1234567   1  /  7  页   跳转

2010年7月12日:日志分析1 -讲义

2010年7月12日:日志分析1 -讲义

讲师:lqqk7

讲义地址:http://bbs.ikaka.com/showtopic-8640641.aspx

本次课程答疑时间:2010年7月12日 14:00-16:00

答疑形式:实习生看过讲义后即可发表问题咨询,讲师在答疑时间内会将答复直接回复在提问者的问题所在楼层内.

提问方式:回复本帖提问(即跟帖),不要通过QQ群提问!
分享到:
gototop
 

回复:2010年7月12日:日志分析1 -讲义

第一个  好好先复习一下!!
I WILL NEVER GIVE UP!
AND WORKHARD EVERYDAY!!
gototop
 

回复:2010年7月12日:日志分析1 -讲义

一定要好好学这章,觉得很有用!!

老师请问一下!
在预习的过程中发现有问题的部分都有一些共性,在【浏览器加载项】这一部分,是否插件的路径在
c:\windows\system32\……都是有问题的呢?

===================以下内容为lqqk7回复==================
不一定,综合多种情况判断,首先需要对系统和常用软件的文件足够熟悉,通过完整路径和文件名看是否输入系统文件或正常软件;另外要看他是否通过签名验证;对于拿不准的文件,百度、google搜一下看看别人的结论也是很有参考价值的;经验就是这样一点一点积累的!
最后编辑lqqk7 最后编辑于 2010-07-12 13:42:36
I WILL NEVER GIVE UP!
AND WORKHARD EVERYDAY!!
gototop
 

回复:2010年7月12日:日志分析1 -讲义

这个^-……叫 预习 把?
一闪一闪亮晶晶,漫天都是小星星
gototop
 

回复:2010年7月12日:日志分析1 -讲义

这么快就出来啦
gototop
 

回复:2010年7月12日:日志分析1 -讲义

这么快就开始啦 学习~一下是学习心得和小问题
1启动注册表:找到了瑞星 [(Verified)Qizhi Software (beijing) Co. Ltd]
    <RisTray><"E:\rising\Rising\Ris\RsTray.exe" -system>  [(Verified)Beijing Rising Information Technology Corporation Limited]
正确的internet:<shell><Explorer.exe>  [(Verified)Microsoft Windows Component Publisher]
这样子的<Themes Setup><%SystemRoot%\system32\regsvr32.exe /s /n /i:/UserInstall %SystemRoot%\system32\themeui.dll>  [File is missing]他说明missing有问题么?是有病毒的么?
2服务:我的服务项为[Agere Modem Call Progress Audio / AgereModemAudio][Running/Auto Start]这个与例子中的一点都不一样,是什么原因导致的呢?镜像后面不应该有.dll吧?
3驱动:能见到<Agree System>这个是什么意思?在我扫描的日志中经常能看到
[rfwtdi / rfwtdi][Running/Auto Start]<\??\E:\rising\Rising\Ris\rfwtdi.sys><Beijing Rising Information Technology Co., Ltd.>这个是正确的瑞星的服务么?有问号,而且粒子里面没有它
4浏览器加载项:有(signed)标志的是不是就是可信的?[]
  {e2e2dd38-d088-4134-82b7-f2ba38496583} <%windir%\Network Diagnostic\xpnetdiag.exe, (Signed) N/A>这个是否可疑?有两个类似的语句
5正在进行的进程部分:有的进程是这样子的[PID: 844 / SYSTEM][\??\C:\WINDOWS\system32\csrss.exe] 为什么会有问号出现?
6文件关联部分:.TXT  Error. [C:\WINDOWS\notepad.exe %1]我的扫描出来真的出现例子中的问题了 请问老师这个可能是什么原因?应该如何排查?
7Winsock 提供者
N/A

==================================
Autorun.inf
N/A这个就是正常扫描的样子吧?
8特殊特权:特殊特权被允许: SeLoadDriverPrivilege [PID = 1424, E:\TUDOU\飞速TUDOU\TUDOUVA.EXE]这个应该就是我不想让飞速土豆开机启动它就启动的原因吧?请问老师我应该怎样禁止他呢?
9入口点为空,API为空,我安装了瑞星全功能软件,可是这里API为空是代表我的瑞星防火墙没起作用么?
以上就是我的问题 期待老师的回答~

===================以下内容为lqqk7回复==================
1、[(Verified)Qizhi Software (beijing) Co. Ltd]这一部分应该属于前面的一个启动项,后面的<RisTray><"E:\rising\Rising\Ris\RsTray.exe" -system>  [(Verified)Beijing Rising Information Technology Corporation Limited]这部分才是对瑞星监控程序的体现;

2、<shell><Explorer.exe>  [(Verified)Microsoft Windows Component Publisher]是Windows的外壳程序,不是internet;

