学习~

谢谢lqqk7老师，环境变量的问题之前一直很困惑，今天终于清楚了。

老师你好！
请问一下，为什么在电脑中的日记记录的时候，要用环境变量呢，直接用我们熟悉的路径表示不是更好让人解读吗？用环境变量会提高系统的安全性吗？还是用环境变量可以提高系统的性能呢？

===================以下内容为lqqk7回复==================
1、不是日志要使用变量，而是系统或应用程序在运行时需要使用变量，比如某个软件运行时需要创建临时文件，直接使用“C:\Documents and Settings\Administrator\Local Settings\Temp”去创建行不行呢？绝大多数情况下下这样做没问题，因为现在大多数人都把系统装在C盘，但是对于双系统的人怎么办？开发者当然可以预先设置多个路径去适应不同情况，但是永远不可能考虑到所有可能出现的环境，也会造成代码冗余降低程序执行效率。比如一万个人中只有我一个人把系统装在c:\win目录下，那么此时如果软件试图在在c:\windows下创建文件，在我的电脑上就是行不通的，因为我没有这个目录，所以就要用到环境变量，%systemroot%在那9999个人的电脑上都代表C:\windows，而在我的电脑上%systemroot%则代表C:\win，这样就可以适应所以系统环境。

再举个通俗点的例子，老师需要每个班的男生都出列，那他可以有两种方案，一是把每个班的男生姓名都喊出来，二是直接喊“全体男生出列”，显然第二种方案效率更高。这时“全体男生”就可以看作是一个变量，在一班“全体男生”可能代表“小王、小李、小张、小孙....”，而到了二班“全体男生”就代表“小刘、小陈、小高、小董....”

2、使用变量对于系统安全性没什么影响，但是会让程序适应不同的环境，提高执行效率；

老师你好！
想请问一下，在HOSTS中想免疫某一个恶意IP地址，那么是在那里修改呢？直接在分析助手里可以改吗？怎么去操作的？谢谢老师指导！

===================以下内容为lqqk7回复==================
hosts可以用来屏蔽恶意网站，但是不能用来屏蔽具体的页面网址，也不能屏蔽IP地址，他的格式是：
IP地址 域名
中间有空格分隔；

举个例子，有一个钓鱼网站域名为www.taoboa.com，这是可以这样屏蔽对他的访问：
127.0.0.1 www.taoboa.com

如果有一个正常的网站，域名为www.abcde.com，该网站的某一个页面被黑客挂马，页面地址为http://www.abcde.com/html/page.html，如果你想单独屏蔽这一个页面而不影响该站点其他页面的访问，hosts是做不到的，即只能这样写来屏蔽整站：
127.0.0.1 www.abcde.com

如果像下面这样写是没有作用的：
127.0.0.1 http://www.abcde.com/html/page.html
127.0.0.1 www.abcde.com/html/page.html

如果你想屏蔽IP，如202.106.0.20，即这样写：
127.0.0.1 202.106.0.20
实际是无效的

所以，如果你想单独屏蔽某个具体的网页，或IP，建议使用防火墙来实现！

老师好，请问一下：重启后EXE的文件关联又关联上了一个文件名随机的exe文件，而且这个文件重启前不存在。这是什么情况呢？

===================以下内容为lqqk7回复==================
存在其他活体病毒在关机前（即用户已经选择了关机或重启后）或开机后重新创建随机文件名.exe，并修改.exe文件关联；
这里说的活体病毒可能是一个运行中的进程、服务、驱动、计划任务等等；

站位先，不懂问题随后更贴！

老师你好！
看了日记分析查找病毒这一部分，我头好疼。我发现病毒会通过系统文件加载运行，也会通过不是系统文件加载运行，是不是一般情况下，若一个文件不是通过系统文件或正常系统文件加载运行的就是病毒呢？

===================以下内容为lqqk7回复==================
这问题有点难理解......实际应该也不是这样，严格来说任何程序运行都是通过系统程序来执行的，即使用户自行双击一个图标打开的程序，实际上也是由explorer.exe来调用执行的，所以说这个不能作为文件是否安全的依据。

老师请问一下！
平时我们用优盘的时候，很多人都说建一个autorun.inf文件在里面会防御病毒的攻击，这是为什么呢？病毒不就是利用系统中autorun.inf的自动播放性，来感染系统的吗？这样做为什么可以起到防御病毒的功效

