先学习，回头整理问题再来提问

我也先占个位子，随后有问题，补上

占位的还真不少
以前只知道有日志这东西，还没研究过，先学习去

看完日志文件我的感受是英语还是要好好学的

然后我有几个问题想请教一下老师

1。如何判断靠Appinit_dlls插入的进程是病毒还是其他的？
2.是不是说在日志文件中进程有准确的文件属性版本和公司名就代表它是准确的？
3.什么样的正常程序修改会导致ERROR的出现？我们如何判断ERROR是由正常程序修改而非病毒呢？

===================以下内容为lqqk7回复==================
1、其实会在Appinit_dlls里插东西的软件并不多，基本上就是安全软件和系统美化类软件，只要通过文件名搜索一下就会了解，必要的时候还可以问一下电脑的主人是否安装了某些美化软件；

2、版本和厂商信息伪造起来很容易，但是伪造数字签名是很困难的，所以不能单凭一条就判断它的安全性；

3、我想你指的是文件关联里的error吧？这里比较常见的就是.txt文件关联的，它的关联可以是c:\windows\system32\notpad.exe，也可以是c:\windows\notpad.exe，这都是正常的。.chm文件关联显示错误通常是因为没有使用绝对路径；至于其他的错误，只要通过所关联的程序路径去判断就可以了；

谢谢lqqk7老师解答。
1.  SREng中有一部分一直不是很明白，就是启动项目-注册表中的以下值，数字签名已去掉：
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\crypt32chain]
    <WinlogonNotify: crypt32chain><crypt32.dll>
。。。。。。。。。
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\wlballoon]
    <WinlogonNotify: wlballoon><wlnotify.dll>
他们是什么作用？

2.  SREng日志有时会出现扫描时间长长的现象，有时达到20分钟以上（并没有打开其他程序）。打开保存后的日志 ，发现主要是服务，驱动，正在运行的程序中的dll，大幅增多。怀疑是SREng的过滤机制出现问题。这种现象是因为什么？怎样解决？  下面是一些例子：
服务（我感觉正常情况下，这些不应出现在SREng日志中）：
[Portable Media Serial Number Service / WmdmPmSN][Stopped/Manual Start]
  <C:\WINDOWS\System32\svchost.exe -k netsvcs-->C:\WINDOWS\system32\mspmsnsv.dll><Microsoft Corporation>
[Windows Management Instrumentation Driver Extensions / Wmi][Stopped/Manual Start]
  <C:\WINDOWS\System32\svchost.exe -k netsvcs-->%SystemRoot%\System32\advapi32.dll><Microsoft Corporation>

驱动：
[IP Traffic Filter Driver / IpFilterDriver][Stopped/Manual Start]
  <system32\DRIVERS\ipfltdrv.sys><Microsoft Corporation>
[IP in IP Tunnel Driver / IpInIp][Stopped/Manual Start]
  <system32\DRIVERS\ipinip.sys><Microsoft Corporation>

正在运行的进程：
C:\WINDOWS\system32\winlogon.exe]  [Microsoft Corporation, 5.1.2600.5512 (xpsp.080413-2113)]
    [C:\WINDOWS\system32\ntdll.dll]  [Microsoft Corporation, 5.1.2600.5755 (xpsp_sp3_gdr.090206-1234)]
    [C:\WINDOWS\system32\kernel32.dll]  [Microsoft Corporation, 5.1.2600.5781 (xpsp_sp3_gdr.090321-1317)]
    [C:\WINDOWS\system32\ADVAPI32.dll]  [Microsoft Corporation, 5.1.2600.5755 (xpsp_sp3_gdr.090206-1234)]

3.老师在平时我们经常碰见替换系统文件的病毒，我们应该通过什么简单易行的方法，帮助求助者将正常的文件换回？有什么好的工具可以推荐么？

谢谢老师！

===================以下内容为lqqk7回复==================
1、WinlogonNotify项通常是在系统登陆和注销的时候产生作用的，至于rypt32.dll和wlnotify.dll文件，百度一下便知其作用。不过没有签名和厂商信息存在被病毒修改或替换的可能性；

2、这种情况确实存在，原因我不清楚，有机会可以问问SREng的作者；

3、工具见反病毒版块天月版主的置顶帖~

觉得学习日记分析真的懂了好多东西!谢谢老师！
老师请问一下！
在判断驱动程序这一部分是否有问题时，一般情况下是否可以直接看后面是否出现公司的信息来决定驱动是否有问题？
有后面不出现<Beijing Rising Information Technology Co., Ltd.>类似信息的驱动还是正常的吗？有的话举个例子！！


