讲师：lqqk7

讲义地址：http://bbs.ikaka.com/showtopic-8640641.aspx

本次课程答疑时间：2010年7月12日 14:00-16:00

答疑形式：实习生看过讲义后即可发表问题咨询，讲师在答疑时间内会将答复直接回复在提问者的问题所在楼层内.

提问方式：回复本帖提问（即跟帖），不要通过QQ群提问！

第一个  好好先复习一下！！

一定要好好学这章，觉得很有用！！

老师请问一下！
在预习的过程中发现有问题的部分都有一些共性，在【浏览器加载项】这一部分，是否插件的路径在
c:\windows\system32\……都是有问题的呢？

===================以下内容为lqqk7回复==================
不一定，综合多种情况判断，首先需要对系统和常用软件的文件足够熟悉，通过完整路径和文件名看是否输入系统文件或正常软件；另外要看他是否通过签名验证；对于拿不准的文件，百度、google搜一下看看别人的结论也是很有参考价值的；经验就是这样一点一点积累的！

这个^-……叫 预习 把？

这么快就出来啦

这么快就开始啦 学习~一下是学习心得和小问题
1启动注册表：找到了瑞星 [(Verified)Qizhi Software (beijing) Co. Ltd]
    <RisTray><"E:\rising\Rising\Ris\RsTray.exe" -system>  [(Verified)Beijing Rising Information Technology Corporation Limited]
正确的internet：<shell><Explorer.exe>  [(Verified)Microsoft Windows Component Publisher]
这样子的<Themes Setup><%SystemRoot%\system32\regsvr32.exe /s /n /i:/UserInstall %SystemRoot%\system32\themeui.dll>  [File is missing]他说明missing有问题么？是有病毒的么？
2服务：我的服务项为[Agere Modem Call Progress Audio / AgereModemAudio][Running/Auto Start]这个与例子中的一点都不一样，是什么原因导致的呢？镜像后面不应该有.dll吧？
3驱动：能见到<Agree System>这个是什么意思？在我扫描的日志中经常能看到
[rfwtdi / rfwtdi][Running/Auto Start]<\??\E:\rising\Rising\Ris\rfwtdi.sys><Beijing Rising Information Technology Co., Ltd.>这个是正确的瑞星的服务么？有问号，而且粒子里面没有它
4浏览器加载项：有(signed)标志的是不是就是可信的？[]
  {e2e2dd38-d088-4134-82b7-f2ba38496583} <%windir%\Network Diagnostic\xpnetdiag.exe, (Signed) N/A>这个是否可疑？有两个类似的语句
5正在进行的进程部分：有的进程是这样子的[PID: 844 / SYSTEM][\??\C:\WINDOWS\system32\csrss.exe] 为什么会有问号出现？
6文件关联部分：.TXT  Error. [C:\WINDOWS\notepad.exe %1]我的扫描出来真的出现例子中的问题了 请问老师这个可能是什么原因？应该如何排查？
7Winsock 提供者
N/A

==================================
Autorun.inf
N/A这个就是正常扫描的样子吧？
8特殊特权：特殊特权被允许： SeLoadDriverPrivilege [PID = 1424, E:\TUDOU\飞速TUDOU\TUDOUVA.EXE]这个应该就是我不想让飞速土豆开机启动它就启动的原因吧？请问老师我应该怎样禁止他呢？
9入口点为空，API为空，我安装了瑞星全功能软件，可是这里API为空是代表我的瑞星防火墙没起作用么？
以上就是我的问题 期待老师的回答~

===================以下内容为lqqk7回复==================
1、[(Verified)Qizhi Software (beijing) Co. Ltd]这一部分应该属于前面的一个启动项，后面的<RisTray><"E:\rising\Rising\Ris\RsTray.exe" -system>  [(Verified)Beijing Rising Information Technology Corporation Limited]这部分才是对瑞星监控程序的体现；

