123456   1  /  6  页   跳转

2010年2月4日[日志分析]-讲义

2010年2月4日[日志分析]-讲义



讲师:lqqk7

本次课程答疑时间:2010年2月4日(周四)14:00-16:00

提问方式:回复本帖提问(即跟帖),不要通过QQ群提问!

日志分析讲义:http://bbs.ikaka.com/showtopic-8640641.aspx
最后编辑狮子座小皮 最后编辑于 2010-02-04 09:28:02
分享到:
gototop
 

回复:2010年2月4日[日志分析]-讲义

沙发占楼
1.老师关于IFEO的问题
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\taskmgr.exe]
"Debugger"="C:\\123.exe"
一开始是不让建键值 结果关掉防火墙和禁用瑞星杀毒软件可以建立键值 但是不能建立debugger为名称的键值 建立别的名称达不到
IFEO效果啊
2.
[] {e2e2dd38-d088-4134-82b7-f2ba38496583} <%windir%\Network Diagnostic\xpnetdiag.exe, (Signed) N/A>
请问老师讲义里面说【】一般都有问题 那我电脑里这个有问题么



引用:

以下内容为lqqk7回复:
1、你是不是还装了其他安全软件?貌似360也会拦截创建debugger键值;
2、这项是正常的。


是啊老师 但是我把360关掉了啊
最后编辑完颜无泪 最后编辑于 2010-02-04 14:31:55
gototop
 

回复:2010年2月4日[日志分析]-讲义

问题:


今天讲义里面第9项里"正在运行的进程"部分  下面说到红色部分是进程的PID和用户名,根据用户名可得知该进程继承的权限,  这个进程继承权限是指什么? 这个权限有级别的区分吗?



引用:

以下内容为lqqk7回复:
windows系统中常见的用户组,按权限级别高到底排序:SYSTEM>Administrators>Power Users>Users>Gusets
知道用户隶属于哪个组就可以知道这个用户所拥有的权限
最后编辑lqqk7 最后编辑于 2010-02-04 14:11:21
gototop
 

回复:2010年2月4日[日志分析]-讲义

地板占座
gototop
 

回复:2010年2月4日[日志分析]-讲义

下载学习~~
gototop
 

回复:2010年2月4日[日志分析]-讲义

[]
  {E2883E8F-472F-4fb0-9522-AC9BF37916A7} <, >

老师如果(浏览器加载项)中有上面的内容怎么看,以前没学过,相关能容。
为什么只有注册地址:
[]
  {95B3F550-91C4-4627-BCC4-521288C52977} <, >
[卡卡上网安全助手]
  {98B7C13A-E9CD-4959-8B46-FBEAB41E42A8} <C:\Windows\system32\UrlFilter.dll, (Signed) Beijing Rising Information Technology Co., Ltd.>
[Rising Online Antivirus scanner control]
  {9FAFB576-6933-4CCC-AB3D-B988EC43D04E} <%ProgramFiles%\Rising\RavOL\RavOLCtl.dll, (Signed) N/A>
[]
  {A7F05EE4-0426-454F-8013-C41E3596E9E9} <, >
[]
  {AB89DD48-0830-4E5F-84D8-26FD53117778} <, >
[]
  {B2170871-063C-45F6-8F53-AFB1DE8450A4} <, >
[]
  {B580CF65-E151-49C3-B73F-70B13FCA8E86} <, >



引用:

以下内容为lqqk7回复:
这种情况就是在注册表CLSID下只有一个子项,没有名称、路径等其他信息
最后编辑lqqk7 最后编辑于 2010-02-04 14:31:05
gototop
 

回复:2010年2月4日[日志分析]-讲义

来咯
gototop
 

回复:2010年2月4日[日志分析]-讲义

首页占位....请问老师(问的问题可能白痴点,第一次看日志分析......):

1.结尾标示[File is missing]是什么意思?

2.这是什么意思?google过,没找到.

  入口点错误:GetCurrentThread (危险等级: 高,  被下面模块所HOOK: 0x03EE776D)

3.我看那个日志分析练习时,IFEO劫持项是否都是可疑的?

4.<; "D:\Unlocker\UnlockerAssistant.exe" -H> 里的-H是什么意思?

5.<C:\WINDOWS\System32\userinit.exe,,"D:\HFEE\SVOHOST.EXE" un userinit.exe> 中的两个路径分别是什么意思?

6.标注[(Verified)Microsoft Windows Component Publisher]之类的是否一定安全?

7.如果发现了可疑项,有没有有效的途径来确认它是否病毒?如果用谷歌或百度,搜出来的有说是这样或是那样,也没个确定的.

8.要是确认了某一可疑项是病毒的话,要如何才能把病毒删彻底?




引用:

以下内容为lqqk7回复:
1、[File is missing]表示目标文件已不存在;
2、这里指的是GetCurrentThread函数被HOOK;应用程序为了实现某些功能,经常会用到系统API函数;API HOOK就是拦截对某个API的调用,通过改变函数原有入口地址,可以简单理解为改变了其原有功能;具体的信息可以“API HOOK”作为关键词搜索;
3、不一定,具体要看被劫持的程序是什么,有些安全软件也会利用IFEO去劫持一些常见病毒的文件名,达到免疫的目的;
4、-H是这个程序的运行参数,具体作用不能确定,是他的开发人员自行设定的,但是通过字面理解,H极有可能是Hide的缩写,即隐藏,使用该参数运行程序可能是为了实现隐藏界面的功能;
5、两个路径就是这两个文件所在的文件夹;
6、多数情况下是可信任程序,但没有绝对,只用作辅助判断,还是要综合路径、文件名等其他信息综合判断;
7、除了搜索以外更重要的是积累更多的经验,除此之外没有更好的方法,因为日志提供给我们的信息很有限,我们永远无法通过日志了解到某个程序运行之后具体做了什么;
8、最常用的方法就是利用工具手工删除文件,这类工具很多,后面介绍;
最后编辑lqqk7 最后编辑于 2010-02-04 14:54:44
gototop
 

回复:2010年2月4日[日志分析]-讲义

想问问老师,我的电脑的日志里面,AUTORUN.inf 和进程特权扫描那一栏打开以后只有一个N/A,这是为什么啊?



引用:

以下内容为lqqk7回复:
这表示在此项检测中没有发现异常
最后编辑lqqk7 最后编辑于 2010-02-04 14:55:47
gototop
 

回复:2010年2月4日[日志分析]-讲义

万众期待啊,日志分析来了
感染不是你的错
不能修复就是你的不对了
遇到问题请附截图和sreng日志
gototop
 
123456   1  /  6  页   跳转
页面顶部
Powered by Discuz!NT