回复:2010年2月4日[日志分析]-讲义
问题。
1.userinit.dll逗号如果后面跟着别的文件。应当怎么处理?
2.服务项如果运行,而且服务名称、公司名称很奇怪,在启动项内能找到他,有没有可能是病毒?
3..预览加载项,如果发现可疑项,直接用SRE删除即可?
曾看过一个拓展的帖子,说那些空白的项,大部分是杀毒软件阻止一些流氓软件导致的,那有没有必要用SRE删除他?
4如果出现ifeo。是不是可以用sre处理?
5.autorun.inf的问题。以教材中的图为例。是不是要把每个盘符的abc.exe删除。再去注册表找对应的键值进行删除就可以了?
6..hpi hook这个章节说到:一些病毒文件会利用此技术来隐藏自己,那病毒利用这个技术隐藏自己,会有什么特征?
7.[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run]<svchost><C:\windows\system32\drivers\svchost.exe> [Microsoft Corporation]
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run]<svhcost><C:\windows\system32\svhcost.exe> [Microsoft Corporation]
这2个哪个有问题?还是说2个都有问题?
8.[svchost / svchost][Stopped/Auto Start]
<C:\WINDOWS\system32\dllcache\svchost.exe -g><Microsoft Corporation>
如果在日志里看到这个,是不是说明备份文件被替换了?
以下内容为lqqk7回复:
1、编辑userinit注册表键值,将逗号后面的内容删除,保留c:\windows\system32\unerinit.exe,即可;
2、只能说有可能,最好通过路径、文件名综合判断;
3、可以用sreng直接删除,空白加载项可以不删;
4、可以,但是如果劫持项很多的话,用sreng逐一删除很不方便,可以用其他支持批量删除的工具;
5、autorun.inf是一个存在于磁盘根目录下的文件,并非注册表键值,所以只要删除abc.exe和autorun.inf文件即可;
6、不一定,日志中能体现出的特征很有限,比如隐藏进程、发现函数入口点错误等,最好能够借助其他工具如冰刃、wsyscheck等去进一步检查;
7、都有问题,第一个首先路径很可疑,drivers下一版不会有exe文件,且该文件名伪装为系统正常文件名;第二个准确的说是不合常理,虽然看路径和文件名都没问题,但是常规情况下svchost.exe不可能出现前面的那个注册表启动项中,即使是正常的svchost.exe,单独运行它也没什么意义;
8、被替换的可能性较大,dllcache里的程序正常情况下不会去运行,更不会注册为系统服务去运行;
