2010年2月4日[日志分析]-讲义 - 瑞星卡卡安全论坛bbs.ikaka.com

瑞星卡卡安全论坛综合娱乐区 活动专区 实习生专区 2010年2月4日[日志分析]-讲义

	瑞星“1+2”全新解决方案巡展在广州画上圆满句号		叶院长揭秘：瑞星如何运用AI技术革新网络安全		俄乌冲突加剧网络攻击风险白俄罗斯政府遭APT攻击		瑞星ESM防病毒系统助力矿业大学筑牢网络安全防线
	实力拉满瑞星第四十五次通过VB100测评		携手老友，拥抱新精彩 —— 新论坛新活动，感谢你的陪伴		护航司法，瑞星助力山西省高院构建安全防线		人工智能在网络安全领域的风险和机遇

12 3 4 5 6

1 / 6 页

跳转页

2010年2月4日[日志分析]-讲义

本主题由大版主 networkedition 于 2012-2-23 16:52:13 执行移动主题操作

狮子座小皮社区嘉宾帖子:5119 注册: 2009-08-03 来自:	发表于： 2010-02-04 09:27 \| 只看楼主短消息资料字号：小中大 1楼 2010年2月4日[日志分析]-讲义讲师：lqqk7 本次课程答疑时间：2010年2月4日（周四）14:00-16:00 提问方式：回复本帖提问（即跟帖），不要通过QQ群提问！日志分析讲义:http://bbs.ikaka.com/showtopic-8640641.aspx 狮子座小皮最后编辑于 2010-02-04 09:28:02
狮子座小皮社区嘉宾帖子:5119 注册: 2009-08-03 来自:	分享到：

完颜无泪快乐黄口狮帖子:195 注册: 2010-01-02 来自:	发表于： 2010-02-04 09:34 \| 短消息资料字号：小中大 2楼回复：2010年2月4日[日志分析]-讲义沙发占楼 1.老师关于IFEO的问题 [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\taskmgr.exe] "Debugger"="C:\\123.exe" 一开始是不让建键值结果关掉防火墙和禁用瑞星杀毒软件可以建立键值但是不能建立debugger为名称的键值建立别的名称达不到 IFEO效果啊 2. [] {e2e2dd38-d088-4134-82b7-f2ba38496583} <%windir%\Network Diagnostic\xpnetdiag.exe, (Signed) N/A> 请问老师讲义里面说【】一般都有问题那我电脑里这个有问题么引用: 以下内容为lqqk7回复： 1、你是不是还装了其他安全软件？貌似360也会拦截创建debugger键值； 2、这项是正常的。是啊老师但是我把360关掉了啊完颜无泪最后编辑于 2010-02-04 14:31:55
完颜无泪快乐黄口狮帖子:195 注册: 2010-01-02 来自:

小傻大呆飘泊而立狮帖子:545 注册: 2010-01-11 来自:	发表于： 2010-02-04 09:47 \| 短消息资料字号：小中大 3楼回复：2010年2月4日[日志分析]-讲义问题: 今天讲义里面第9项里"正在运行的进程"部分下面说到红色部分是进程的PID和用户名,根据用户名可得知该进程继承的权限, 这个进程继承权限是指什么? 这个权限有级别的区分吗? 引用: 以下内容为lqqk7回复： windows系统中常见的用户组，按权限级别高到底排序：SYSTEM>Administrators>Power Users>Users>Gusets 知道用户隶属于哪个组就可以知道这个用户所拥有的权限 lqqk7 最后编辑于 2010-02-04 14:11:21
小傻大呆飘泊而立狮帖子:545 注册: 2010-01-11 来自:

eatingdog 初生襁褓狮帖子:23 注册: 2010-01-25 来自:	发表于： 2010-02-04 09:51 \| 短消息资料字号：小中大 4楼回复：2010年2月4日[日志分析]-讲义地板占座
eatingdog 初生襁褓狮帖子:23 注册: 2010-01-25 来自:

by02304501 健康舞勺狮帖子:253 注册: 2009-12-19 来自:	发表于： 2010-02-04 09:57 \| 短消息资料字号：小中大 5楼回复：2010年2月4日[日志分析]-讲义下载学习~~
by02304501 健康舞勺狮帖子:253 注册: 2009-12-19 来自:

