瑞星卡卡2010暑假实习第五课问题汇总
整理:雷雨声
问:C:\Documents and Settings\Administrator\Local Settings\Temp下的东西可以都删除吗?删了以后有什么影响没?
答
:%temp%下的所以文件都可以放心删除,但需要注意这里只是说你删除这些文件不会造成负面影响,但是不代表你能够把所有文件都删掉,因为只要系统在运行,就会产生临时文件,总会有一些临时会被系统占用,正在被使用的文件是无法删除的。
问:关于分析助手假死的情况,我想软件代码中只要加一个判断条件(按行扫描,当读到的内容为[/CODE]就结束)这样就可以避免永无止境的读取了。
答:
我并非分析助手的开发者,所以这个我无能为力了。
问:启动文件夹中是不是所有的可执行文件项后边都是[File is missing]啊?
答:不
是,只有当目标文件不存在的时候才会显示[File is missing]。
问:怎样设置可以让开机时不运行某些服务啊?
答:
方法很多,比如运行services.msc,直接将服务的启动类型设置为“已禁用”;也可以直接到注册表以下位置去更改服务的启动类型键值:
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services];还可以利用第三方系统设置工具;相对来说直接修改注册表的方式风险最大,另外无论你用那种方式去禁用服务,都要事前做好备份,并且对系统有一定的了解,因为一些系统核心服务是不能禁用的!
问:相同版本的系统的dllcache文件夹的内容都相同吗?安装软件时会不会对这个文件夹中的文件内容进行修改啊?
答:
不一定,首先系统版本相同,但不一定打过相同的补丁,微软每月都会发布新的安全补丁,每次打补丁涉及到系统文件的更改时都会同时应用的dllcache中;其次,目前多数人使用的是非常规授权的系统(就是盗版啦....)这些其中大量充斥着私人打包的版本,这些系统多多少少都进行过优化或精简,dllcache只是用来备份原始文件的,它的存在对于系统正常运行来说不是必须的,所以有些精简多度的系统会清空这个目录;还有一些垃圾文件清理工具,会将dllcache目录中的文件当作占用空间的垃圾清理掉。
问:打开SREng的【系统修复】选项,看到【Winsock供应者】下面显示的内容全为红色,如下图,不知这是否是正常文件?
附件:
您所在的用户组无法下载或查看附件答:
如图可见“发行者”一栏中只列出了厂商信息,没有(Verified)标识,所以这些文件有可能是被修改过的。
问:用SREng扫描自己的电脑,持续了很久都没扫描完,如下图:
附件:
您所在的用户组无法下载或查看附件答:
根据硬件环境和系统环境的不同,扫描用时从几分钟到十几分钟不等,时间太长肯定就不正常了,不排除有其他程序干扰扫描的可能性,可以将当前开启的其他程序关闭后再试,另外在运行SREng过程中如果安全软件出现拦截提示,应该选择允许或放行,只要你是官方下载的SREng,它是不会不经允许的做非法操作的。问:当关闭SREng后,重新打开又显示如下图所示,请老师帮忙看看是什么问题?
答:
非常规方式退出SREng后就会弹出这个提示,因为SREng不知道上一次进程被结束到底是用户自己的意愿还是病毒所为,所以提示用户起到一个警示的作用。此时选择否即可正常运行,选择是将会以后台扫描的方式运行,后台扫描在讲义1第一楼中已经讲过了。
问:感觉使用工具能帮助我们把日志分类清楚,以前自己看日志的时候是纯TXT,后来就是使用PLA,感觉软件可以让日志分析更简单。不知道这样是不是弊端。
答:
关键不在于使用什么工具,还是在于分析日志的人,如果能保证准确,使用工具来改善分析环境、提高效率、保护视力又有什么不好的呢~
问:环境变量还有就是通配符,这些也专门的研究过,呵呵,现在也感觉受益匪浅呢。host文件的使用在平时也有一些不一样的作用。但是太多屏蔽的话,在扫描日志的时候貌似会有点慢。
答:
hosts内容太多确实会扫描很慢,甚至会造成扫描程序假死,一般hosts控制在1M以内应该没什么问题,但是日志还是会很长很长,如果要大量屏蔽恶意网址,还是推荐使用防火墙之类的工具来的快。
问:为什么在电脑中的日记记录的时候,要用环境变量呢,直接用我们熟悉的路径表示不是更好让人解读吗?
