12345   4  /  5  页   跳转

[讲义] 2010年7月13日:日志分析2 -讲义

收藏
本主题由 版主 狮子座小皮 于 2010-7-14 9:27:11 执行 主题置顶/取消 操作
springyun
头像
拙长孩提狮
  • 帖子:128
  • 注册: 2010-05-20
  • 来自:
发表于: 2010-07-13 14:32 | 短消息 资料
字号: 31楼

回复:2010年7月13日:日志分析2 -讲义

呵呵,老师有几个问题要问问你:
1. 注册表中的键值IsInstalled、Locale、ComponentID、CloneUser的用途?
2. 请问Adobe LM Service是什么服务?
3. 请问[PID: 3472 / s][D:\iSpeak6.5\TipWnd.exe]  [, 1, 0, 0, 1]中的TipWnd.exe是什么程序?

===================以下内容为lqqk7回复==================
1、具体指的是在什么位置下的键值呢?不同的注册表项下的键值名有时虽然相同,但作用却有所不同;
通常IsInstalled用来标识一个组件是否已在本机安装,Locale通常用来标识区域语言,ComponentID标识组件名称,CloneUser不太清楚;


2、是Adobe公司相关软件的激活验证服务,是很多adobe软件的必备组件,比如photshop,如果该服务工作不正常可能会造成软件不能激活;


3、首先可以确定不是系统程序,应该是用户自行安装的第三方软件,最简单的方法就是打开安装目录,即D:\iSpeak6.5,一款正规的软件通常会带有版本更新日志或帮助说明文档,进入目录打开一看便知,另外也可以直接搜索iSpeak,可知是一款语音聊天软件
最后编辑lqqk7 最后编辑于 2010-07-13 17:22:49
gototop
 
魂锅
头像
初生襁褓狮
  • 帖子:52
  • 注册: 2010-06-05
  • 来自:
发表于: 2010-07-13 14:40 | 短消息 资料
字号: 32楼

回复:2010年7月13日:日志分析2 -讲义

来晚了,学习ing
gototop
 
jj1234567
头像
初生襁褓狮
  • 帖子:112
  • 注册: 2010-05-25
  • 来自:
发表于: 2010-07-13 14:57 | 短消息 资料
字号: 33楼

回复:2010年7月13日:日志分析2 -讲义

请问老师,删除加载在系统文件上的dll病毒文件时,是否需要结束对应的系统进程?如果需要的话,影响到系统运行该怎么办?

===================以下内容为lqqk7回复==================
首先确定进程是什么,如果是病毒进程,当然可以结束掉之后再处理,这对系统不会有什么影响;
如果是系统进程,尤其是一些核心进程,在不能结束的前提下,可以尝试使用各种辅助工具来处理,比如利用工具先将进程中的病毒模块移除,或者用暴力删除工具直接干掉文件;
最后编辑lqqk7 最后编辑于 2010-07-14 00:17:39
gototop
 
骑行天下
头像
飘泊而立狮
  • 帖子:526
  • 注册: 2009-06-21
  • 来自:猎户座
实习生小红花
发表于: 2010-07-13 15:20 | 短消息 资料
字号: 34楼

回复:2010年7月13日:日志分析2 -讲义

在日志分析里说

 附件: 您所在的用户组无法下载或查看附件
但是我的系统分析完后,服务选项里有这么多的变量开头的路径,这是怎么回事。讲义中只说让我们注意这种情况,但没有说出现这种情况是怎么回事。
希望老师能讲讲!

 附件: 您所在的用户组无法下载或查看附件

===================以下内容为lqqk7回复==================
首先需要了解,并不是SREng把原有路径变成了变量形式,而是这个路径在注册表中就是以变量的形式存在的,SREng做的工作就是检查这些注册表项,将其中的数据以日志的形式呈现出来,如果这个服务的注册表键值记录的路径是c:\windows\system32......这样的形式,日志中就会显示成c:\windows\system32......这样,以一个xp下的系统服务举例,如图:

 附件: 您所在的用户组无法下载或查看附件
由图可见,该服务在注册表的键值本身就是以变量的形式呈现的,所以日志也会这样显示。

至于微软或其他软件开发商为什么使用变量而不是用绝对路径,前面楼层的答疑中已经解释过了,是为了适应不同的系统环境,有的人将系统安装在c:\windows目录,而有的人将系统安装在c:\winxp目录,这时如果使用c:\windows\system32这样的绝对路径,对于后者来说就是没有意义的了
最后编辑lqqk7 最后编辑于 2010-07-13 17:30:43
gototop
 
在校学生
头像
初生襁褓狮
  • 帖子:70
  • 注册: 2010-03-09
  • 来自:
发表于: 2010-07-13 15:24 | 短消息 资料
字号: 35楼

回复: 2010年7月13日:日志分析2 -讲义

纠结了,在智能扫描下,到Windows 安全更新检查这里一直停到这里,20分钟后还是在Windows 安全更新检查这里,我想问下老师这是怎么啦!!!
 附件: 您所在的用户组无法下载或查看附件
还有就是在系统修复这里-高级修复-API HOOK检查这个主要是用来干什么的?  谢谢老师!

===================以下内容为lqqk7回复==================
1、扫描前尽量关闭其他第三方应用软件,使用官方下载的SREng扫描,运行SREng时如果安全软件出现某些拦截提示,应该选择允许或放行

2、API HOOK检测请参考官方帮助文档:
http://www.kztechs.com/sreng/help2/apihook.htm
最后编辑lqqk7 最后编辑于 2010-07-14 09:52:50
gototop
 
zeyu110
头像
健康舞勺狮
  • 帖子:301
  • 注册: 2010-05-23
  • 来自:
实习生小红花
发表于: 2010-07-13 15:26 | 短消息 资料
字号: 36楼

回复:2010年7月13日:日志分析2 -讲义

今天有作业吗?

