对啊对啊，没接触过有点晕乎。麻烦老师能总结一下要点吗，即关键区域，病毒常发区域
还有老师，刚进行了扫描，发现浏览器加载项中有些我并没有应用过，很好奇有问题吗？谢谢老师


===============以下内容为lqqk7回复：==============
病毒可能存在于任何目录，但是多数情况下都是存在于大家共有的目录中，这也是一种隐藏的手段。
因为病毒感染一台电脑的第一步，是要创建文件，创建文件无外乎两种，第一种是在本机已有的目录中创建文件；第二种就是病毒自己先创建一个目录，再把病毒文件创建在这个目录下。试想一下，如果你打开C盘，看到莫名其妙的多出了一个目录，是不是就会感到奇怪，在好奇心的驱使下就想打开看看里面是什么，因此这种方式不利于病毒自身隐藏。
所以大多数病毒都是创建在系统本身已经有的目录下，几乎所有的windows系统用户在安装系统时都会使用默认路径，即C:\windows（或WINNT），那么病毒如果直接在这里创建文件，就不易被发现，其他一些几乎所以windows系统用户的电脑都会共有的目录还有很多，比如：
c:\windows\system32
c:\windows\system32\drivers
c:\windows\system
c:\windows\temp
c:\windows\task
c:\windows\system32
c:\Program Files
c:\Program Files\Internet Explorer
磁盘根目录
c:\Documents and Settings 及其子目录
回收站RECYCLER目录
系统还原System Volume Information目录
IE缓存目录
等等等等很多.......
包括一些常用的软件目录，这些软件几乎是每个人装机必备的，比如QQ、迅雷、WinRAR等等。同时还会利用一些隐藏技术，或是劫持正常程序、篡改系统正常文件。

所以说，经验还是最重要的，分析日志真的没什么具体的固定的方法可讲。只要你对系统关键文件、目录结构、路径、关键注册表项很熟悉，就能比较容易找出哪些不是系统自身的东西，其实日志中很大一部分项目都是正常的系统自身项，排除了这些正常的，剩下的就是第三方软件或恶意程序。再结合网络搜索和平时的经验就不难揪出病毒的小尾巴了。

应该通过主要的哪几项来判断自己的系统问题呢？（运用这个工具）


===============以下内容为lqqk7回复：==============
参考21楼的回复吧

老师，我是真的真的晕晕的感觉，看来我得一点点来了。

 附件: 您所在的用户组无法下载或查看附件
这是我电脑“启动项目”里面的日志，win7系统。请问那个<WebCheck><>  [N/A]是什么来的？？下面那个注册表项又是什么信息呢？




 附件: 您所在的用户组无法下载或查看附件


在“正在运行的进程”里面，这两个DLL是什么来的呢？？



日志分析还没消化好，就要网马解密了~~


===============以下内容为lqqk7回复：==============
{22d6f312-b0f6-11d0-94ab-0080c747e95}不晓得是啥，它是一个CLSID，可以打开注册表编辑器，到[HKEY_CLASSES_ROOT\CLSID]下搜索这个ID试试看；
至于其他的，<WebCheck>项、MFC80U.dll、MFC80CHS.dll都是写什么，我建议你首先可以尝试一下搜索，google和百度都是很好的老师，这几个都是日志里很常见的东西，去搜搜看吧，会有所收获的。
分析日志，是永远离不开丰富的经验和搜索引擎的！

那个工具区哪里下啊，我怎么下不下来啊。说的那个地址好像被链接成黄网了

===============以下内容为lqqk7回复：==============
汗。。。。。
http://www.kztechs.com/sreng/download.html

是不是只要中了毒都能在日志里面找出来？


===============以下内容为lqqk7回复：==============
不可能绝对，只能说大多数情况下可以在日志中找到蛛丝马迹。有少数内核级的病毒，是可以很好的隐藏自己的。尽管如此，SREng的日志目前还是很全面的，毕竟只是一个检测为主、辅助修复的工具，检测的方法也在不断的更新，所以多数情况下扫出的日志还是比较可靠的，这也是众多安全论坛都习惯采用SREng来扫日志的原因

