2010年2月4日[日志分析]-讲义 - 瑞星卡卡安全论坛bbs.ikaka.com

瑞星卡卡安全论坛综合娱乐区 活动专区 实习生专区 2010年2月4日[日志分析]-讲义

	瑞星“1+2”全新解决方案巡展在广州画上圆满句号		叶院长揭秘：瑞星如何运用AI技术革新网络安全		俄乌冲突加剧网络攻击风险白俄罗斯政府遭APT攻击		瑞星ESM防病毒系统助力矿业大学筑牢网络安全防线
	实力拉满瑞星第四十七次通过VB100测评		携手老友，拥抱新精彩 —— 新论坛新活动，感谢你的陪伴		护航司法，瑞星助力山西省高院构建安全防线		人工智能在网络安全领域的风险和机遇

4 / 6 页

跳转页

2010年2月4日[日志分析]-讲义

本主题由大版主 networkedition 于 2012-2-23 16:52:13 执行移动主题操作

随缘92WJC 横据古稀狮帖子:12667 注册: 2009-01-13 来自:	发表于： 2010-02-04 14:03 \| 短消息资料字号：小中大 31楼回复: 2010年2月4日[日志分析]-讲义提问： PS：日志截图是http://bbs.ikaka.com/showtopic-8692839.aspx内的日志 1、WINSOCK有些是正常的，例如讲义中提到的NOD32，那如何判断WINSOCK是否正常？ 2、API HOOK很常见，如何判断是正常的HOOK还是病毒利用HOOK技术隐藏自己？例如 API HOOK 入口点错误：FindFirstFileW (危险等级: 高, 被下面模块所HOOK: 0xBA8F1FB8) 这项是正常的还是被病毒利用了？ 3、日志显示注册表启动项，每项前面都带有分号，不知是否有问题，启动项虽为正常，但是正常情况下扫描系统并无分号（如图，有问题的日志，截图启动项均为正常） QQ截图未命名.jpg (84.38 K) 2010-2-4 14:02:38 4、SRENG将所有服务项与驱动项都扫描出来了，并且均加载执行DLL，这种现象一般如何处理？ QQ截图未命名0.jpg (146.64 K) 2010-2-4 14:02:38 引用: 以下内容为lqqk7回复： 1、根据路径判断，积累经验，类似的“如何判断xx是否正常”或“如果判断xx是病毒”这样的问题后面也不再解答了，因为分析日志大部分情况下不靠什么方法，而是经验，基于对系统和常用软件的熟悉，才能保证较高的判断准确率，但是仅仅分析日志永远不可能100%判断某个程序的安全性，因为通过日志我们看不到这个程序执行后到底做了什么。 2、大部分情况下显示的结果就像这个例子，只显示了模块地址，这种情况很难通过这一项去判断是否正常，甚至这个模块到底是什么都不知道，所以不能单凭API HOOK这一项检测就认定问题，需要综合进程、服务、驱动等多种情况综合考虑。另外会有少数情况遇到API HOOK直接检测出模块名称，这种情况下判断起来就相对容易些； 3、前面带分号的启动项是在SREng的启动项目中将前面的复选框取消勾选的； 4、确实遇到过这种情况，具体原因不明，即使列出再多的服务项，也还是要一项一项的分析，呵呵，没什么取巧的方法，只是注意保护自己的视力~ lqqk7 最后编辑于 2010-02-04 16:17:18
随缘92WJC 横据古稀狮帖子:12667 注册: 2009-01-13 来自:

suanxuejing 拙长孩提狮帖子:135 注册: 2009-12-26 来自:	发表于： 2010-02-04 14:13 \| 短消息资料字号：小中大 32楼回复：2010年2月4日[日志分析]-讲义问题： 1.在分析“服务”的时候提到，C:\WINDOWS\System32\svchost.exe是正常的系统文件，但是后面要加载执行的%SystemRoot%\System32\rpcadmin.dll就有问题了，那请问这后面如果有加载项是不是就一定有问题？ 2.是不是只要有<N\A>的就一定有问题（都没有公司信息）？ 3.IE—BHO是什么东西啊？在浏览器加载项中提到的Axtivex控件、IE工具栏等在哪个地方？是怎么看出来的，我找了半天也没有看到。 4.在文件关联部分出现的.txt中的error怎么解决呢？期待老师解答哦！谢谢引用: 以下内容为lqqk7回复： 1、不一定，要具体看是什么，很多系统服务也是靠svchost.exe执行的； 2、不一定，上面的回复中已经说过了~ 3、bho即浏览器扶助对象，属于加载项； 4、因为在c:\windows下和c:\windows\system32下都有notepad.exe，只有路径是任意一个都可以，不用在意error lqqk7 最后编辑于 2010-02-07 19:36:38
suanxuejing 拙长孩提狮帖子:135 注册: 2009-12-26 来自:

hqvip 自信弱冠狮帖子:389 注册: 2009-09-17 来自:仙源	发表于： 2010-02-04 14:35 \| 短消息资料字号：小中大 33楼回复：2010年2月4日[日志分析]-讲义问题：看到一篇文章说：系统内很多Explorer启动的子进程都被重定向到C:\Windows\explorer.exe，这可能是什么原因引起的？有什么后果吗？多谢老师回答引用: 以下内容为lqqk7回复： 1、我理解的这里说的重定向应该就是IFEO映像劫持，将自动向的目标文件劫持到C:\Windows\explorer.exe lqqk7 最后编辑于 2010-02-07 19:37:21
hqvip 自信弱冠狮帖子:389 注册: 2009-09-17 来自:仙源

