lqqk7老师您好,根据讲义学习了sreng的种种,遇到了一些问题,具体如下:
1、今天打开SREngLdr.EXE后,选择【工具】→【检查新版本】后,它就停在下图那里了。
[attachimg]624402[/attachimg]
然后我就在任务管理器里,把它给强制关了,然后就出现了下图中的那个红色框框里的东西,删也删不掉。这个是为什么呀?
2、在SREng的标题栏中的数字是版本号吗?还是其他什么?
3、在生成的日志文件的【注册表】中
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Active Setup\Installed Components\>{
26923b43-4d38-484f-9b9e-de460746276c}]
<Internet Explorer><%systemroot%\system32\shmgrate.exe OCInstallUserConfigIE>
[File is missing]可以看到好多的这种数字和字母混合的字符串,它们代表相同的意义吗?都是注册表中的ClassID?这个Flies is missing是什么意思?对系统有没有影响呢?
4、在生成的日志文件的【浏览器加载项】中
[]
{776B71E2-B4CC-4C94-BC7C-09103AA690B6} <, >
[]
{7ED4CA4F-9FE2-4C6D-BA56-55247415C3BA} <, >
[]
{87515F61-A66C-4319-A0E0-D416CB8059E3} <, >
讲义中说这些都是可疑项,那如何判定他到底是不是呢?
5、在生成的日志文件的【正在运行的进程】部分中
[C:\Program Files\Netease\网易闪电邮\FlashMailShell.dll] [NetEase, 1.0.0.1]
这个压根儿就没运行的程序,怎么会有?
O(∩_∩)O谢谢~~
===================以下内容为lqqk7回复==================1、第一张图没显示出来....
有些病毒会通过技术手段造成SREngLdr.exe无法运行,所以SREng会在运行时创建一个随机命名的副本,实际运行的是这个副本,在退出SREng时副本会自动删除。但如果非正常退出,这个副本就不会被删除,你需要看一下这个随机命名的程序进程是否已经退出了,如果因为程序异常导致进程没有退出,是不能删除的;
2、有些病毒通过获取窗口标题的方式判断当前窗口中的程序是否为安全软件,如果标题固定为“SREng”,则病毒很容易找到它并把它关掉,所以SREng的窗口标题也采用随机命名的方式,让病毒无法通过查找标题来关闭;
3、是CLSID,对应一个系统组件,或第三方软件;
Flies is missing表示文件已经不存在,但注册表项还有残留,可以删掉,对系统没有影响;
4、通过后面的路径判断的,注意看讲义中的那些加载项,后面是有路径的,如图:
在判断时可以根据路径并结合网络搜索;
5、这是加载到其他进程中的一个模块,用来实现一些功能,比如Winrar,很多人都在使用,只要安装了Winrar就会看到他的模块存在于其他进程中:
[PID: 240][C:\WINDOWS\Explorer.EXE] [Microsoft Corporation, 6.00.2900.5512 (xpsp.080413-2105)]
[D:\Program Files\WinRAR\rarext.dll] [, ]
比如这个是用来实现右键菜单调用Winrar压缩的
