老师您好：
驱动程序：[5BBD23A8 / 5BBD23A8][Stopped/Auto Start]
  <\??\C:\WINDOWS\system32\drivers\5BBD23A8.sys><N/A>
这个是正常的么？
==================================================
浏览器加载项：
[ASniff Control]
  {B1A7DC5E-BFF1-11D6-8563-00D009D8ED5B} <C:\WINDOWS\system32\ASniff.ocx, ASniff Technology>
[]
  {E2883E8F-472F-4FB0-9522-AC9BF37916A7} <, >
[]
  {00000000-0000-0000-0000-000000000000} <, >
[]
  {00000000-12C9-4305-82F9-43058F20E8D2} <, >
这个是正常的么？
==================================================
还有一个：上面的[]是什么意思？


===================以下内容为lqqk7回复==================
1、这个驱动从路径和文件名来看，首先肯定不是系统文件，也无法判断是否属于某个第三方软件，通过网络搜索也没有获得有价值的信息，且看文件名极有可能是采取了随机命名的方式，所以它非常可疑！通过状态可知其当前并未运行，所以这种情况可以将启动类型改为禁用，然后提取文件上报反病毒厂商分析；

2、C:\WINDOWS\system32\ASniff.ocx这个通过网络搜索得知应该是反聚生网管软件或局域网嗅弹工具；
其他三个是空的CLSID，可能是第三方软件创建的或免疫恶意插件用的；

3、[]表示该CLSID的名称为空；

lqqk7老师辛苦了，看完讲义有如下问题望回答：
1、
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run]
[HKEY_CURRENT_USER\Software\Microsoft\Windows NT\CurrentVersion\Windows]
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run]
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon]
这四个位置都有启动项，他们有何区别？

2、我做了一下您去年给出的练习
练习地址：http://bbs.ikaka.com/showtopic-8640994.aspx
在日志中，我看到浏览器加载项。
[]
  {6AD31948-2ED9-4A2B-85EA-105DD4F656B4} <, >
[]
  {33564D57-9980-0010-8000-00AA00389B71} <, >
[]
  {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} <, >
[]
  {D18A0B52-D63C-4ED0-AFC6-C1E3DC1AF43A} <, >
自己感觉这些无名称的加载项很可疑，为什么在参考答案中放过了这些项目呢？

3、另外在练习中，我看到类似：
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Active Setup\Installed Components\>{26923b43-4d38-484f-9b9e-de460746276c}]
    <Internet Explorer><%systemroot%\system32\shmgrate.exe OCInstallUserConfigIE>  [File is missing]
什么情况下会导致文件丢失？文件丢失现象会是病毒引起的吗？
                                                                                                                                    实习生：panxiaoting

===================以下内容为lqqk7回复==================
1、把注册表路径拆开来看比较容易理解：
HKEY_CURRENT_USER表示针对当前用户的设置；
HKEY_LOCAL_MACHINE表示针对本地计算机的设置；
\Software\Microsoft\Windows这部分表示和windows有关，但和NT无关的设置，这部分设置在非NT内核的Win系统（如win98\winme等）下也是通用的；
\Software\Microsoft\Windows NT这部分表示基于NT内核的功能设置；
\CurrentVersion表示针对当前版本Windows的设置；
\Run表示自动运行相关设置；
\Windows表示和Windows有关的功能；
\Winlogon表示和系统登陆有关的功能；

2、因为他们仅仅有一个CLSID而已，没有对应的文件路径；

3、文件丢失有很多种情况，针对系统文件丢失，比较常见的就是用了第三方封装的系统，将不必要的组件精简掉了。另外也有可能是第三方软件卸载不干净，导致注册表残留。当然，也有可能是病毒导致的，病毒可能删除掉那些可能干扰它正常运行的程序。

lqqk7老师好。
现在有病毒使用的是真实的签名，这个是不是只有通过文件名和对应签名来依靠经验判断了？
对于一些相对智能的分析工具，是不是就不能用直接过滤签名功能来排除具有签名的文件了吧？
对于伪造的数字签名如何更好的识别而不遗漏呢？

谢谢老师

===================以下内容为lqqk7回复==================
1、对于极少数能够成功伪造签名的病毒，基本上经验判断占大多数了；

2、呃。。。。这个，不知道你指的是什么工具，智能化程度有多高？这种只能至少也是建立在人为指定规则的基础上的，所以还是看规则的完善程度了；

3、经验！没什么好办法，不过伪造微软签名应该可以被SREng识破吧，至少从SREng对系统文件的验证机制来看，伪造是行不通的；

非常荣幸我们能获得这次培训的机会，我使得我对安全方面有了更多的体会，尤其这次日志分析课程，让我能够更直观的方法发现病毒。但是我觉得可能这个需要很多经验，我觉得我还没这方面的经验，所以想请老师能不能多提供些案例或资料，让我们能够更好的积累些经验。

下面一些是我在学习与使用时遇到的一些问题。请您帮我看下。
1。SREng扫描时间过长。为什么我用SREng扫描扫描了很久很久。已经一个小时了。我以前用过这个记得并不要很久啊？
一直在扫描“驱动程序”“正在运行的进程”，这两项。我用的是SREng2.8.2。1321版本，难道它无法扫描我的计算机。

===================以下内容为lqqk7回复==================
一个多小时确实不正常，关掉当前运行的其他第三方程序后再试，或者到安全模式下扫描；

2。AcroRd32Info.exe-应用程序错误。
“Ox0700609c”指令引用的“Ox000000014”内存，该内存不能为“read”。
要终止程序，请单击“确定”

在运行过程中怎么出现这个？这是不是也是引起我问题1的原因？

===================以下内容为lqqk7回复==================
adobe reader相关程序报错，仅通过报错很难判断问题原因

3。能稍微列举几个常见的病毒能过扫描出现的结果吗？并告诉我们下这个病毒的名称。

===================以下内容为lqqk7回复==================
这种情况并不常见，更多时候是一些对抗性比较强的病毒阻止SREng打开，或造成打开后无法正常操作，比如磁碟机，新版本的SREng针对这种对抗性病毒也有应多措施，可以看一下讲义一楼昨天更新的部分！大多数情况下只有存在活体病毒，日志都能发现蛛丝马迹，极端特例也有过，手头没有现成的例子，看以后能不能遇到吧

4。现在系统那么多，如winxp,ser2003,ser2008,win7等等，那么启动项，进程名称都类似吗？

===================以下内容为lqqk7回复==================
系统关键项的路径和名称基本是一致的，但由于新版本的系统新增了更多的特性和功能，也会比较老的系统多一些系统文件，比如服务项，win7包含了一些xp中已有的服务，也有自己新增的服务。

终于整出来日志文件了。

在附件中，好多啊~您能帮我看看是不是有有问题的？

附件: SREngLOG.log (2010-7-12 11:09:31, 64.59 K)
该附件被下载次数 151

===================以下内容为lqqk7回复==================
没有明显异常

老师好，请问为什么一些不安全的文件也会有"Verified"标识呢？

===================以下内容为lqqk7回复==================
这种情况多见于系统文件被感染，病毒同时将dllcache中的备份文件也一同感染，也就是说这个时候原始文件和dllcache里的备份文件均被感染，并且他们两个文件是完全相同的，所以SREng在检测文件SFC状态时就会就会得到一个验证通过的报告。这时文件虽然没有通过数字签名验证，但是通过了SFC验证，就会显示Verified