1.在日志分析1里面lqqk7老师您在启动选项中划出了黄框，并指明这些启动项是病毒文件。判断标准是：一个注册表连接下面有许多键名和键值吗？
2.在驱动程序  日志分析里，您又指出除了蓝框（里面是瑞星和卡卡的信息）外，其余的驱动程序很可疑，请问您这是从服务名称判断还是根据映像路径分析得出？我们该如何分析类似情况？
3.浏览器加载项中，黄框标出了可疑文件，这些文件的共同之处在于没有“加载项名称”，这是否可以成为判断依据？对于这类文件是否有用，是否不利于系统的优化，该如何处理？
4.在正在运行的程序中，对绿框划出的可疑 加载模块的公司和版本信息基本都是[N/A]，是否这是这类可疑模块的共同属性？
5.文件关联中，是不是固定文件类型如.txt的打开方式一定固定，必须是[%SystemRoot%\SysWow64\NOTEPAD.EXE %1]。因为我发现我的日志扫描中.JS的打开方式和教程上的不一样，是[%SystemRoot%\SysWow64\WScript.exe "%1" %*]不知是否有问题？
6.在我的winsock提供者中，只有加载项名称，没有协议类型：
SogouTcpFilter
    D:\Program Files (x86)\SogouExplorer\sogouipfilter.dll(Sogou.com, UserCenter.dll)
SogouUdpFilter
    D:\Program Files (x86)\SogouExplorer\sogouipfilter.dll(Sogou.com, UserCenter.dll)
SogouRawFilter
    D:\Program Files (x86)\SogouExplorer\sogouipfilter.dll(Sogou.com, UserCenter.dll)
SogouIpFilter
    D:\Program Files (x86)\SogouExplorer\sogouipfilter.dll(Sogou.com, UserCenter.dll)
何解？
7.对于autotun.inf 分析中有一点难于理解。

 附件: 您所在的用户组无法下载或查看附件这张图片截自讲义，但是我想，既然
        open=sabc.exe
        shell\open=打开（&0）
那么 shell\open\ComMand=sabc.exe才对，为什么是ComMand=abc.exe?难道这表示双击和右键时，自动打开的是两种不同的程序？

===============以下内容为lqqk7回复：==============
1、基于对系统关键文件的熟悉，首先确认这些文件不是系统自带文件；其次看它的路径，既然不是系统文件，却存在于windows目录下，且添加启动项每次开机自动运行，不包含明确的厂商信息，通过文件名看也不是我们熟知的常见应用软件，所以认为这些是可疑文件；在看文件名，其中不乏伪装正常程序的嫌疑，例如AVP*.exe，AVP为某款杀毒软件常用文件名；*HLP32通常为window帮助文档常用的文件名；Louts*通常为IBM Louts Notes邮件客户端常用文件名，其他就不具体举例了。另外这些文件名也符合当时流行的木马群病毒的明明特征，基于上述原因，可以判断这些文件是病毒。综上所述不难看出，分析日志需要对操作系统关键目录和关键文件很熟悉，并且要熟知大众常用软件的启动项、关键进程、服务等，例如QQ、winrar、各类播放器、输入法、邮件客户端、浏览器、热门网友、主流杀软等，这样才能准确识别正常程序，并且很容易发现那些试图伪装成正常程序的病毒。同时还要对当前所流行的病毒主要特征有一定的了解，这样就很容易判断了。

2、判断理由通上，基本依靠对系统的熟悉程度和分析日志的经验；

3、不一定。要看具体的文件是什么；

4、不一定。厂商信息和版本都是文件属性中的信息，文件属性中是否一定含有这些信息要看程序员的习惯了。很多正常程序的文件也不全都包含这些信息。同时也有病毒会伪造这些信息，所以仅依靠这些判断文件是否正常，需要结合问题1中所说的那些因素综合分析；

5、不一定。没有绝对固定的打开方式，只能说是大多数情况下都采用了windows的默认打开方式，例如.txt，windows默认使用记事本打开。而你电脑与我讲义中的路径不同，应该是因为你是用的是64位系统，否则这个文件关联是不正常的。当然及时你是用了64位系统，也可以将这些关联修复为默认值即%SystemRoot%\NOTEPAD.EXE %1，也是不影响你使用的；

6、你在日志中看到有些winsock项名称后面会显示[TCP][UDP]之类的信息，大多数情况下确实是用来标识它所过滤的协议类型，但是它不是作为“协议类型”进行表述的，它实际上就是名称的一部分，这句话比较拗口，举个例子来说就是你有一个表格，这个表格有两列，第一列为名称，第二列为类型，现在有两张同样的表格，分别是：
表1：
名称          类型
ABC          [TCP]

表2：
名称                      类型
ABC        [TCP]

当你打印两个表格后，输出的内容实际上是相同的，都是“ABC        [TCP]”
但实际上是不同的，对于表一，实际上输出的是名称“ABC”，类型“[TCP]”
对于表二，输出的是名称“ABC        [TCP]”，类型无；

日志中所看到winsock部分实际上跟表二的情况类似，你看到的那些[TCP]  [UDP]并不是以协议类型的形式输出的，而是输出名称的一部分，也就是说程序员将这个winsock项命名为“ABC[TCP]”，则日志中就会输出“ABC[TCP]”，而如果程序员将其命名为“SogouTcpFilter”，则日志中看到的就是“SogouTcpFilter”

7、实际上，那可能是我当时的手误。。。。。。。
但是，这也并非完全不可能，你的解释是正确的，如果情况确实如此，那么当你双击盘符的时候会执行sabc.exe，而当你右键点击盘符并在右键菜单中选择打开，则会执行abc.exe