zhaopeng19891114 拙长孩提狮帖子:127 注册: 2010-01-06 来自:	发表于： 2010-02-04 10:37 \| 短消息资料字号：小中大 6楼回复：2010年2月4日[日志分析]-讲义 [] {E2883E8F-472F-4fb0-9522-AC9BF37916A7} <, > 老师如果（浏览器加载项）中有上面的内容怎么看，以前没学过，相关能容。为什么只有注册地址： [] {95B3F550-91C4-4627-BCC4-521288C52977} <, > [卡卡上网安全助手] {98B7C13A-E9CD-4959-8B46-FBEAB41E42A8} <C:\Windows\system32\UrlFilter.dll, (Signed) Beijing Rising Information Technology Co., Ltd.> [Rising Online Antivirus scanner control] {9FAFB576-6933-4CCC-AB3D-B988EC43D04E} <%ProgramFiles%\Rising\RavOL\RavOLCtl.dll, (Signed) N/A> [] {A7F05EE4-0426-454F-8013-C41E3596E9E9} <, > [] {AB89DD48-0830-4E5F-84D8-26FD53117778} <, > [] {B2170871-063C-45F6-8F53-AFB1DE8450A4} <, > [] {B580CF65-E151-49C3-B73F-70B13FCA8E86} <, > 引用: 以下内容为lqqk7回复：这种情况就是在注册表CLSID下只有一个子项，没有名称、路径等其他信息 lqqk7 最后编辑于 2010-02-04 14:31:05
zhaopeng19891114 拙长孩提狮帖子:127 注册: 2010-01-06 来自:

曾小崔初生襁褓狮帖子:68 注册: 2010-01-24 来自:	发表于： 2010-02-04 10:42 \| 短消息资料字号：小中大 7楼回复：2010年2月4日[日志分析]-讲义来咯
曾小崔初生襁褓狮帖子:68 注册: 2010-01-24 来自:

greenwheat 初生襁褓狮帖子:18 注册: 2010-01-15 来自:	发表于： 2010-02-04 11:03 \| 短消息资料字号：小中大 8楼回复：2010年2月4日[日志分析]-讲义首页占位....请问老师(问的问题可能白痴点,第一次看日志分析......): 1.结尾标示[File is missing]是什么意思? 2.这是什么意思?google过,没找到. 入口点错误：GetCurrentThread (危险等级: 高, 被下面模块所HOOK: 0x03EE776D) 3.我看那个日志分析练习时,IFEO劫持项是否都是可疑的? 4.<; "D:\Unlocker\UnlockerAssistant.exe" -H> 里的-H是什么意思? 5.<C:\WINDOWS\System32\userinit.exe,,"D:\HFEE\SVOHOST.EXE" un userinit.exe> 中的两个路径分别是什么意思? 6.标注[(Verified)Microsoft Windows Component Publisher]之类的是否一定安全? 7.如果发现了可疑项,有没有有效的途径来确认它是否病毒?如果用谷歌或百度,搜出来的有说是这样或是那样,也没个确定的. 8.要是确认了某一可疑项是病毒的话,要如何才能把病毒删彻底? 引用: 以下内容为lqqk7回复： 1、[File is missing]表示目标文件已不存在； 2、这里指的是GetCurrentThread函数被HOOK；应用程序为了实现某些功能，经常会用到系统API函数；API HOOK就是拦截对某个API的调用，通过改变函数原有入口地址，可以简单理解为改变了其原有功能；具体的信息可以“API HOOK”作为关键词搜索； 3、不一定，具体要看被劫持的程序是什么，有些安全软件也会利用IFEO去劫持一些常见病毒的文件名，达到免疫的目的； 4、-H是这个程序的运行参数，具体作用不能确定，是他的开发人员自行设定的，但是通过字面理解，H极有可能是Hide的缩写，即隐藏，使用该参数运行程序可能是为了实现隐藏界面的功能； 5、两个路径就是这两个文件所在的文件夹； 6、多数情况下是可信任程序，但没有绝对，只用作辅助判断，还是要综合路径、文件名等其他信息综合判断； 7、除了搜索以外更重要的是积累更多的经验，除此之外没有更好的方法，因为日志提供给我们的信息很有限，我们永远无法通过日志了解到某个程序运行之后具体做了什么； 8、最常用的方法就是利用工具手工删除文件，这类工具很多，后面介绍； lqqk7 最后编辑于 2010-02-04 14:54:44
greenwheat 初生襁褓狮帖子:18 注册: 2010-01-15 来自:

Iris1011 自信弱冠狮帖子:440 注册: 2010-01-11 来自:	发表于： 2010-02-04 11:24 \| 短消息资料字号：小中大 9楼回复：2010年2月4日[日志分析]-讲义想问问老师，我的电脑的日志里面，AUTORUN.inf 和进程特权扫描那一栏打开以后只有一个N/A，这是为什么啊？引用: 以下内容为lqqk7回复：这表示在此项检测中没有发现异常 lqqk7 最后编辑于 2010-02-04 14:55:47
Iris1011 自信弱冠狮帖子:440 注册: 2010-01-11 来自:

念初强壮不惑狮帖子:1021 注册: 2005-07-03 来自:病毒大染缸	发表于： 2010-02-04 11:32 \| 短消息资料字号：小中大 10楼回复：2010年2月4日[日志分析]-讲义万众期待啊，日志分析来了感染不是你的错不能修复就是你的不对了遇到问题请附截图和sreng日志
念初强壮不惑狮帖子:1021 注册: 2005-07-03 来自:病毒大染缸

<<上一主题|下一主题>>

12 3 4 5 6

1 / 6 页

跳转页

页面顶部

Powered by Discuz!NT