答:
不是日志要使用变量,而是系统或应用程序在运行时需要使用变量,比如某个软件运行时需要创建临时文件,直接使用“C:\Documents and Settings\Administrator\Local Settings\Temp”去创建行不行呢?绝大多数情况下下这样做没问题,因为现在大多数人都把系统装在C盘,但是对于双系统的人怎么办?开发者当然可以预先设置多个路径去适应不同情况,但是永远不可能考虑到所有可能出现的环境,也会造成代码冗余降低程序执行效率。比如一万个人中只有我一个人把系统装在c:\win目录下,那么此时如果软件试图在在c:\windows下创建文件,在我的电脑上就是行不通的,因为我没有这个目录,所以就要用到环境变量,%systemroot%在那9999个人的电脑上都代表C:\windows,而在我的电脑上%systemroot%则代表C:\win,这样就可以适应所以系统环境。
再举个通俗点的例子,老师需要每个班的男生都出列,那他可以有两种方案,一是把每个班的男生姓名都喊出来,二是直接喊“全体男生出列”,显然第二种方案效率更高。这时“全体男生”就可以看作是一个变量,在一班“全体男生”可能代表“小王、小李、小张、小孙....”,而到了二班“全体男生”就代表“小刘、小陈、小高、小董....”
问:用环境变量会提高系统的安全性吗?还是用环境变量可以提高系统的性能呢?
答:
使用变量对于系统安全性没什么影响,但是会让程序适应不同的环境,提高执行效率。
问:
在HOSTS中想免疫某一个恶意IP地址,那么是在那里修改呢?直接在分析助手里可以改吗?怎么去操作的?
答:hosts可以用来屏蔽恶意网站,但是不能用来屏蔽具体的页面网址,也不能屏蔽IP地址,他的格式是:
IP地址 域名
中间有空格分隔;
举个例子,有一个钓鱼网站域名为www.taoboa.com,这是可以这样屏蔽对他的访问:127.0.0.1 www.taoboa.com如果有一个正常的网站,域名为www.abcde.com,该网站的某一个页面被黑客挂马,页面地址为http://www.abcde.com/html/page.html,如果你想单独屏蔽这一个页面而不影响该站点其他页面的访问,hosts是做不到的,即只能这样写来屏蔽整站:
127.0.0.1 www.abcde.com如果像下面这样写是没有作用的:
127.0.0.1 http://www.abcde.com/html/page.html127.0.0.1 www.abcde.com/html/page.html如果你想屏蔽IP,如202.106.0.20,即这样写:
127.0.0.1 202.106.0.20
实际是无效的
所以,如果你想单独屏蔽某个具体的网页,或IP,建议使用防火墙来实现!问:重启后EXE的文件关联又关联上了一个文件名随机的exe文件,而且这个文件重启前不存在。这是什么情况呢?
答
:存在其他活体病毒在关机前(即用户已经选择了关机或重启后)或开机后重新创建随机文件名.exe,并修改.exe文件关联;这里说的活体病毒可能是一个运行中的进程、服务、驱动、计划任务等等。
问:我发现病毒会通过系统文件加载运行,也会通过不是系统文件加载运行,是不是一般情况下,若一个文件不是通过系统文件或正常系统文件加载运行的就是病毒呢?