DragonKid 自信弱冠狮帖子:496 注册: 2009-12-31 来自:	发表于： 2010-02-04 14:36 \| 短消息资料字号：小中大 34楼回复：2010年2月4日[日志分析]-讲义老师：如果已经发现进程下某个模块可疑，怎样进一步确定该模块是不是病毒或恶意程序加载的呢？？引用: 以下内容为lqqk7回复：主要是根据经验判断，也可以通过百度或google搜索，看看该文件的口碑。经验还是最重要的！ lqqk7 最后编辑于 2010-02-07 19:41:13
DragonKid 自信弱冠狮帖子:496 注册: 2009-12-31 来自:

剥离初生襁褓狮帖子:87 注册: 2010-01-24 来自:	发表于： 2010-02-04 14:37 \| 短消息资料字号：小中大 35楼回复：2010年2月4日[日志分析]-讲义我的SRE在智能扫描后，我点击保存报告就没有反应了，这个是怎么回事啊 2.jpg (52.03 K) 2010-2-4 15:59:46 引用: 以下内容为lqqk7回复：不太清楚，可以联系sreng的作者询问一下，http://hi.baidu.com/smallfrogs lqqk7 最后编辑于 2010-02-07 20:00:43
剥离初生襁褓狮帖子:87 注册: 2010-01-24 来自:

DragonKid 自信弱冠狮帖子:496 注册: 2009-12-31 来自:	发表于： 2010-02-04 14:43 \| 短消息资料字号：小中大 36楼回复：2010年2月4日[日志分析]-讲义老师：文件关联里怎么才能知道哪些不正常的关联式病毒引起的哪些是由其他软件引起的呢？？引用: 以下内容为lqqk7回复：要看关联的程序是什么，一般不会有程序去改可执行文件的关联，发现可执行文件关联发生改变需要特别注意下；其他的诸如txt、html、各种图片文件的关联可能会被第三方软件修改，比如第三方的文本编辑器或者图像查看器； lqqk7 最后编辑于 2010-02-07 20:00:51
DragonKid 自信弱冠狮帖子:496 注册: 2009-12-31 来自:

暗夜的雪飘泊而立狮帖子:638 注册: 2009-12-24 来自:娘胎	发表于： 2010-02-04 14:54 \| 短消息资料字号：小中大 37楼回复 22F At1n9 的帖子 LSP：浏览器劫持发篇日志上来在反病毒/反流氓软件版区发帖求助娱乐致死还是娱乐至死啊？
暗夜的雪飘泊而立狮帖子:638 注册: 2009-12-24 来自:娘胎

穷小子cd 初生襁褓狮帖子:76 注册: 2009-12-22 来自:成都	发表于： 2010-02-04 14:57 \| 短消息资料字号：小中大 38楼回复 32F suanxuejing 的帖子 1.不一定，也要看加载的什么dll吧 2.不一定呀，有些自己安装的软件可能也是</N> 4.是正常的
穷小子cd 初生襁褓狮帖子:76 注册: 2009-12-22 来自:成都

暗夜的雪飘泊而立狮帖子:638 注册: 2009-12-24 来自:娘胎	发表于： 2010-02-04 14:58 \| 短消息资料字号：小中大 39楼回复 23F Luke8 的帖子 HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run]<svchost><C:\windows\system32\drivers\svchost.exe> [Microsoft Corporation] 这个有问题，正常的SVCHOST.exe是在如下文件夹位置C:\windows\system32\svhcost.exe，况且drivers文件夹中只可能有.sys驱动文件，有极少的.dll文件，不可能出现可执行文件。一定有问题 [HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run]<svhcost><C:\windows\system32\svhcost.exe> [Microsoft Corporation] 此项正常 svchost / svchost][Stopped/Auto Start] <C:\WINDOWS\system32\dllcache\svchost.exe -g><Microsoft Corporation> 这个也许是假冒系统程序的引用: 以下内容为lqqk7回复：补充第二条，[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run]<svhcost><C:\windows\system32\svhcost.exe> [Microsoft Corporation] 看上去正常，但是不合常理，原因前面回复中提过 lqqk7 最后编辑于 2010-02-07 19:55:39 娱乐致死还是娱乐至死啊？
暗夜的雪飘泊而立狮帖子:638 注册: 2009-12-24 来自:娘胎

暗夜的雪飘泊而立狮帖子:638 注册: 2009-12-24 来自:娘胎	发表于： 2010-02-04 15:00 \| 短消息资料字号：小中大 40楼回复 25F 穷小子cd 的帖子你用的虚拟机吧？娱乐致死还是娱乐至死啊？
暗夜的雪飘泊而立狮帖子:638 注册: 2009-12-24 来自:娘胎

<<上一主题|下一主题>>

4 / 6 页

跳转页

页面顶部

Powered by Discuz!NT