运用助手软件方便分析SRENGLOG
本文使用的是SREngLog分析助手1.2特别版,目前已经有修正版,可以去作者的博客
http://egomoo.i170.cn/去下载。
首先通过“剪贴板导入”或“文件导入”将自己或别人用sreng扫描的日志导入助手。
然后点读取分析,助手会自动将日志中的内容分类显示到各页,你就可以方便地逐项目研究分析(比起原来从头到尾看一大篇日志好多了,真的感谢作者)。
当然分析还是要你自己来,助手作用只是自动分类而不是自动分析,所以不要以为自己去最后点个获得分析报告就行了(助手不是杀软,就象sreng也只是辅助工具,不要认为它没什么用,别以杀软的高度要求它,就象regedit、msconfig一样是辅助工具,你敢说regedit、msconfig没用)。
我的习惯是按注册表启动项-服务-驱动-浏览器加载项-进程-其它的顺序来分析,这也是日志本来的顺序,但助手是把进程放在最前面,后来发现特别版有点小BUG,使我又恢复旧的顺序(现在作者应该已经修正了)。
分析时可以在条目上点右键,将认为是病毒的要删除的项目添加到删除列表中去。
如果不确定是否为病毒,可以去网上查,在可疑条目上点右键,在菜单中可以选择“百度搜索文件”或“Google搜索文件”,这时助手会自动打开IE,调用利用百度和Google来搜索你选定的文件名或进程名。个人推荐用Google,因为不少进程在英文网站上有较详细的说明,而百度上查不到。在搜索时,先会看到别人扫描出来的日志中有同样的文件、进程,看下别的高手怎么答复的,也是一种学习过程,当然不是说全对,可以作参考。
有时点右键时,菜单中的“百度”和“Google”项是灰色的不可选,这时你只要在条目上再点下左键,使其变成可编辑状态,就可以手工选择复制文件名,甚至整个路径,然后再到网上搜索。我比较喜欢这个,因为我常用的是firefox或Opera,自动打开IE搜索不是我愿意的。
最后就是到“分析结论报告”一页,点“获取分析报告”,就会将前面你分析的结果导出来,如果你前面什么也没做,这里导出的也是空的,别指望助手帮你自动分析。导出的结论,还是要你手动修改下个别文件路径的,同时“其它修复”这一项是不会自动出现在结论中的,所以有关文件关联、autorun.inf、hosts、winsock、隐藏进程等要修复的内容还是要你手工复制到结论报告中,这样才能使整个报告更完善。
报告出来后选“复制到剪贴板”,然后就可以复制到其它地方,如论坛的帖子上。助手分析使用过程到此结束。
其它功能:
注意上面图中的“网络呢称”,你可以把自己的网名,或论坛的ID填入,再点“保存信息设置”,这样你的报告就有你的签名了,否则默认只是助手作者的名字。
在助手文件夹中有config.ini文件,里面是默认出现在报告中的文字,你也可以修改成自己的需要的文字,,还有两个文本是常用信息,方便你自己添加到报告中的,也可由你自己设定。
最后再强调一遍,SREng、SREngLog助手都是辅助工具,个人认为是不错的工具,但绝不要以杀软的要求来要求它,它的作用是提供系统日志,供自己或别人分析用,不要认为这没用、麻烦,提供一篇日志,不一定能完全解决问题,但一定比你干说问题或只报个病毒名字有效。
用户系统信息:Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1)