答:
这问题有点难理解......实际应该也不是这样,严格来说任何程序运行都是通过系统程序来执行的,即使用户自行双击一个图标打开的程序,实际上也是由explorer.exe来调用执行的,所以说这个不能作为文件是否安全的依据。
问:平时我们用优盘的时候,很多人都说建一个autorun.inf文件在里面会防御病毒的攻击,这是为什么呢?病毒不就是利用系统中autorun.inf的自动播放性,来感染系统的吗?这样做为什么可以起到防御病毒的功效呢?
答:
因为windows系统不允许同一目录下存在相同名称的两个或多个文件(文件夹),比如在c:\根目录下,已经存在了一个autorun.inf,无论它是一个文件还是文件夹,无论它的名称是大写还是小写,系统都不允许这里再有其他任何文件夹或文件夹命名为autorun.inf。正是利用这一点,通常在U盘中自行创建一个名为autorun.inf的文件夹,病毒就无法在这里创建同名的文件了!
但是实际上这样做的安全性并不高,对于早起的自动播放病毒来说可能有些成效,之后病毒也在不断改进,病毒可以把你创建的autorun.inf先删掉,然后再创建自己的autorun.inf,所以建议还是配合NTFS权限和杀毒软件来限制autorun.inf的创建更安全些!
问:使用分析助手的时候,进程模块列表中的项目字体颜色不同,有的黑色有的红色,请问这代表什么?
答:
黑色进程标识没有加载模块,红色进程标识加载了其他模块。
问:用SREngLog分析出来的日志中自启动项比运行msconfig看到的自启动项多的多,甚至一些早已卸载的程序都在其中,这是为什么?是不是因为没有清理注册表?而且之后我再运行一遍msconfig,发现所有自启动项前面都打了勾,这又是为什么?
答:
这是由于msconfig和SREng对禁用启动项的处理方式不同造成的;首先msconfig只检查常规软件最常用的自启动注册表项,用msconfig禁用启动项时,其实并不是把这个启动项从注册表中彻底删除,而是把它从注册表原有位置删除,然后将这条启动项转存到[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg],这样做的目的是在msconfig中仍能保存已经禁用的启动项,以备误操作时恢复。
问:在自启动项中发现很多wlnotify.dll,在原始日志分析文本中如下:[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\crypt32chain] <WinlogonNotify: crypt32chain><crypt32.dll> [(Verified)Microsoft Windows Publisher][HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\cryptnet] <WinlogonNotify: cryptnet><cryptnet.dll> [(Verified)Microsoft Windows Publisher][HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\cscdll] <WinlogonNotify: cscdll><cscdll.dll> [(Verified)Microsoft Windows Publisher][HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\ScCertProp] <WinlogonNotify: ScCertProp><wlnotify.dll> [(Verified)Microsoft Windows Publisher][HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\Schedule] <WinlogonNotify: Schedule><wlnotify.dll> [(Verified)Microsoft Windows Publisher][HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\sclgntfy] <WinlogonNotify: sclgntfy><sclgntfy.dll> [(Verified)Microsoft Windows Publisher][HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\SensLogn] <WinlogonNotify: SensLogn><WlNotify.dll> [(Verified)Microsoft Windows Publisher][HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\termsrv] <WinlogonNotify: termsrv><wlnotify.dll> [(Verified)Microsoft Windows Publisher][HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\wlballoon] <WinlogonNotify: wlballoon><wlnotify.dll> [(Verified)Microsoft Windows Publisher]这些是什么程序?
答:
这里加载的都是一些需要在系统登陆或注销时运行的程序。
问:在驱动程序里看到如下两个文件:\??\C:\WINDOWS\system32\npkycryp.sys\??\C:\WINDOWS\system32\npkcrypt.sys 他们公司都为N/A,百度了下有的说是病毒,他们到底是什么呢?
答:
这两个文件是nProtect键盘加密保护程序,用于防止键盘输入密码时被木马记录,在老版本的QQ中有使用过,还有一些网游也会使用,但是不排除会有病毒伪装的可能性,可以备份后将其删除,这样如果网游登陆时出错可以恢复,也可以提取文件上报反病毒厂商分析。
