123   1  /  3  页   跳转

[练习] 7月16日 日志分析 练习1

收藏
本主题由 大版主 lqqk7 于 2009-7-16 17:10:20 执行 设置高亮 操作
lqqk7
头像
社区嘉宾
  • 帖子:4876
  • 注册: 2006-03-15
  • 来自:
发表于: 2009-07-16 16:59 | 只看楼主 短消息 资料
字号: 1楼

7月16日 日志分析 练习1

即日起每日会给大家提供一些染毒环境的SREng日志,因为部分实习生是第一次接触SREng这个工具,对日志分析不熟悉,如果冒然跑去反病毒区回帖,一旦出现误判,可能对求助者不利,因此采用这种“内部”交流的方式,希望大家能够多练习,真正分析日志的方法是靠自己实践摸索出来的!

注:日志分析练习情况与大家的实习期总成绩没有关联,请大家不要有顾虑,放心大胆的练习!

附件附件:

您所在的用户组无法下载或查看附件

最后编辑酷卡 最后编辑于 2009-07-28 17:06:02
分享到:
gototop
 
lqqk7
头像
社区嘉宾
  • 帖子:4876
  • 注册: 2006-03-15
  • 来自:
发表于: 2009-07-16 17:01 | 只看楼主 短消息 资料
字号: 2楼

回复: 7月16日 日志分析 练习1

参考解决方案(摘自原求助帖)
***** 该内容需回复才可浏览 *****
gototop
 
幽灵楠
头像
自信弱冠狮
  • 帖子:450
  • 注册: 2008-05-21
  • 来自:
发表于: 2009-07-16 17:54 | 短消息 资料
字号: 3楼

回复:7月16日 日志分析 练习1

我来对对答案,看看。
scvhost。exe 够滑头的 呵呵。,
最后编辑幽灵楠 最后编辑于 2009-07-16 17:59:43
gototop
 
smallyou93
头像
卡卡反病毒小组
  • 帖子:1545
  • 注册: 2008-12-14
  • 来自:
发表于: 2009-07-16 18:11 | 短消息 资料
字号: 4楼

回复:7月16日 日志分析 练习1

原来剑盟的
最后编辑smallyou93 最后编辑于 2009-07-16 18:12:11
gototop
 
daemonz
头像
飘泊而立狮
  • 帖子:563
  • 注册: 2009-05-15
  • 来自:
发表于: 2009-07-17 14:37 | 短消息 资料
字号: 5楼

回复: 7月16日 日志分析 练习1

修复这两个文件:
d:\windows\system32\comres.dll
d:\windows\system32\userinit.exe
删除这几个可疑文件:
d:\windows\system32\scvhost.exe
d:\windows\system32\drivers\pcidump.sys
d:\windows\system32\drivers\mpfilt.sys
d:\windows\system32\drivers\asyncmac.sys
E:\autorun.inf
E:\recycle.{645FF040-5081-101B-9F08-00AA002F954E}\rav32.exe


修复 注册表:
[RsTray]    <D:\WINDOWS\system32\scvhost.exe>
[RsTray]    <D:\WINDOWS\system32\scvhost.exe>
[{CEBB8F8A-308B-43E9-9789-B6FD6BE1BD97}]    <D:\WINDOWS\system32\v54M9wWBuNGTf2m.dll>
[{B8898C49-7B3A-4306-A9EF-8E186EDEE5EA}]    <D:\WINDOWS\system32\Qh6xX7VN48sVPnK.dll>
[{762D618C-E2CB-4217-8275-03302A93073F}]    <D:\WINDOWS\fonts\zEfE48cw9EmcFaR.fon>

驱动:
[pcidump / pcidump]    <\??\D:\WINDOWS\system32\drivers\pcidump.sys>
[RAS Asynchronous Media Driver / AsyncMac]    <system32\DRIVERS\asyncmac.sys>
[mpfilt / mpfilt]    <\??\D:\WINDOWS\system32\drivers\mpfilt.sys>

E盘的autorun
最后编辑daemonz 最后编辑于 2009-07-17 14:41:50
gototop
 
gtyre2
头像
快乐黄口狮
  • 帖子:179
  • 注册: 2009-07-02
  • 来自:
发表于: 2009-07-18 13:45 | 短消息 资料
字号: 6楼

回复:7月16日 日志分析 练习1

对对答案
gototop
 
想成为狼的兔子
头像
自信弱冠狮
  • 帖子:347
  • 注册: 2009-01-21
  • 来自:
发表于: 2009-07-18 14:02 | 短消息 资料
字号: 7楼

