12   1  /  2  页   跳转

[练习] 7月16日 日志分析 练习3

收藏
本主题由 大版主 lqqk7 于 2009-7-16 17:10:20 执行 设置高亮 操作
lqqk7
头像
社区嘉宾
  • 帖子:4876
  • 注册: 2006-03-15
  • 来自:
发表于: 2009-07-16 17:03 | 只看楼主 短消息 资料
字号: 1楼

7月16日 日志分析 练习3

即日起每日会给大家提供一些染毒环境的SREng日志,因为部分实习生是第一次接触SREng这个工具,对日志分析不熟悉,如果冒然跑去反病毒区回帖,一旦出现误判,可能对求助者不利,因此采用这种“内部”交流的方式,希望大家能够多练习,真正分析日志的方法是靠自己实践摸索出来的!

注:日志分析练习情况与大家的实习期总成绩没有关联,请大家不要有顾虑,放心大胆的练习!

附件附件:

您所在的用户组无法下载或查看附件

最后编辑酷卡 最后编辑于 2009-07-28 17:06:34
分享到:
gototop
 
lqqk7
头像
社区嘉宾
  • 帖子:4876
  • 注册: 2006-03-15
  • 来自:
发表于: 2009-07-16 17:07 | 只看楼主 短消息 资料
字号: 2楼

回复: 7月16日 日志分析 练习3

参考解决方案(摘自原求助帖)
***** 该内容需回复才可浏览 *****
gototop
 
daemonz
头像
飘泊而立狮
  • 帖子:563
  • 注册: 2009-05-15
  • 来自:
发表于: 2009-07-17 15:09 | 短消息 资料
字号: 3楼

回复: 7月16日 日志分析 练习3

可疑文件:
c:\windows\system32\e661be\1dc444.exe
c:\users\leonna\appdata\local\temp\e_n4\dp1.fne
c:\users\leonna\appdata\local\temp\e_n4\eapi.fne
c:\users\leonna\appdata\local\temp\e_n4\htmlview.fne
c:\users\leonna\appdata\local\temp\e_n4\internet.fne
c:\users\leonna\appdata\local\temp\e_n4\krnln.fnr
c:\users\leonna\appdata\local\temp\e_n4\shell.fne
c:\users\leonna\appdata\local\temp\e_n4\spec.fne
c:\windows\system32\2f0777\hx-2f077.exe
c:\windows\system32\2f0777\dp1.fne
c:\windows\system32\2f0777\eapi.fne
c:\windows\system32\2f0777\krnln.fnr

注册表启动项目:
[1DC444]    <C:\Windows\system32\E661BE\1DC444.EXE>
启动文件夹
[1DC444]    <C:\Users\leonna\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\1DC444.lnk>
[1DC444]    <C:\Users\leonna\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\1DC444.lnk>
最后编辑daemonz 最后编辑于 2009-07-17 15:10:26
gototop
 
daemonz
头像
飘泊而立狮
  • 帖子:563
  • 注册: 2009-05-15
  • 来自:
发表于: 2009-07-17 15:16 | 短消息 资料
字号: 4楼

回复: 7月16日 日志分析 练习3

那两个 exe 加载的东东没有问题吗?
gototop
 
gtyre2
头像
快乐黄口狮
  • 帖子:179
  • 注册: 2009-07-02
  • 来自:
发表于: 2009-07-18 13:49 | 短消息 资料
字号: 5楼

回复:7月16日 日志分析 练习3

看不懂
gototop
 
Ass_Frog
头像
自信弱冠狮
  • 帖子:591
  • 注册: 2009-05-16
  • 来自:
发表于: 2009-07-18 15:32 | 短消息 资料
字号: 6楼

回复:7月16日 日志分析 练习3

.fne
是什么类型的文件啊?

俺就是那传说中的土耳其怪婴!
gototop
 
想成为狼的兔子
头像
自信弱冠狮
  • 帖子:347
  • 注册: 2009-01-21
  • 来自:
发表于: 2009-07-18 15:32 | 短消息 资料
字号: 7楼

回复:7月16日 日志分析 练习3

病毒文件
C:\Windows\system32\2F0777\HX-2F077.EXE
C:\Windows\System32\E661BE\1DC444.EXE
C:\Users\leonna\AppData\Local\Temp\E_N4\dp1.fne
C:\Users\leonna\AppData\Local\Temp\E_N4\eAPI.fne
C:\Users\leonna\AppData\Local\Temp\E_N4\HtmlView.fne
C:\Users\leonna\AppData\Local\Temp\E_N4\internet.fne
C:\Users\leonna\AppData\Local\Temp\E_N4\krnln.fnr
C:\Users\leonna\AppData\Local\Temp\E_N4\shell.fne
C:\Users\leonna\AppData\Local\Temp\E_N4\spec.fne
C:\Windows\system32\2F0777\dp1.fne
C:\Windows\system32\2F0777\eAPI.fne
C:\Windows\system32\2F0777\krnln.fnr
gototop
 
我是天边的风
头像
拙长孩提狮
  • 帖子:150
  • 注册: 2009-06-30
  • 来自:
发表于: 2009-07-20 14:24 | 短消息 资料
字号: 8楼

回复:7月16日 日志分析 练习3

因为没有网  不得不在网吧下载回去慢慢 对答案
gototop
 
学飞的龙
头像
飘泊而立狮
  • 帖子:541
  • 注册: 2009-06-25
  • 来自:杭州
发表于: 2009-07-20 18:15 | 短消息 资料
字号: 9楼

回复:7月16日 日志分析 练习3

建议使用费尔删除以下文件:(费尔下载)
使用说明:删除时复制所有要删除文件的路径,在待删除文件列表里点击右键选择从剪贴板导入,导入(右键不检查路径导入)后在要删除文件上点击右键,选择立刻重启删除(请勾上“抑制再生”的选项),电脑会重启进入DOS界面进行删除操作。

c:\windows\system32\2f0777\hx-2f077.exe
c:\windows\system32\e661be\1dc444.exe
有个leonna易语言软件,确定是否可靠,否则删除下面几个
c:\windows\system32\2f0777\dp1.fne
c:\windows\system32\2f0777\eapi.fne
c:\windows\system32\2f0777\krnln.fnr
c:\users\leonna\appdata\local\temp\e_n4\dp1.fne
c:\users\leonna\appdata\local\temp\e_n4\eapi.fne
c:\users\leonna\appdata\local\temp\e_n4\htmlview.fne
c:\users\leonna\appdata\local\temp\e_n4\internet.fne
c:\users\leonna\appdata\local\temp\e_n4\krnln.fnr
c:\users\leonna\appdata\local\temp\e_n4\shell.fne

2.删除重启后使用SREng修复下面各项:

    启动项目 -- 注册表之如下项删除:
[1DC444]    <C:\Windows\system32\E661BE\1DC444.EXE>
没有生而知之,只有学而知之!
gototop
 
Rainy宝
头像
初生襁褓狮
  • 帖子:77
  • 注册: 2010-01-25
  • 来自:
发表于: 2010-03-18 22:24 | 短消息 资料
字号: 10楼

回复:7月16日 日志分析 练习3

看答案
gototop
 
<<上一主题|下一主题>>
12   1  /  2  页   跳转
页面顶部
Powered by Discuz!NT