2010年2月4日[日志分析]-讲义 - 瑞星卡卡安全论坛bbs.ikaka.com

瑞星卡卡安全论坛综合娱乐区 活动专区 实习生专区 2010年2月4日[日志分析]-讲义

	瑞星“1+2”全新解决方案巡展在广州画上圆满句号		叶院长揭秘：瑞星如何运用AI技术革新网络安全		俄乌冲突加剧网络攻击风险白俄罗斯政府遭APT攻击		瑞星ESM防病毒系统助力矿业大学筑牢网络安全防线
	实力拉满瑞星第四十七次通过VB100测评		携手老友，拥抱新精彩 —— 新论坛新活动，感谢你的陪伴		护航司法，瑞星助力山西省高院构建安全防线		人工智能在网络安全领域的风险和机遇

5 / 6 页

跳转页

2010年2月4日[日志分析]-讲义

本主题由大版主 networkedition 于 2012-2-23 16:52:13 执行移动主题操作

WangAnwu 自信弱冠狮帖子:403 注册: 2010-01-17 来自:贵州贵阳	发表于： 2010-02-04 15:04 \| 短消息资料字号：小中大 41楼回复: 2010年2月4日[日志分析]-讲义讲义中提到不是靠AppInit_DLLs插入进程的都是病毒（例如：瑞星的ieprot.dll和kmon.dll），除了ieprot.dll和kmon.dll外，如何判断是不是病毒？我从电脑中扫描的日志看到AppInit_DLLs的值不为空，其中有一项为alinfo.dll，请问是病毒吗？引用: 以下内容为lqqk7回复：搜索该文件未能获得更多有用的信息，这时可以全盘搜索一下这个文件，通过路径判断是否是自己安装的第三方程序，如果通过路径仍无法判断，可以把文件样本上报到反病毒厂商进一步验证； lqqk7 最后编辑于 2010-02-07 19:57:49
WangAnwu 自信弱冠狮帖子:403 注册: 2010-01-17 来自:贵州贵阳

穷小子cd 初生襁褓狮帖子:76 注册: 2009-12-22 来自:成都	发表于： 2010-02-04 15:05 \| 短消息资料字号：小中大 42楼回复：2010年2月4日[日志分析]-讲义主要是想知道怎么确定winsock提供者中的内容是正常的? 引用: 以下内容为lqqk7回复：首先，如果winsock全部为系统默认状态，在日志中这一项只会显示一个N/A，如果显示了其他的内容就表示winsock不是系统默认值，这时需要根据具体的文件路径和名称去判断是否可疑； lqqk7 最后编辑于 2010-02-07 19:59:52
穷小子cd 初生襁褓狮帖子:76 注册: 2009-12-22 来自:成都

暗夜的雪飘泊而立狮帖子:638 注册: 2009-12-24 来自:娘胎	发表于： 2010-02-04 15:07 \| 短消息资料字号：小中大 43楼回复 32F suanxuejing 的帖子 1.在分析“服务”的时候提到，C:\WINDOWS\System32\svchost.exe是正常的系统文件，但是后面要加载执行的%SystemRoot%\System32\rpcadmin.dll就有问题了，那请问这后面如果有加载项是不是就一定有问题？日志分析里没有“一定”的说法。只是很可疑可以去百度一下rpcadmin.dll2.是不是有问题是不是只要有<N\A>的就一定有问题（都没有公司信息）？当然不是了！有一些比如银行服务或者有部分系统文件都没有公司信息，不能说没有公司信息就是有问题的，只是也许有问题。得多积累才能看出来 4.在文件关联部分出现的.txt中的error怎么解决呢？用SERng工具中就有文件关联的修复选项娱乐致死还是娱乐至死啊？
暗夜的雪飘泊而立狮帖子:638 注册: 2009-12-24 来自:娘胎

暗夜的雪飘泊而立狮帖子:638 注册: 2009-12-24 来自:娘胎	发表于： 2010-02-04 15:09 \| 短消息资料字号：小中大 44楼回复 42F 穷小子cd 的帖子 SERng工具中系统修复-->winsock提供者的列表中，如果是黑色字体显示的winsock提供者一般都有问题可以用SERng工具删除娱乐致死还是娱乐至死啊？
暗夜的雪飘泊而立狮帖子:638 注册: 2009-12-24 来自:娘胎

暗夜的雪飘泊而立狮帖子:638 注册: 2009-12-24 来自:娘胎	发表于： 2010-02-04 15:12 \| 短消息资料字号：小中大 45楼回复 41F WangAnwu 的帖子你是否使用了系统美化软件？如果使用了的话，也许是美化软件的.dll 除此之外，就非常可疑了！这样的话这个.dll可以被所有加载USER32.DLL的进程所加载，是很危险的娱乐致死还是娱乐至死啊？
暗夜的雪飘泊而立狮帖子:638 注册: 2009-12-24 来自:娘胎

暗夜的雪飘泊而立狮帖子:638 注册: 2009-12-24 来自:娘胎	发表于： 2010-02-04 15:14 \| 短消息资料字号：小中大 46楼回复 36F DragonKid 的帖子没有大问题的话，一般可以将其修复，影响不大。除非某种文件类型全部打不开，或者打开显示乱码，则需要考虑文件关联这一项有问题娱乐致死还是娱乐至死啊？
暗夜的雪飘泊而立狮帖子:638 注册: 2009-12-24 来自:娘胎