===================以下内容为lqqk7回复==================
只有一些比较正规的研发团队会很注重文件的厂商信息和版本信息，其他很多小型团队或个人开发者可能没有这个意识，所以在无数应用程序中，没有任何版本和厂商标识的文件比比皆是，但是并不是说没有这些信息就不正常，例如：
daemon虚拟光驱软件的驱动：
[d347bus / d347bus][Stopped/Boot Start]
  <\SystemRoot\system32\DRIVERS\d347bus.sys><>
[d347prt / d347prt][Running/Boot Start]
  <\SystemRoot\System32\Drivers\d347prt.sys><>

哇，这么早就出来了啊！
lqqk7老师您好，以下是我看过讲义后的问题。
1、当我点击工具SREng中的启动项目选项时，会有一个警告出现，内容是：“警告！注册表UIHost被修改为非正常值（默认值是logonui.exe）。请检查你的系统中可能内存在的计算机病毒”这是什么意思啊？360安全卫士也弹出提示框让阻止这个操作。
2、SREng工具智能扫描一般需要多长时间啊？我的扫描了将近两个小时了，还没有完成。
3、我的注册表启动项中有这么一项
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Active Setup\Installed Components\>{881dd1c5-3dcf-431b-b061-f3f88e8be88a}]
    <Outlook Express><%systemroot%\system32\shmgrate.exe OCInstallUserConfigOE>  [File is missing]
文件已经丢失，那这一项还怎么能自动启动呢？
ps：以前我的电脑总是自动弹出outlook express，后来我就卸载了，启动项中所有有关outlook express都是[File is missing]。
4、[Help and Support / helpsvc][Stopped/Disabled]
  <C:\WINDOWS\System32\svchost.exe -k netsvcs-->%WINDIR%\PCHealth\HelpCtr\Binaries\pchsvc.dll><N/A>
这个服务是不是有问题啊？正常的系统文件后加载了%WINDIR%\PCHealth\HelpCtr\Binaries\pchsvc.dll><N/A>
怎样才能开机的时候不启动某些服务啊？
5、驱动程序中
[tifm21 / tifm21][Stopped/Manual Start]
  <system32\drivers\tifm21.sys><N/A>
这个是不是很可疑啊？没有明确的写出发行商。
6、浏览器加载项中
[]
  {0347C33E-8762-4905-BF09-768834316C61} <, >
[]
  {0468C085-CA5B-11D0-AF08-00609797F0E0} <, >
是不是很可疑啊？这个怎么判断它是否安全啊？
7、正在运行的进程中
[PID: 632 / Administrator][C:\WINDOWS\Explorer.EXE]  [(Verified) Microsoft Corporation, 6.00.2900.5512 (xpsp.080413-2105)]
    [C:\Program Files\Common Files\Adobe\Acrobat\ActiveX\PDFShell.CHS]  [, ]
    [C:\Program Files\WinRAR\rarext.dll]  [N/A, ]
这两个加载项是不是很可疑啊？
“加载”的具体含义是什么啊？就是进程632运行的时候，这些东西也随着它一起运行吗？
8、Winsock 提供者  是什么意思啊？为什么我的这项是N/A啊？
9、进程特权扫描中
特殊特权被允许： SeLoadDriverPrivilege [PID = 2524, C:\DOCUMENTS AND SETTINGS\ADMINISTRATOR\桌面\工具\SRENGLDR.EXE]
这个是SREng中的进程吗？这有什么用啊？
10、计划任务中的任务有什么作用啊？

问题有些多，辛苦老师了。
谢谢老师

===================以下内容为lqqk7回复==================
1、logonui.exe是windows系统登陆、注销、切换用户时显示的界面，注册表键UIHost的值默认为logonui.exe，这是一个相对路径，有些工具可能会将其修改为绝对路径，这时SREng就会出现这样的警告提示，当然也有可能是病毒篡改了UIHost的键值达到开机启动的目的，具体情况需要看你的日志内容了。至于360的提示是正常情况，UIHost被认为是一个关键启动项，众多安全软件都会保护关键项不被修改，但是目前的软件还达不到人脑的智能程度，只能拦截到试图修改注册表的这个动作，但是不能识别这个动作是不是正常的，所以会给出一个建议拦截的提示！

2、扫描时间根据硬件环境和当前运行的程序的不同有所不同，一般在几分钟到十几分钟，两个小时就不正常了，可以尝试关掉当前运行的第三方应用程序后再试，也可以到安全模式下尝试；

3、[File is missing]（文件不存在），这时虽然注册表中的启动项还在，但实际上开机后也是不能运行的了，你列举的就是这种情况，日志中显示的仅仅是一个注册表键值而已，并未显示它当前是否运行；对于[File is missing]的启动项，可以当作注册表垃圾删除掉；

4、从服务名和路径看，没问题，是系统的帮助服务，但是没有包含文件信息，存在被修改或替换的可能性，但是有一个细节你没注意到，它的状态是[Stopped/Disabled]，这表明这个服务处于被禁用状态，且当前没有运行；

