回复:2011年1月19日:日志分析-讲义
能麻烦lqqk7老师给讲一下SREng软件左边那一栏几个菜单的含义吗
1、“启动项目”:注册表中是开机启动项里的东西吗,为什么有的是黑色有的是蓝色;启动文件夹是什么;计划任务是什么,我的上面显示的是SogouImeMgr.job;boot.ini是什么呢?
2、“系统恢复”:高级修复中高级手动修复是修复已知注册表错误,自动修复级别将删除所有策略项,那什么时候选择自动修复级别呢
3、“智能扫描”:如果不选择“检查模块的数字签名”,那他扫描那些信息呢?suspiciousfiles子目录在哪呀?
问的问题有点多了,希望老师给解答一下
===============以下内容为lqqk7回复:==============1、黑色代表通过验证机制的可信任文件;黑色表示未通过验证机制的未知文件;有时还会遇到红色的表示未通过验证且高度可疑的文件,通常在系统文件被病毒修改后常见;启动文件夹就是“开始——程序——启动”这个文件夹里的文件;计划任务是windows的一个功能,可以预先设置某个时间或某个周期内执行某项特定的操作,SogouImeMgr.job是搜狗输入法的计划任务;boot.ini是在你启动电脑后负责选择要进入的操作系统的文件,单系统用户一般看不到这个界面,如果安装了多系统就会在启动过程中出现选项,让用户来选择进入哪个系统,boot.ini就是这个选项的配置文件,可以设置选项名称、多个系统的安装位置、默认正常启动或是默认进入安全模式等、选项菜单的倒计时时间、超时用户未选择默认进入哪个系统等等,这些都可以在boot.ini中进行设置。是很重要的文件,不熟悉请不要随意修改,更不要擅自删除该文件。
2、这个你理解有点小错误,高级手动修复其实指的是其下方的三个按钮选项,如图
附件:
您所在的用户组无法下载或查看附件而通过那个滑块进行的修复,都属于自动修复的范畴,默认的修复级别是滑块在下方,对应的是“推荐修复级别”,如图
附件:
您所在的用户组无法下载或查看附件如果把滑块拉到上方,则是“高强修复级别”,如图
附件:
您所在的用户组无法下载或查看附件推荐修复级别:即自动修复SREng已经自动检测出的注册表异常,如文件关联错误、IE选项被篡改等;
高强修复级别:在推荐修复级别的基础上,还讲删除用户自定义的一些设置,类似于将系统设置尽可能的回复的新装时候的状态,有可能导致用户自己安装的第三方程序失效,一般不建议用这个;
3、不勾选“检查模块的数字签名”,SREng扫描的项跟勾选时其实是一样的,区别只是不会去检验进程模块的数字签名,但是依旧会把模块列举出来;
如果勾选则“自动将可疑文件复制到suspiciousfiles子目录里面”,则在SREng扫描时如果发现可疑文件,就会在SREng程序所在的相同目录下生成suspiciousfiles目录,用来存在这些可疑文件。