筠林碧湫健康舞勺狮帖子:288 注册: 2010-01-24 来自:北京	发表于： 2010-02-04 15:24 \| 短消息资料字号：小中大 47楼回复：2010年2月4日[日志分析]-讲义请问老师和同学们啊： 1 {22d6f312-b0f6-11d0-94ab-0080c74c7e95} 这样形式表示的是什么意思啊 2 <N/A><C:\Windows\system32\Rundll32.exe C:\Windows\system32\mscories.dll,Install> [(Verified)Microsoft Corporation] 前面是<N/A>而后面又有(Verified)Microsoft Corporation 不矛盾吗 3 在”服务“这项中，修开了开机启动项（像360工具中的提供那种）是否就是把它的启动类型给修改了 4 “浏览器加载项”中可疑项上面都没有加载项的名称只有classid 文件路径是否这样没有名称的都可以被怀疑一下？ 5 还是“浏览器加载项”中也没有加载项名称也没有文件路径只有注册表中的classid 这是什么意思啊？ 6 如果电脑中装了多个浏览器那该怎么显示呢？把所有的加载项都显示在一起吧？ 7 [FlashGetBHO] {b070d3e3-fec0-47d9-8e8a-99d4eeb3d3b0} 这是我的电脑中浏览器加载项中检查出的 [FlashGetBHO]出现了两次只不过后面{}中英文一个是大写一个是小写，后面的文件路径都一样。这是为什么呢？ 8 讲义中所说存在127.0.0.1 www.rising.com.cn 所以用户打不开是什么意思，为什么呢？关于HOSTS这块不是太明白，老师可以推荐点什么资料看看嘛？ 9 计划任务中已启用或是已禁用是从哪里修改的呢？
筠林碧湫健康舞勺狮帖子:288 注册: 2010-01-24 来自:北京

漂流使者初生襁褓狮帖子:50 注册: 2010-01-25 来自:	发表于： 2010-02-04 15:49 \| 短消息资料字号：小中大 48楼回复: 2010年2月4日[日志分析]-讲义提问 1.那个映像路径与路径有什么区别啊？ 2.我的隐藏进程中有一个 [2996] C:\WINDOWS\system32\wuauclt.exe 危险吗？ 3.在我的启动项目-注册表中瑞星的进程后有一个参数，是什么意思？[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run] <RavTray><"C:\Program Files\Rising\Rav\RsTray.exe" -system> [(Verified)Beijing Rising Information Technology Corporation Limited] 如果是别的程序后面带参数正常吗？ 4.我的服务项有很多这样的情况：[Human Interface Device Access / HidServ][Stopped/Disabled] <C:\WINDOWS\System32\svchost.exe -k netsvcs-->%SystemRoot%\System32\hidserv.dll><N/A> [ICBC Daemon Service / ICBC Daemon Service][Stopped/Auto Start] <C:\Program Files\ICBCEbankTools\ICBCAntiPhishing\IcbcDaemon.exe><N/A> [Workstation / lanmanworkstation][Running/Auto Start] <C:\WINDOWS\system32\svchost.exe -k netsvcs-->%SystemRoot%\System32\wkssvc.dll><Microsoft Corporation> [Windows Installer / MSIServer][Stopped/Manual Start] <C:\WINDOWS\system32\msiexec.exe /V><Microsoft Corporation> [Network Location Awareness (NLA) / Nla][Running/Manual Start] <C:\WINDOWS\system32\svchost.exe -k netsvcs-->%SystemRoot%\System32\mswsock.dll><Microsoft Corporation> [NVIDIA Display Driver Service / nvsvc][Running/Auto Start] 难道都有问题吗？
漂流使者初生襁褓狮帖子:50 注册: 2010-01-25 来自:

暗夜的雪飘泊而立狮帖子:638 注册: 2009-12-24 来自:娘胎	发表于： 2010-02-04 16:01 \| 短消息资料字号：小中大 49楼回复 48F 漂流使者的帖子：[Human Interface Device Access / HidServ][Stopped/Disabled] <C:\WINDOWS\System32\svchost.exe -k netsvcs-->%SystemRoot%\System32\hidserv.dll><N/A> 此项完全正常属于系统服务不过没签名有<Microsoft Corporation>标志，并且是Manual Start（手动开启）的项目一般问题不大，重要的是看那些可疑的Auto Start 个人经验娱乐致死还是娱乐至死啊？
暗夜的雪飘泊而立狮帖子:638 注册: 2009-12-24 来自:娘胎

wanghy11111 飘泊而立狮帖子:988 注册: 2008-09-02 来自:	发表于： 2010-02-04 16:10 \| 短消息资料字号：小中大 50楼回复：2010年2月4日[日志分析]-讲义 hosts文件里有： 127.0.0.1 localhost ::1 localhost 最后这一行是什么意思是？ ========================================== 以上内容属个人见解,不代表卡卡论坛观点
wanghy11111 飘泊而立狮帖子:988 注册: 2008-09-02 来自:

<<上一主题|下一主题>>

5 / 6 页

跳转页

页面顶部

Powered by Discuz!NT