1   1  /  1  页   跳转

[练习] 7月9日 日志分析 练习8

收藏
本主题由 大版主 lqqk7 于 2009-7-9 9:54:45 执行 设置高亮 操作
lqqk7
头像
社区嘉宾
  • 帖子:4876
  • 注册: 2006-03-15
  • 来自:
发表于: 2009-07-09 09:53 | 只看楼主 短消息 资料
字号: 1楼

7月9日 日志分析 练习8

即日起每日会给大家提供一些染毒环境的SREng日志,因为部分实习生是第一次接触SREng这个工具,对日志分析不熟悉,如果冒然跑去反病毒区回帖,一旦出现误判,可能对求助者不利,因此采用这种“内部”交流的方式,希望大家能够多练习,真正分析日志的方法是靠自己实践摸索出来的!

注:日志分析练习情况与大家的实习期总成绩没有关联,请大家不要有顾虑,放心大胆的练习!


 附件: 您所在的用户组无法下载或查看附件


========以下为参考分析结果========
异常项见附件(仅保留日志中可疑度较高的项)

注意:
1、C:\WINDOWS\System32\spooIsv.exe,一看仔细,红色的字母是I,而不是L,显然是伪装spoolsv.exe的;
2、winsock虽然异常,但实际上是nod32杀毒软件的网络拦截模块,不要去删除和修复;

 附件: 您所在的用户组无法下载或查看附件
最后编辑酷卡 最后编辑于 2009-07-28 17:14:28
分享到:
gototop
 
精神病院看门的
头像
禁止访问
  • 帖子:346
  • 注册: 2009-06-11
  • 来自:
发表于: 2009-07-09 21:38 | 短消息 资料
字号: 2楼

回复: 7月9日 日志分析 练习8

该用户帖子内容已被屏蔽
青春就像卫生纸 用着用着就没有了……
gototop
 
凡尘之沙
头像
叱咤花甲狮
  • 帖子:6814
  • 注册: 2008-09-14
  • 来自:安徽 蚌埠
论坛8周年活动礼物
发表于: 2009-07-09 23:30 | 短消息 资料
字号: 3楼

回复: 7月9日 日志分析 练习8

***** 该内容需回复才可浏览 *****
gototop
 
Lighting_Cui
头像
自信弱冠狮
  • 帖子:391
  • 注册: 2009-06-10
  • 来自:火星
发表于: 2009-07-10 02:37 | 短消息 资料
字号: 4楼

回复:7月9日 日志分析 练习8

以下地方值得怀疑。。跪求点评。。


启动项目
注册表

    <bgswitch><C:\WINDOWS\system32\bgswitch.exe>  []
    <Spooler SubSystem App><C:\WINDOWS\System32\spooIsv.exe>  []



==================================
驱动程序

[Secdrv / Secdrv][Stopped/Manual Start]
  <System32\DRIVERS\secdrv.sys><N/A>
[SKNFW / SKNFW][Running/System Start]
  <\??\C:\WINDOWS\System32\Drivers\SKNFW.sys><N/A>
[SkyProcs / SkyProcs][Running/Manual Start]
  <\??\D:\Program Files\SkyNet\FireWall\SkyProcs.sys><N/A>
gototop
 
merrk_chuan
头像
飘泊而立狮
  • 帖子:845
  • 注册: 2009-06-07
  • 来自:
发表于: 2009-07-10 12:55 | 短消息 资料
字号: 5楼

回复: 7月9日 日志分析 练习8

***** 该内容需回复才可浏览 *****
gototop
 
基牛
头像
强壮不惑狮
  • 帖子:841
  • 注册: 2009-06-19
  • 来自:
发表于: 2009-07-10 15:11 | 短消息 资料
字号: 6楼

回复: 7月9日 日志分析 练习8

***** 该内容需回复才可浏览 *****
gototop
 
daemonz
头像
飘泊而立狮
  • 帖子:563
  • 注册: 2009-05-15
  • 来自:
发表于: 2009-07-10 20:30 | 短消息 资料
字号: 7楼

回复: 7月9日 日志分析 练习8

可疑的文件:
c:\windows\system32\spooisv.exe

[Spooler SubSystem App]    <C:\WINDOWS\System32\spooIsv.exe>

c:\windows\system32\drivers\secdrv.sys 可能被感染
最后编辑daemonz 最后编辑于 2009-07-10 20:35:49
gototop
 
零度的穷浪漫
头像
自信弱冠狮
  • 帖子:499
  • 注册: 2009-06-25
  • 来自:
09欢乐圣诞
发表于: 2009-07-30 14:58 | 短消息 资料
字号: 8楼