呢？


===================以下内容为lqqk7回复==================
因为windows系统不允许同一目录下存在相同名称的两个或多个文件（文件夹），比如在c:\根目录下，已经存在了一个autorun.inf，无论它是一个文件还是文件夹，无论它的名称是大写还是小写，系统都不允许这里再有其他任何文件夹或文件夹命名为autorun.inf。正是利用这一点，通常在U盘中自行创建一个名为autorun.inf的文件夹，病毒就无法在这里创建同名的文件了！

但是实际上这样做的安全性并不高，对于早起的自动播放病毒来说可能有些成效，之后病毒也在不断改进，病毒可以把你创建的autorun.inf先删掉，然后再创建自己的autorun.inf，所以建议还是配合NTFS权限和杀毒软件来限制autorun.inf的创建更安全些！

老师好～日志分析看的真实眼花缭乱啊，以下有几个问题:
1.使用分析助手的时候，进程模块列表中的项目字体颜色不同，有的黑色有的红色，请问这代表什么？
2.用SREngLog分析出来的日志中自启动项比运行msconfig看到的自启动项多的多，甚至一些早已卸载的程序都在其中，这是为什么？是不是因为没有清理注册表？而且之后我再运行一遍msconfig，发现所有自启动项前面都打了勾，这又是为什么？
3.在自启动项中发现很多wlnotify.dll，在原始日志分析文本中如下：
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\crypt32chain]
    <WinlogonNotify: crypt32chain><crypt32.dll>  [(Verified)Microsoft Windows Publisher]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\cryptnet]
    <WinlogonNotify: cryptnet><cryptnet.dll>  [(Verified)Microsoft Windows Publisher]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\cscdll]
    <WinlogonNotify: cscdll><cscdll.dll>  [(Verified)Microsoft Windows Publisher]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\ScCertProp]
    <WinlogonNotify: ScCertProp><wlnotify.dll>  [(Verified)Microsoft Windows Publisher]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\Schedule]
    <WinlogonNotify: Schedule><wlnotify.dll>  [(Verified)Microsoft Windows Publisher]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\sclgntfy]
    <WinlogonNotify: sclgntfy><sclgntfy.dll>  [(Verified)Microsoft Windows Publisher]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\SensLogn]
    <WinlogonNotify: SensLogn><WlNotify.dll>  [(Verified)Microsoft Windows Publisher]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\termsrv]
    <WinlogonNotify: termsrv><wlnotify.dll>  [(Verified)Microsoft Windows Publisher]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\wlballoon]
    <WinlogonNotify: wlballoon><wlnotify.dll>  [(Verified)Microsoft Windows Publisher]
这些是什么程序？
4.在驱动程序里看到如下两个文件：
\??\C:\WINDOWS\system32\npkycryp.sys
\??\C:\WINDOWS\system32\npkcrypt.sys
他们公司都为N/A，百度了下有的说是病毒，他们到底是什么呢？

===================以下内容为lqqk7回复==================
1、黑色进程标识没有加载模块，红色进程标识加载了其他模块；


2、这是由于msconfig和SREng对禁用启动项的处理方式不同造成的；
首先msconfig只检查常规软件最常用的自启动注册表项，用msconfig禁用启动项时，其实并不是把这个启动项从注册表中彻底删除，而是把它从注册表原有位置删除，然后将这条启动项转存到[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg]，这样做的目的是在msconfig中仍能保存已经禁用的启动项，以备误操作时恢复。


而SREng检查的启动项除了msconfig检测的位置外，还有其他很多常规软件可能不常用，但经常被病毒使用的启动项，所以SREng扫出的启动项比msconfig要多，是因为它的检测面更广泛；当使用SREng禁用启动项时，也不是将其删除，而是采取在注册表键值前加分号的方式使路径失效。并且SREng在检测启动项时也会检测msconfig已经禁用的项目（即[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg]），并且把已经被msconfig禁用的项恢复到原有位置，然后再在它的键值前加入分号使路径无效。于是，当你使用SREng检测过启动项之后，再次使用msonfig查看启动项时就会发现，之前禁用的项又被勾选，但是路径前面会多出一个分号！


3、这里加载的都是一些需要在系统登陆或注销时运行的程序；


4、这两个文件是nProtect键盘加密保护程序，用于防止键盘输入密码时被木马记录，在老版本的QQ中有使用过，还有一些网游也会使用，但是不排除会有病毒伪装的可能性，可以备份后将其删除，这样如果网游登陆时出错可以恢复，也可以提取文件上报反病毒厂商分析

学习，学习！