123456   2  /  6  页   跳转

2010年2月4日[日志分析]-讲义

收藏
本主题由 大版主 networkedition 于 2012-2-23 16:52:13 执行 移动主题 操作
穷小子cd
头像
初生襁褓狮
  • 帖子:76
  • 注册: 2009-12-22
  • 来自:成都
发表于: 2010-02-04 11:39 | 短消息 资料
字号: 11楼

回复 8F greenwheat 的帖子

1.文件不存在
5.也不一定哈
gototop
 
DragonKid
头像
自信弱冠狮
  • 帖子:496
  • 注册: 2009-12-31
  • 来自:
论坛9周年纪念
发表于: 2010-02-04 11:45 | 短消息 资料
字号: 12楼

回复:2010年2月4日[日志分析]-讲义

老师:
http://bbs.ikaka.com/showtopic-8640641.aspx#9782221
为什么说在这里的加载执行的%systemroot%\system32\rpcadmin.dll就有问题了??



引用:

以下内容为lqqk7回复:
主要判断依据如下:
1、rpcadmin.dll本身不是系统文件,但不排除是第三方应用程序的文件;
2、Remot Procedure Call(RPC) Administrative Service这个服务不是系统服务,但服务名称却模仿了系统正常的RPC服务名称,不像是正常软件所谓,有试图通过与正常服务相似的名称蒙蔽用户的嫌疑;
3、通过google搜索rpcadmin.dll看看结果

综合以上几点认为这个文件很有问题;
最后编辑lqqk7 最后编辑于 2010-02-04 15:03:51
gototop
 
微米天空
头像
快乐黄口狮
  • 帖子:209
  • 注册: 2008-03-15
  • 来自:地球
论坛9周年纪念
发表于: 2010-02-04 11:57 | 短消息 资料
字号: 13楼

回复: 2010年2月4日[日志分析]-讲义

日志分析是不是凭着对系统进程及注册表项的熟悉,判断可疑项目?细心和经验应该和重要吧?



引用:

以下内容为lqqk7回复:
说的太对了!
最后编辑lqqk7 最后编辑于 2010-02-04 15:05:27
gototop
 
战雨晨
头像
初生襁褓狮
  • 帖子:46
  • 注册: 2010-01-17
  • 来自:
发表于: 2010-02-04 12:13 | 短消息 资料
字号: 14楼

回复:2010年2月4日[日志分析]-讲义

请教一下老师:
正在运行的进程部分,有的程序PID后面标注了“strike”,请问这是什么意思?是不是这样的文件都是有问题的?

谢谢老师~
gototop
 
梅罗
头像
自信弱冠狮
  • 帖子:430
  • 注册: 2010-01-18
  • 来自:永烁星光之地
论坛9周年纪念
发表于: 2010-02-04 12:19 | 短消息 资料
字号: 15楼

回复 12F DragonKid 的帖子

因为他是通过svchost这个正常进程加载的,而且文件名比较可疑~
天地间那一抹不灭的流光 即我
gototop
 
DragonKid
头像
自信弱冠狮
  • 帖子:496
  • 注册: 2009-12-31
  • 来自:
论坛9周年纪念
发表于: 2010-02-04 12:29 | 短消息 资料
字号: 16楼

回复 15F 梅罗 的帖子

那他下面那条不也是通过svchost加载的吗,为什么就这个有问题呢??
还有为什么说rpcadmin.dll这个文件名可以呢??
O(∩_∩)O谢谢
gototop
 
DragonKid
头像
自信弱冠狮
  • 帖子:496
  • 注册: 2009-12-31
  • 来自:
论坛9周年纪念
发表于: 2010-02-04 12:33 | 短消息 资料
字号: 17楼

回复:2010年2月4日[日志分析]-讲义

老师:
是不是驱动程序中有完整公司信息和版本信息的都可以视为安全
而缺少版本信息和公司信息的都有可能是由病毒或恶意软件引起的呢??



引用:

以下内容为lqqk7回复:
不一定,没有厂商信息、版本信息的不一定就是病毒,正常的文件多得不计其数,很多都没有保留这些信息;而病毒伪造一个版本信息是很容易的;
最后编辑lqqk7 最后编辑于 2010-02-04 15:09:39
gototop
 
ty88
头像
卡卡反病毒小组
  • 帖子:979
  • 注册: 2007-07-12
  • 来自:
论坛8周年活动礼物论坛9周年纪念瑞星金牌用户
发表于: 2010-02-04 12:39 | 短消息 资料
字号: 18楼

回复 3F 小傻大呆 的帖子
gototop
 
ty88
头像
卡卡反病毒小组
  • 帖子:979
  • 注册: 2007-07-12
  • 来自:
论坛8周年活动礼物论坛9周年纪念瑞星金牌用户
发表于: 2010-02-04 12:48 | 短消息 资料
字号: 19楼

回复 8F greenwheat 的帖子

1文件没找到
2HOOK 函数GetCurrentThread
3一般比较可疑
4程序启动的一个参数不用理他
5同时启动2个程序,前后并列启动
6一般安全,部分文件特殊处理后可以通过这一项但是现在应用较少
7多种途径结合,这个没法教
8同上
gototop
 
ty88
头像
卡卡反病毒小组
  • 帖子:979
  • 注册: 2007-07-12
  • 来自:
论坛8周年活动礼物论坛9周年纪念瑞星金牌用户
发表于: 2010-02-04 12:49 | 短消息 资料
字号: 20楼

回复 9F Iris1011 的帖子

那表示不存在AUTORUN.INF和隐藏进程
gototop
 
<<上一主题|下一主题>>
123456   2  /  6  页   跳转
页面顶部
Powered by Discuz!NT