3、[File is missing]不一定有问题,直接从字面就能够理解它表达的含义,即文件不存在;造成文件不存在有很多种情况,比如软件卸载不干净,文件删掉了但注册表启动项还有残留;或是使用优化软件将某些文件当作垃圾文件清除,但它的启动项没有清除;又或者病毒开机启动之后将自身删除以掩人耳目;所以看到[File is missing]不一定就是病毒,还是要结合路径和签名去分析;

4、每个人的系统环境不同,安装的软件不同,所以不存在完全相同的日志;至于映像路径,可以是.exe,也可以是.dll,甚至可以是其他任何合法的后缀;

5、仅通过<Agree System>判断不出什么,需要截取完整项目分析;

6、更正:/??/是一个符号链接,常见于内核级的程序,驱动程序给设备命名,用于内核级的程序查询,而用户级的程序是查询不到的,为了让用户级程序访问设备,就需要用到符号链接,本例中的/??/对应的设备为\Device\Harddisk0\Partition1,即第一块硬盘的第一个分区;

7、(signed)表示为可信任的,但也有少数特例;

8、同6;

9、C:\WINDOWS\下有notepad.exe,C:\WINDOWS\system32下也有notepad.exe,所以这两个路径都是正确的;排查方法就是看关联的程序时候正常;

10、Winsock 提供者和Autorun.inf显示N/A就表示不存在异常;

11、不是因为开机启动导致它要提权,而是因为它需要实现某些功能而需要提升权限,至于权限,有兴趣可以自己搜索一下相关知识,这里的SeLoadDriverPrivilege应该和安装加载驱动有关;

12、防火墙能够正常开启就没问题,我的讲义中只是举个例子,做讲义的时候大概是几年前了,软件版本不同而已;
最后编辑lqqk7 最后编辑于 2010-07-13 00:28:40
~木~
gototop
 

回复:2010年7月12日:日志分析1 -讲义

先占楼,回头不懂的问题再上交!

尊敬的老师,您好,我有如下FAQ,请您赐教:

1)关于病毒,我想知道:木马病毒最主要的功能仅仅是为了盗取密码账号吗?

2)关于SREng日志,“系统文件被非法篡改,在日志中是不是看不出来?此外,注册表登陆项Userinit如果被篡改,可以将此键值直接删除吗?

===================以下内容为lqqk7回复==================
1、盗取帐号密码是木马病毒的普遍特征,但是当今活跃的病毒之中很多其实已经不只具备单一特性了,有些虽然命名为trojan,但实际上它也具备了下载器的功能;

2、“系统文件被非法篡改,在日志中是不是看不出来?如果该系统文件正在内存中运行,比如进程、服务、驱动等,那么通常他是过不了SREng的签名验证这一关的。但是如果这个系统文件当前没有运行,也不在注册表启动项中,这时候日志是无能为力的!

3、Userinit键值决不可删除!一定要改回默认值,否则系统将无法登陆,安全模式也不行!
最后编辑lqqk7 最后编辑于 2010-07-12 14:26:55
﹎﹎﹎﹎﹎.☑.林花謝了春紅.太匆匆.,☂,.無奈朝来寒雨.晩来風.☑.﹎﹎﹎﹎﹎
                               
--->>罒鄭重承諾:
        ◥◤ 勵志苡“博學之,審問之,慎思之,明辯之,篤行之”為目標而奮鬥終生 ◥◤
                                                                                    --->>罒簽: ゛菩提樹下.
gototop
 

回复:2010年7月12日:日志分析1 -讲义

先看看!感觉这个有需要经验~
gototop
 

回复:2010年7月12日:日志分析1 -讲义

占位,等编辑
gototop
 

回复:2010年7月12日:日志分析1 -讲义

纠结 我发现有时候电脑中招后日志分析作用不是很大。。。。

还有就是一些流氓修改IE的更是有点困难 俄 难道是偶没学好?

===================以下内容为lqqk7回复==================
不可否认任何工具都不是万能的,但是我们不得不佩服smallfrogs的实力,在一些极端环境中SREng可能起不到任何作用,但是作者也是在不断的更新完善着这个小工具,有兴趣可以去看看作者的更新日志,至少到目前为止,应对网络中流行的病毒问题还是比较靠谱的。

至于流氓软件修改IE,需要认真查看IE加载项、进程、服务、驱动,如果主页修复后又被改回,通常是存在一个正在运行中的程序在监视并保护它的键值,仔细查找会有所发现的。

还有一些流氓软件是通过注册表权限限制了IE主页键值被改写,这种情况日志确实无能为力,需要手动找到键值修改权限即可。
最后编辑lqqk7 最后编辑于 2010-07-12 14:33:42
gototop
 
1234567   1  /  7  页   跳转
页面顶部
Powered by Discuz!NT