===================以下内容为lqqk7回复==================
没有
最后编辑lqqk7 最后编辑于 2010-07-14 09:53:19
gototop
 
zeyu110
头像
健康舞勺狮
  • 帖子:301
  • 注册: 2010-05-23
  • 来自:
实习生小红花
发表于: 2010-07-13 15:41 | 短消息 资料
字号: 37楼

回复:2010年7月13日:日志分析2 -讲义

我们发现日志有问题了,我们就直接在注册表里修改吗?
比如:
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon]
<Userinit><C:\WINDOWS\System32\userinit.exe,,"D:\HFEE\SVOHOST.EXE" un userinit.exe>  [File is missing]

我们就直接去[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon],找到Userinit,他是个键值吗?我们要把它改为改成c:\windows\system32\userinit.exe,是把<C:\WINDOWS\System32\userinit.exe,,"D:\HFEE\SVOHOST.EXE" un userinit.exe>  [File is missing]全部修改为c:\windows\system32\userinit.exe吗?不太明白,请老师指点~谢谢


===================以下内容为lqqk7回复==================
1、对注册表操作很熟悉的话,可以到注册表中直接操作,但是如果是在论坛帮助别人分析日志的话,一般不能直接确定对方是否具备这种能力。所以推荐使用更安全简便的第三方工具辅助操作,比如SREng本身就具备这样的功能,可以直接删除、编辑启动项。

2、修改userinit的值指的是将其值改为
c:\windows\system32\userinit.exe,
注意后面的逗号不能少!

更改之后再次扫描日志,日志是这样体现的:
<Userinit><C:\WINDOWS\system32\userinit.exe,>  [(Verified)Microsoft Windows Component Publisher]
最后编辑lqqk7 最后编辑于 2010-07-14 10:01:52
gototop
 
273_15k
头像
拙长孩提狮
  • 帖子:219
  • 注册: 2010-06-09
  • 来自:
发表于: 2010-07-13 15:54 | 短消息 资料
字号: 38楼

回复:2010年7月13日:日志分析2 -讲义

首先 感谢lqqk7  我想提问一个小小的问题啊

怎样设置可以让开机时不运行某些服务啊,可以使某些服务在需要的时候开启?

===================以下内容为lqqk7回复==================
可以通过services.msc设置或直接通过SREng设置!

可以设置服务的启动类型,可设置的有三种类型:
1、自动(Auto Start):开机自动运行
2、手动(Manual Start):开机不自动启动,当你需要用到它所支持的功能时,需要手动启动它,或者由其他服务激活;(即有些服务存在依附关系可以被激活,有些则需要手动去运行)
3、禁用(Disabled):无论什么时候,只要启动类型是禁用,该服务都不会启动;

在Win7中还多了一个启动类型:自动(延时启动),这个是在开机时不会立即启动,而是延时一段时间后再启动,主要是针对一些配置不高的电脑,避免开机时运行的程序较多使开机速度缓慢;


 附件: 您所在的用户组无法下载或查看附件


 附件: 您所在的用户组无法下载或查看附件
最后编辑lqqk7 最后编辑于 2010-07-14 10:15:24
gototop
 
zeyu110
头像
健康舞勺狮
  • 帖子:301
  • 注册: 2010-05-23
  • 来自:
实习生小红花
发表于: 2010-07-13 15:59 | 短消息 资料
字号: 39楼

回复:2010年7月13日:日志分析2 -讲义

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\0.EXE]
    <IFEO[0.EXE]><C:\WINDOWS\system32\csrss.exe>  [(Verified)Microsoft Windows Component Publisher]

这个里面的[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\0.EXE],其中的0.EXE,是个键值还是个可展开的文件夹?是不是文件夹,展开后键值为 <IFEO[0.EXE]><C:\WINDOWS\system32\csrss.exe>  [(Verified)Microsoft Windows Component Publisher]
这个有问题,是不是系统不会出现0.EXE,还是因为IFEO[0.EXE]?
还有IFEO是什么意思?映象劫持病毒?是不是有IFEO的都是病毒?

===================以下内容为lqqk7回复==================
1、这个给你看截图就容易理解了,对于你说的这个
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\0.EXE]
    <IFEO[0.EXE]><C:\WINDOWS\system32\csrss.exe>  [(Verified)Microsoft Windows Component Publisher]
在注册表中是这样的

 附件: 您所在的用户组无法下载或查看附件

2、不是所有的IFEO都是病毒,只是普通用户基本上不会用到这里,反而会被病毒广泛应用,IFEO本身是用来调试程序的,具体可参考http://baike.baidu.com/view/1209782.htm
最后编辑lqqk7 最后编辑于 2010-07-14 10:52:18
gototop
 
zeyu110
头像
健康舞勺狮
  • 帖子:301
  • 注册: 2010-05-23
  • 来自:
实习生小红花
发表于: 2010-07-13 16:02 | 短消息 资料
字号: 40楼

回复:2010年7月13日:日志分析2 -讲义

还有,是不是[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\  这个后面出现的EXE都是有问题的?是不是都是有病毒添加的?

===================以下内容为lqqk7回复==================
不一定,要看其子项名称是什么
最后编辑lqqk7 最后编辑于 2010-07-14 10:40:07
gototop
 
<<上一主题|下一主题>>
12345   4  /  5  页   跳转
页面顶部
Powered by Discuz!NT