回复:7月9日 日志分析 练习8

1.<Spooler SubSystem App><C:\WINDOWS\System32\spooIsv.exe>  []
2.[Secdrv / Secdrv][Stopped/Manual Start]
  <System32\DRIVERS\secdrv.sys><N/A>
[SKNFW / SKNFW][Running/System Start]
  <\??\C:\WINDOWS\System32\Drivers\SKNFW.sys><N/A>
[SkyProcs / SkyProcs][Running/Manual Start]
  <\??\D:\Program Files\SkyNet\FireWall\SkyProcs.sys><N/A>
3.[相关站点]
  {c95fe080-8f5d-11d2-a20b-00aa003c157a} <, N/A>
4.[PID: 740][C:\WINDOWS\system32\svchost.exe]  [Microsoft Corporation, 5.1.2600.0 (xpclient.010817-1148)]
    [D:\Eset\pr_imon.dll]  [N/A, ]
[PID: 812][C:\WINDOWS\System32\svchost.exe]  [Microsoft Corporation, 5.1.2600.0 (xpclient.010817-1148)
    [D:\Eset\pr_imon.dll]  [N/A, ]
[PID: 868][C:\WINDOWS\System32\svchost.exe]  [Microsoft Corporation, 5.1.2600.0 (xpclient.010817-1148)]
    [C:\WINDOWS\System32\imon.dll]  [Eset , 2, 51, 26 ]
    [D:\Eset\pr_imon.dll]  [N/A, ]
[PID: 1280][D:\Eset\nod32kui.exe]  [Eset , 2, 51, 26 ]
    [D:\Eset\nod32rui.dll]  [N/A, ]
    [D:\Eset\pr_dmon.dll]  [N/A, ]
    [D:\Eset\pr_emon.dll]  [N/A, ]
    [D:\Eset\pr_imon.dll]  [N/A, ]
    [D:\Eset\pr_upd.dll]  [N/A, ]
5.特殊特权被允许: SeLoadDriverPrivilege [PID = 300, C:\WINDOWS\SYSTEM32\SPOOISV.EXE]
gototop
 
乐陶猪
头像
拙长孩提狮
  • 帖子:127
  • 注册: 2009-07-02
  • 来自:
发表于: 2009-08-09 21:37 | 短消息 资料
字号: 9楼

回复:7月9日 日志分析 练习8

[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run]
    <Spooler SubSystem App><C:\WINDOWS\System32\spooIsv.exe>  []

[Secdrv / Secdrv][Stopped/Manual Start]
  <System32\DRIVERS\secdrv.sys><N/A>

[PID: 740][C:\WINDOWS\system32\svchost.exe]  [Microsoft Corporation, 5.1.2600.0 (xpclient.010817-1148)]
    [D:\Eset\pr_imon.dll]  [N/A, ]
[PID: 812][C:\WINDOWS\System32\svchost.exe]  [Microsoft Corporation, 5.1.2600.0 (xpclient.010817-1148)]
    [D:\Eset\pr_imon.dll]  [N/A, ]
[PID: 868][C:\WINDOWS\System32\svchost.exe]  [Microsoft Corporation, 5.1.2600.0 (xpclient.010817-1148)]
    [D:\Eset\pr_imon.dll]  [N/A, ]
[PID: 1280][D:\Eset\nod32kui.exe]  [Eset , 2, 51, 26 ]
    [D:\Eset\pr_dmon.dll]  [N/A, ]
    [D:\Eset\pr_emon.dll]  [N/A, ]
    [D:\Eset\pr_imon.dll]  [N/A, ]
    [D:\Eset\pr_upd.dll]  [N/A, ]
[PID: 1356][D:\Eset\nod32krn.exe]  [Eset , 2, 51, 26 ]
    [D:\Eset\pr_dmon.dll]  [N/A, ]
    [D:\Eset\pr_emon.dll]  [N/A, ]
    [D:\Eset\pr_imon.dll]  [N/A, ]
    [D:\Eset\pr_upd.dll]  [N/A, ]
[PID: 300][C:\WINDOWS\System32\spooIsv.exe]  [N/A, ]
    [D:\Eset\pr_imon.dll]  [N/A, ]
    [D:\Eset\pr_imon.dll]  [N/A, ]

==================================
进程特权扫描
特殊特权被允许: SeLoadDriverPrivilege [PID = 300, C:\WINDOWS\SYSTEM32\SPOOISV.EXE]
最后编辑乐陶猪 最后编辑于 2009-08-09 21:42:56
gototop
 
<<上一主题|下一主题>>
1   1  /  1  页   跳转
页面顶部
Powered by Discuz!NT