2、<shell><Explorer.exe>  [(Verified)Microsoft Windows Component Publisher]是Windows的外壳程序，不是internet；

3、[File is missing]不一定有问题，直接从字面就能够理解它表达的含义，即文件不存在；造成文件不存在有很多种情况，比如软件卸载不干净，文件删掉了但注册表启动项还有残留；或是使用优化软件将某些文件当作垃圾文件清除，但它的启动项没有清除；又或者病毒开机启动之后将自身删除以掩人耳目；所以看到[File is missing]不一定就是病毒，还是要结合路径和签名去分析；

4、每个人的系统环境不同，安装的软件不同，所以不存在完全相同的日志；至于映像路径，可以是.exe，也可以是.dll，甚至可以是其他任何合法的后缀；

5、仅通过<Agree System>判断不出什么，需要截取完整项目分析；

6、更正：/??/是一个符号链接，常见于内核级的程序，驱动程序给设备命名，用于内核级的程序查询，而用户级的程序是查询不到的，为了让用户级程序访问设备，就需要用到符号链接，本例中的/??/对应的设备为\Device\Harddisk0\Partition1，即第一块硬盘的第一个分区；

7、(signed)表示为可信任的，但也有少数特例；

8、同6；

9、C:\WINDOWS\下有notepad.exe，C:\WINDOWS\system32下也有notepad.exe，所以这两个路径都是正确的；排查方法就是看关联的程序时候正常；

10、Winsock 提供者和Autorun.inf显示N/A就表示不存在异常；

11、不是因为开机启动导致它要提权，而是因为它需要实现某些功能而需要提升权限，至于权限，有兴趣可以自己搜索一下相关知识，这里的SeLoadDriverPrivilege应该和安装加载驱动有关；

12、防火墙能够正常开启就没问题，我的讲义中只是举个例子，做讲义的时候大概是几年前了，软件版本不同而已；

先占楼，回头不懂的问题再上交！

尊敬的老师，您好，我有如下FAQ，请您赐教：

1）关于病毒，我想知道：木马病毒最主要的功能仅仅是为了盗取密码账号吗？

2）关于SREng日志，“系统文件被非法篡改，在日志中是不是看不出来？此外，注册表登陆项Userinit如果被篡改，可以将此键值直接删除吗？

===================以下内容为lqqk7回复==================
1、盗取帐号密码是木马病毒的普遍特征，但是当今活跃的病毒之中很多其实已经不只具备单一特性了，有些虽然命名为trojan，但实际上它也具备了下载器的功能；

2、“系统文件被非法篡改，在日志中是不是看不出来？如果该系统文件正在内存中运行，比如进程、服务、驱动等，那么通常他是过不了SREng的签名验证这一关的。但是如果这个系统文件当前没有运行，也不在注册表启动项中，这时候日志是无能为力的！

3、Userinit键值决不可删除！一定要改回默认值，否则系统将无法登陆，安全模式也不行！

先看看！感觉这个有需要经验~

占位，等编辑

纠结 我发现有时候电脑中招后日志分析作用不是很大。。。。

还有就是一些流氓修改IE的更是有点困难 俄 难道是偶没学好？

===================以下内容为lqqk7回复==================
不可否认任何工具都不是万能的，但是我们不得不佩服smallfrogs的实力，在一些极端环境中SREng可能起不到任何作用，但是作者也是在不断的更新完善着这个小工具，有兴趣可以去看看作者的更新日志，至少到目前为止，应对网络中流行的病毒问题还是比较靠谱的。

至于流氓软件修改IE，需要认真查看IE加载项、进程、服务、驱动，如果主页修复后又被改回，通常是存在一个正在运行中的程序在监视并保护它的键值，仔细查找会有所发现的。

还有一些流氓软件是通过注册表权限限制了IE主页键值被改写，这种情况日志确实无能为力，需要手动找到键值修改权限即可。