回复:7月16日 日志分析 练习1

可疑文件
system32\DRIVERS\asyncmac.sys
\SystemRoot\system32\DRIVERS\d347bus.sys
\SystemRoot\System32\Drivers\d347prt.sys
\??\D:\WINDOWS\system32\drivers\pcidump.sys\?
?\D:\WINDOWS\system32\drivers\mpfilt.sys
%SystemRoot%\System32\WScript.exe
recycle.{645FF040-5081-101B-9F08-00AA002F954E}\rav32.exe
D:\WINDOWS\system32\COMRes.dllD:\WINDOWS\fonts\zEfE48cw9EmcFaR.fon
D:\WINDOWS\system32\Qh6xX7VN48sVPnK.dll
D:\WINDOWS\system32\v54M9wWBuNGTf2m.dll
启动项目 -- 注册表之如下项删除:
[{762D618C-E2CB-4217-8275-03302A93073F}]    <D:\WINDOWS\fonts\zEfE48cw9EmcFaR.fon>
[{B8898C49-7B3A-4306-A9EF-8E186EDEE5EA}]    <D:\WINDOWS\system32\Qh6xX7VN48sVPnK.dll>
[{CEBB8F8A-308B-43E9-9789-B6FD6BE1BD97}]    <D:\WINDOWS\system32\v54M9wWBuNGTf2m.dll>
最后编辑想成为狼的兔子 最后编辑于 2009-07-18 14:05:28
gototop
 
我是天边的风
头像
拙长孩提狮
  • 帖子:150
  • 注册: 2009-06-30
  • 来自:
发表于: 2009-07-20 14:20 | 短消息 资料
字号: 8楼

回复: 7月16日 日志分析 练习1

对答案
gototop
 
学飞的龙
头像
飘泊而立狮
  • 帖子:541
  • 注册: 2009-06-25
  • 来自:杭州
发表于: 2009-07-20 16:38 | 短消息 资料
字号: 9楼

回复:7月16日 日志分析 练习1

系统盘在D,用冰刃下载删除
d:\windows\system32\scvhost.exe
d:\windows\system32\userinit.exe  替换
d:\windows\system32\comres.dll  替换
d:\program files\via\viaudioi\envyadeck\envy24api.dll
d:\program files\via\viaudioi\envyadeck\enmixcpl.exe 1
d:\windows\fonts\zefe48cw9emcfar.fon
d:\windows\system32\qh6xx7vn48svpnk.dll
d:\windows\system32\v54m9wwbungtf2m.dll
d:\windows\system32\drivers\d347prt.sys
d:\windows\system32\drivers\d347bus.sys
d:\windows\system32\drivers\pcidump.sys
d:\windows\system32\drivers\mpfilt.sys
e:\autorun.inf
e:\recycle.{645FF040-5081-101B-9F08-00AA002F954E}\rav32.exe

2.删除重启后使用SREng修复下面各项:

    启动项目 -- 注册表之如下项删除:
[RsTray]    <D:\WINDOWS\system32\scvhost.exe>
[EnvyHFCPL]    <D:\Program Files\VIA\VIAudioi\EnvyADeck\EnMixCPL.exe 1>
[{762D618C-E2CB-4217-8275-03302A93073F}]    <D:\WINDOWS\fonts\zEfE48cw9EmcFaR.fon>
[{B8898C49-7B3A-4306-A9EF-8E186EDEE5EA}]    <D:\WINDOWS\system32\Qh6xX7VN48sVPnK.dll>
[{CEBB8F8A-308B-43E9-9789-B6FD6BE1BD97}]    <D:\WINDOWS\system32\v54M9wWBuNGTf2m.dll>
[Themes Setup]    <%SystemRoot%\system32\regsvr32.exe /s /n /i:/UserInstall %SystemRoot%\system32\themeui.dll>

    启动项目 -- 服务-- 驱动程序之如下项禁用:
[d347prt / d347prt]    <\SystemRoot\System32\Drivers\d347prt.sys>
[d347bus / d347bus]    <\SystemRoot\system32\DRIVERS\d347bus.sys>
[pcidump / pcidump]    <\??\D:\WINDOWS\system32\drivers\pcidump.sys>
[mpfilt / mpfilt]    <\??\D:\WINDOWS\system32\drivers\mpfilt.sys>
最后编辑学飞的龙 最后编辑于 2009-07-20 16:40:59
没有生而知之,只有学而知之!
gototop
 
clnfhd
头像
拙长孩提狮
  • 帖子:128
  • 注册: 2006-08-06
  • 来自:
发表于: 2009-07-20 20:50 | 短消息 资料
字号: 10楼

回复:7月16日 日志分析 练习1

对一下答案
gototop
 
<<上一主题|下一主题>>
123   1  /  3  页   跳转
页面顶部
Powered by Discuz!NT