5、通过路径看，这不是一个我们所熟知的程序，通过搜索也不能获取到太多有价值的信息，那么它的可疑程度的确很高，但是至少当前它没有运行，可以选择暂不处理，找到文件上报给反病毒厂商进一步分析；

6、这样的加载项通常是只在注册表中存在一个CLSID键值，但是没有对应的文件，通常不具备威胁，可能是安装某些第三方程序时写入的CLSID，也可能是用来免疫某些恶意插件的；

7、可疑度不高，通过路径就可以判断出属于Adobe Reader和WinRAR的相关文件，只是没有包含厂商和版本信息而已；

8、
相关知识可见：http://baike.baidu.com/view/1172480.htm
这项显示N/A表示未发现异常；

9、通过路径判断一下，如果你把SREng存放在C:\DOCUMENTS AND SETTINGS\ADMINISTRATOR\桌面\工具目录下，那么就是了。提升特权是为了实现一些特殊的功能，比如加载驱动，如果软件本身不需要提权，就需要关注一下程序进程中加载的模块了。

10、计划任务，顾名思义，就是让系统按照预先设置的计划执行一些操作；

老师您好~
关于日志分析这次的讲义，感觉有点摸不着头脑。感觉很多东西判断是病毒都是主观印象或者是之前的经验来判断是本机正常进程还是病毒。。
以下是我的问题：
1.经常看到NT环境，NT环境主要指的是什么?我们不是主要用的XP或者win7 vista之类的操作系统么，那windows NT又是做什么的？上网搜了一下感觉解释的不太直观，还是不太懂。

2.我的浏览器加载项里存在这样的
[]
  {FB5F1910-F110-11D2-BB9E-00C04F795683} <, >
这个是不是病毒？为什么后面的尖括号里什么都没有？是否可以删掉？

3.一般怎样判断注册表项是否为可疑，还是抓不到感觉。

4.昨天没发现 今天才发现打开SRE会出现这个。。= =。。为什么会出现这样的东西。。



===================以下内容为lqqk7回复==================
1、早年间，微软和IBM共同开发了一个名为OS/2的系统，后因技术上的分期转化为两个不同的系统，IBM继续维护OS/2系统，微软则将自己的OS/2命名为Windows NT，NT是New Technology的缩写。所以通常所说的NT，就是对系统内核架构的命名，就像Intel的CPU除了除了人们熟知的型号名称，还有一个核心代号一样，至于现在常用的XP，是基于NT 5.1开发的，Vista是NT 6.0，Win7是NT 6.1；

2、因为注册表里的键值就是这个样子，只有一个CLSID，没有文件路径，这种情况可能是第三方软件创建的CLSID，也可能是用来免疫恶意插件的，可以删除；

3、其实一开头你的理解就是正确的，分析日志靠的就是丰富的经验和对系统文件常用软件的熟悉程度，这个没什么捷径可走；

4、360的这个提示应该跟SREng本身对系统文件的验证机制有关，选择允许即可；

老师请问一下！
为什么在的我电脑中winsock、进程特权扫描和Autorun这三部分显示成这样：（我的是Vista系统）
==================================
Winsock 提供者
N/A

==================================
Autorun.inf
N/A

==================================
HOSTS 文件
127.0.0.1      localhost
::1            localhost

==================================
进程特权扫描
N/A

==================================
是系统有问题吗？如果不是，怎样设置，使它正常显示出来。
谢谢老师回答！


===================以下内容为lqqk7回复==================
1、Winsock 提供者、Autorun.inf、进程特权扫描这三项如果显示为N/A，则表示没有发现异常；

2、Vista和Win7的HOSTS 文件默认就是
127.0.0.1      localhost
::1            localhost
这样的；
而XP的HOSTS 文件默认是
127.0.0.1      localhost
这样的，所以无论显示上述内如还是显示N/A都表示没有发现异常！

老师请问一下！
在计划扫描这一部分，我发现我的一个程序已经卸载了，但是为什么在这里显示【已启动】，我的是vista系统。这里显示【已启动】的程序就是开机启动项吗？

===================以下内容为lqqk7回复==================
1、计划任务中显示的已启用并不一定是表示一开机他就马上启动，而是表示这个任务是有效的，而程序要在何时启动要看任务如何设定的，可能是在某个时间点，也可能是在某个周期内；

至于你说的程序已经卸载，但还在计划任务中，应该是本身没有卸载干净，只要自己把这个任务删掉即可；

老师请问一下！
出现下面的现象：
==================================
API HOOK
N/A

==================================
隐藏进程
N/A
一般是表示系统正常的是吧？


===================以下内容为lqqk7回复==================
这两项显示N/A也表示没有发现异常