7月14日日志分析练习2 - 瑞星卡卡安全论坛bbs.ikaka.com

瑞星卡卡安全论坛综合娱乐区 活动专区 实习生专区 实习生交流区 7月14日日志分析练习2

	瑞星“1+2”全新解决方案巡展在广州画上圆满句号		叶院长揭秘：瑞星如何运用AI技术革新网络安全		俄乌冲突加剧网络攻击风险白俄罗斯政府遭APT攻击		瑞星ESM防病毒系统助力矿业大学筑牢网络安全防线
	实力拉满瑞星第五十次通过VB100测评		请移步新论坛反馈问题或参与讨论		护航司法，瑞星助力山西省高院构建安全防线		人工智能在网络安全领域的风险和机遇

1

1 / 1 页

跳转页

[练习] 7月14日日志分析练习2

本主题由大版主 lqqk7 于 2009-7-16 17:12:00 执行设置高亮操作

lqqk7 社区嘉宾帖子:4876 注册: 2006-03-15 来自:	发表于： 2009-07-14 23:07 \| 只看楼主短消息资料字号：小中大 1楼 7月14日日志分析练习2 即日起每日会给大家提供一些染毒环境的SREng日志，因为部分实习生是第一次接触SREng这个工具，对日志分析不熟悉，如果冒然跑去反病毒区回帖，一旦出现误判，可能对求助者不利，因此采用这种“内部”交流的方式，希望大家能够多练习，真正分析日志的方法是靠自己实践摸索出来的！注：日志分析练习情况与大家的实习期总成绩没有关联，请大家不要有顾虑，放心大胆的练习！附件: 您所在的用户组无法下载或查看附件以下为参考处理方案（仅列出需要删除的文件和注册表项等，具体使用什么工具请自行根据实际情况选择）附件: 您所在的用户组无法下载或查看附件酷卡最后编辑于 2009-07-28 17:10:52 哦
lqqk7 社区嘉宾帖子:4876 注册: 2006-03-15 来自:	分享到：

daemonz 飘泊而立狮帖子:563 注册: 2009-05-15 来自:	发表于： 2009-07-15 09:32 \| 短消息资料字号：小中大 2楼回复: 7月14日日志分析练习2 又见磁碟机啊，可能很多工具用不了，不过猫叔的方法很巧妙：http://bbs.ikaka.com/showtopic-8427464.aspx c:\windows\system32\dnsq.dll c:\windows\system32\com\lsass.exe c:\windows\system32\com\netcfg.dll c:\windows\system32\com\smss.exe c:\windows\system32\drivers\alg.exe （好像被感染） c:\netapi000.sys 启动项目－－注册表之如下项删除：注意该项[AppInit_DLLs]修改：把<C:\WINDOWS\system32\dnsq.dll>修改为<>即清空注册表的垃圾项： [IMJPMIG8.1] <; C:\WINDOWS\IME\imjp8_1\IMJPMIG.EXE /Spoil /RemAdvDef /Migration32> [PHIME2002A] <; C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.EXE /IMEName> [PHIME2002ASync] <; C:\WINDOWS\IME\imjp8_1\IMJPMIG.EXE /Spoil /RemAdvDef /Migration32> 启动项目－－服务－－驱动程序之如下项禁用： [NetApi000 / NetApi000] <\??\C:\NetApi000.sys>
daemonz 飘泊而立狮帖子:563 注册: 2009-05-15 来自:

朋♂友自信弱冠狮帖子:380 注册: 2009-04-07 来自:中国湖南	发表于： 2009-07-15 11:50 \| 短消息资料字号：小中大 3楼回复：7月14日日志分析练习2 文件关联 .TXT Error. [C:\WINDOWS\notepad.exe %1] .SCR Error. [AutoCADScriptFile] .CHM Error. ["hh.exe" %1] .HLP Error. [winhlp32.exe %1] .INI Error. [C:\WINDOWS\System32\NOTEPAD.EXE %1] == API HOOK 入口点错误：OpenProcess (危险等级: 高, 被下面模块所HOOK: C:\WINDOWS\system32\dnsq.dll)
朋♂友自信弱冠狮帖子:380 注册: 2009-04-07 来自:中国湖南

merrk_chuan 飘泊而立狮帖子:845 注册: 2009-06-07 来自:	发表于： 2009-07-15 17:05 \| 短消息资料字号：小中大 4楼回复: 7月14日日志分析练习2 *** 该内容需回复才可浏览 ***
merrk_chuan 飘泊而立狮帖子:845 注册: 2009-06-07 来自:

Lighting_Cui 自信弱冠狮帖子:391 注册: 2009-06-10 来自:火星	发表于： 2009-07-15 17:18 \| 短消息资料字号：小中大 5楼回复：7月14日日志分析练习2 API HOOK 入口点错误：OpenProcess (危险等级: 高, 被下面模块所HOOK: C:\WINDOWS\system32\dnsq.dll)
Lighting_Cui 自信弱冠狮帖子:391 注册: 2009-06-10 来自:火星

精神病院看门的禁止访问帖子:346 注册: 2009-06-11 来自:	发表于： 2009-07-15 21:31 \| 短消息资料字号：小中大 6楼回复: 7月14日日志分析练习2 该用户帖子内容已被屏蔽青春就像卫生纸用着用着就没有了……
精神病院看门的禁止访问帖子:346 注册: 2009-06-11 来自:

零度的穷浪漫自信弱冠狮帖子:499 注册: 2009-06-25 来自:	发表于： 2009-07-31 17:04 \| 短消息资料字号：小中大 7楼回复：7月14日日志分析练习2 开始操作之前，先把网络断开； ——————————————————————————————————————— 使用暴力文件删除工具删除以下文件： ——————————————————————————————————————— C:\WINDOWS\IME\imjp8_1\IMJPMIG.EXE /Spoil /RemAdvDef /Migration32 C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.EXE /IMEName C:\WINDOWS\IME\imjp8_1\IMJPMIG.EXE /Spoil /RemAdvDef /Migration32 \??\C:\NetApi000.sys system32\DRIVERS\sr.sys c:\windows\system32\dnsq.dll ——————————————————————————————————————— 打开SREng，选择【启动项目】-【注册表】，编辑以下项，将其值改为空：注意：一定不要删除这些项，将其值改为空即可！ [AppInit_DLLs] ——————————————————————————————————————— 打开SREng，选择【启动项目】-【服务】将以下项删除： C:\Program Files\kingsoft\KSM2.0\KSMSvc.exe [NetMeeting Remote Desktop Sharing / mnmsrvc] [WLTRYSVC / WLTRYSVC ] <C:\WINDOWS\System32\wltrysvc.exe C:\WINDOWS\System32\bcmwltry.exe ——————————————————————————————————————— 打开SREng，选择【启动项目】-【服务】-【驱动程序】，将以下项删除： \??\C:\NetApi000.sys \??\C:\WINDOWS\system32\npkcrypt.sys system32\DRIVERS\sr.sys ———————————————————————————————————————
零度的穷浪漫自信弱冠狮帖子:499 注册: 2009-06-25 来自:

零度的穷浪漫自信弱冠狮帖子:499 注册: 2009-06-25 来自:	发表于： 2009-07-31 17:12 \| 短消息资料字号：小中大 8楼回复：7月14日日志分析练习2 还有磁碟机没看出来呢，这问题可严重了，看来不能光注意没有公司签名的啊
零度的穷浪漫自信弱冠狮帖子:499 注册: 2009-06-25 来自:

<<上一主题|下一主题>>

1

1 / 1 页

跳转页

页面顶部

Powered by Discuz!NT