回复:2010年7月13日:日志分析2 -讲义
谢谢lqqk7老师,今天的课程让我收获不少,这里有两个关于path部分的小问题,望解答:
1、可否手动添加path的路径?如果可以,如何做呢?
2、探讨个问题
依照讲义的内容,关于yzztimsn.dll,
按照我的理解,是否可以用windows的搜索功能,在在C:\下搜索yzztimsn.dll,应该就能得到相应的路径了,如果是病毒创建的,那么,得到的搜索结果也应该是唯一的了。不知道这样理解对不对。
实习生:panxiaoting
===================以下内容为lqqk7回复==================1、可以通过图形界面设置变量,如图:
附件:
您所在的用户组无法下载或查看附件 附件:
您所在的用户组无法下载或查看附件上半部分是针对当前登陆系统的用户有效的变量,下半部分是对所有用户生效的系统变量;
也可以通过cmd命令行设置变量,需要用到两个命令,一个是系统自带的set.exe,用它创建的变量只针对当前cmd窗口,当cmd窗口关闭后变量也就失效了,创建格式为
set 变量名=变量值
另外一个命令不是系统自带的,需要单独安装微软提供的Support Tools(可以在原版系统光盘中获取或到微软网站下载),使用其中的setx.exe设置永久变量。
也可以直接修改注册表设置变量,不过操作有风险,不介绍具体方法。
2、常规请情况下可以这样做,但是如果病毒通过技术手段也可能造成资源管理器无法找到文件的情况,而且还有最重要的一点,通常木马群都是群体大量行动的,日志中会看到几十个没有路径的文件,一个一个去搜索恐怕不现实
