好快！！赶不上了，得加油了。。

这个需要继续增加新的学习呗。

因为一般扫描工具会不扫描在IE恶改方面需要看的那些注册表项目。

学习中~~

学习ing

lqqk7老师，您辛苦了!我有几个问题，想请您指点一下：

1.关于注册表
文件出版的公司信息：例如：
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run]<ctfmon.exe><C:\WINDOWS\system32\ctfmon.exe>
[(Verified)Microsoft Windows Component Publisher]
后面的[(Verified)Microsoft Windows Component Publisher]，
带有(Verified)及Microsoft Windows Component Publisher文件一定是正常文件吗？

2.如果日志分析中的某一项没有公司信息，如何知道它是不是正常文件呢？

3.从网上下载的第三方软件，如果它的公司信息自己不熟悉，如何辨别它是不是恶意软件？

4.如果一个病毒假冒系统文件名，如何能分辨出来呢？



===================以下内容为lqqk7回复==================
1、[(Verified)Microsoft Windows Component Publisher]这种情况基本就是完全可信的了，因为实际上SREng不仅仅验证数字签名，还会通过SFC状态、文件版本信息和微软文件的一些其他特性去验证，所以准确率是很高的。但如果没有(Verified)或只有[(Verified)]就需要特别留意了；

2、通过路径看看是不是你所熟悉的第三方应用软件，如果你不熟悉它，最好的方法就是百度+google，因为在众多的软件中除了一些比较正规的厂商会在自己的程序中加入厂商信息，更多的程序可能根本就没有这些信息；

3、同上！分析日志离不开百度和google，这个过程也是积累经验的过程！

4、1里面提到了SREng验证系统文件的机制，所以如果没有(Verified)标识或缺少厂商信息，就需要注意了！

快快提前复习！！！

学习完后，一些不懂得地方，期待老师解惑
1:关于驱动程序的疑问：
[rsfwdrv / rsfwdrv][Running/System Start]
  <\??\C:\Program Files\Rising\RFW\rsfwdrv.sys><Beijing Rising Information Technology Co., Ltd.>
[rfwtdi / rfwtdi][Running/Auto Start]
  <\??\C:\Program Files\Rising\RFW\rfwtdi.sys><Beijing Rising Information Technology Co., Ltd.>
这两行是否说明潜藏着病毒呢？若含有“\??\”的项是不是一定存在问题呢？

2：关于浏览器加载项的疑问
[启动迅雷5]
  {09BA8F6D-CB54-424B-839C-C2A6C8E6B436} <C:\Program Files\Thunder Network\Thunder\Thunder.exe, Thunder Networking Technologies,LTD>
[]
  {0A155D3C-68E2-4215-A47A-E800A446447A} <, >
[Windows Live Toolbar Helper]
  {E15A8DC0-8516-42A1-81EA-DC94EC1ACF10} <C:\Program Files\Windows Live\Toolbar\wltcore.dll, (Signed) Microsoft Corporation>
[]
  {E2E2DD38-D088-4134-82B7-F2BA38496583} <, >

发现我的日志中还有其他类似的可疑项，用瑞星杀毒没发现病毒，此时可疑排除它的非安全性吗？

3：关于”正在运行的进程部分“的疑问
在日志中我发现了一下四种形式，能否详细解释一下它们？
[C:\WINDOWS\system32\nvshell.dll]  [, ]
[C:\Program Files\FileZilla FTP Client\fzshellext.dll]  [, 3, 3, 0, 1]
[C:\Program Files\Thunder Network\Thunder\Components\ResWorker\DsBho_00.dll]  [Thunder Networking Technologies,LTD, 1, 0, 0, 19]
[C:\Program Files\KWMUSIC\pd.dll]  [N/A, ]

4：其他的部分疑问
API HOOK
入口点错误：ShellExecuteExW (危险等级: 一般,  被下面模块所HOOK: C:\Program Files\Maxthon2\Modules\MxKWS\kswebshield.dll)

上面的日志项的问题怎么解决呢？  坐下小板凳慢慢等答案~~



===================以下内容为lqqk7回复==================
1、看它的状态是[Running/Auto Start]，即正在运行，所以是肯定存在的。更正：/??/是一个符号链接，这里对应的设备为\Device\Harddisk0\Partition1，即第一块硬盘的第一个分区；但是不能通过[Running/Auto Start]和\??\就判断存在问题，需要通过路径和厂商标识综合判断；

2、你这里列出的4个加载项都是安全的，判断不能完全以来杀毒软件是否报毒，如果杀毒软件能够查杀所有的病毒，那么日志也就没有存在的必要了；

3、[C:\WINDOWS\system32\nvshell.dll]  [, ]——没有厂商信息和版本信息；
[C:\Program Files\FileZilla FTP Client\fzshellext.dll]  [, 3, 3, 0, 1]——没有厂商信息，版本为1.3.3.0；
[C:\Program Files\Thunder Network\Thunder\Components\ResWorker\DsBho_00.dll]  [Thunder Networking Technologies,LTD, 1, 0, 0, 19]——厂商名称：Thunder Networking Technologies,LTD，文件版本1.0.0.19；
[C:\Program Files\KWMUSIC\pd.dll]；

4、C:\Program Files\Maxthon2\Modules\MxKWS\kswebshield.dll，通过路径判断应该是傲游浏览器中的金山网盾模块，HOOK的目的应该是实现过滤网址的功能，所以如果你需要使用傲游浏览器的相关功能，那就不要管它。

學習學習！！

怎么都提前来学习了？俺来也

1、一般来说您是怎么分析日志的？扫出来的日志很多，如果不用分析助手的话，我想我都要崩溃了。2、空项和没有公司签名的项一般来说怎么判断是不是病毒？
3、微软签名没通过的项目是不是重点的怀疑对象
4、autorun.inf 是否都是病毒？
5、特权进程怎么判断其合法性？

以上就是我的问题，谢谢老师






===================以下内容为lqqk7回复==================
1、不是说完全不能使用分析助手，分析助手的分类分项显示确实比较省眼睛，但是用分析助手的话一定要保证没有遗漏，至少要分析完之后再用记事本简单的过一遍日志；

2、如果那不是你所熟悉的，就只有求助于百度和google了，没有那个人能够一眼认出所有的程序；

3、没错！

4、autorun.inf是windows提供的自动播放功能的配置文件，它本身不是病毒，具体是否被病毒利用要看它的内容了；

5、通过路径看看是不是你所熟知的第三方程序，通常病毒很少会把自己放在一个不具备共性的路径下，简单来说几乎每个人安装windows的时候都会选择默认路径，那么像C:\windows这样的目录就是具备共性的，几乎每个人的电脑都有这个目录，像这样的目录就是病毒常用的藏身之处。而我的电脑中安装了foxmail，而你的电脑中没有安装，那么如果病毒把自己放在foxmail目录里的话，显然对于你来说，只要稍微了解一点尝试就很容易发现了！