 / NsDlRK250] <\??\C:\WINDOWS\system32\Nskhelper2.sys> 还有这些计划任务也取消了 [已启用] At5.job rundll32.exe [已启用] At4.job rundll32.exe [已启用] At3.job rundll32.exe [已启用] At2.job rundll32.exe [已启用] At1.job rundll32.exe [已启用] At10.job rundll32.exe [已启用] At9.job rundll32.exe [已启用] At8.job rundll32.exe [已启用] At7.job rundll32.exe [已启用] At6.job rundll32.exe [已启用] At15.job rundll32.exe [已启用] At14.job rundll32.exe [已启用] At13.job rundll32.exe [已启用] At12.job rundll32.exe [已启用] At11.job rundll32.exe [已启用] At20.job rundll32.exe [已启用] At19.job rundll32.exe [已启用] At18.job rundll32.exe [已启用] At17.job rundll32.exe [已启用] At16.job rundll32.exe [已启用] At21.job rundll32.exe
daemonz 飘泊而立狮帖子:563 注册: 2009-05-15 来自:

daemonz 飘泊而立狮帖子:563 注册: 2009-05-15 来自:	发表于： 2009-07-09 21:51 \| 短消息资料字号：小中大 6楼回复: 7月9日日志分析练习3 引用: 原帖由 merrk_chuan 于 2009-7-9 18:25:00 发表 *隐藏帖* 请教下，那个 srsvc.dll 被感染是咋看出来的？
daemonz 飘泊而立狮帖子:563 注册: 2009-05-15 来自:

凡尘之沙叱咤花甲狮帖子:6814 注册: 2008-09-14 来自:安徽蚌埠	发表于： 2009-07-09 22:07 \| 短消息资料字号：小中大 7楼回复: 7月9日日志分析练习3 *** 该内容需回复才可浏览 ***
凡尘之沙叱咤花甲狮帖子:6814 注册: 2008-09-14 来自:安徽蚌埠

merrk_chuan 飘泊而立狮帖子:845 注册: 2009-06-07 来自:	发表于： 2009-07-09 22:43 \| 短消息资料字号：小中大 8楼回复: 7月9日日志分析练习3 引用: 原帖由 daemonz 于 2009-7-9 21:51:00 发表引用: 原帖由 merrk_chuan 于 2009-7-9 18:25:00 发表 *隐藏帖* 请教下，那个 srsvc.dll 被感染是咋看出来的？ [System Restore Service / srservice][Stopped/Auto Start] <C:\WINDOWS\system32\svchost.exe -k netsvcs-->C:\WINDOWS\system32\srsvc.dll><N/A> 从服务项的这个看出，没有MS的签名，应该是被感染
merrk_chuan 飘泊而立狮帖子:845 注册: 2009-06-07 来自:

daemonz 飘泊而立狮帖子:563 注册: 2009-05-15 来自:	发表于： 2009-07-10 08:21 \| 短消息资料字号：小中大 9楼回复 8F merrk_chuan 的帖子谢谢，是不是正常的系统文件都要有微软的签名啊
daemonz 飘泊而立狮帖子:563 注册: 2009-05-15 来自:

言兮飘泊而立狮帖子:839 注册: 2009-06-17 来自:	发表于： 2009-07-10 08:28 \| 短消息资料字号：小中大 10楼回复：7月9日日志分析练习3 理论上来讲都是这样，不过也有例外的，当然如果要求不太精细的话就把不带签名的当作问题文件好了。寻找一个梦想存放年轻时的心，每一个回忆都是走过的成绩！
言兮飘泊而立狮帖子:839 注册: 2009-06-17 来自:

<<上一主题|下一主题>>

12

1 / 2 页

跳转页

页面顶部

Powered by Discuz!NT