第一次做日志分析,有很多还不能完全吸收的说……想问问lqqk7老师:
我电脑的日志分析中
浏览器加载项中有:
[Album Uploader]
{0076209A-9553-40DC-A8F9-C2AD835B8C93} <, >
[]
{08B0E5C0-4FCB-11CF-AAA5-00401C608501} <, >
[]
{B69003B3-C55E-4B48-836C-BC5946FC3B28} <C:\Program Files\Windows Live\Messenger\msgsc.dll, (Signed) Microsoft Corporation>
为什么只有注册表ID,没有相应文件?而有一些连加载项名称都没?
文件关联那
.EXE OK. ["%1" %*] 后面的["%1" %*]是什么意思
Autorun.inf部分
Shell\Open\Default=1 是什么意思?
Hosts文件是 N/A ,没有127.0.0.1 localhost 这项有没有问题?
先问这些吧,谢谢老师!
===============以下内容为lqqk7回复:==============1、关于CLSID
{0076209A-9553-40DC-A8F9-C2AD835B8C93}
{08B0E5C0-4FCB-11CF-AAA5-00401C608501}
等等此类键均为用于标识某个组件的CLSID,这里没有写出具体路径,可以到[HKEY_CLASSES_ROOT\CLSID]下搜索这个ID,能得到详细信息
附件:
您所在的用户组无法下载或查看附件2、文件关联
首先拿.txt文件关联来举个例子:
.txt的文件关联默认为 notepad.exe "%1"
因为notepad.exe存在于windows目录下,所以可以不写完整路径;
"%1"表示的是目标文件自身,加双引号是为了避免带空格的长文件名或路径时出错;
怎么理解“目标文件自身”呢,其实就是你要执行的文件,比如你想打开桌面上的我的文本.txt,当你双击“我的文本.txt”的时候,目标文件自身实际上就是指“我的文本.txt”本身。对于这个文件的打开方式,实际上就是用notepad.exe这个程序打开目标文件,即用notepad.exe打开"%userprofile%\桌面\我的文本.txt"。当你要打开其他txt文件时,也是同样的道理。
接着再看.exe的文件关键,它的默认关联为"%1" %*
同样的,"%1"表示的是目标文件自身,而由于exe文件本身就是一种可执行的PE文件,不需要通过其他程序代为执行(不像txt文本那样需要由notepad.exe来执行),所以文件关联中只有"%1"的时候就表示自身执行。
后面的%*可以简单理解为一个星号通配符,它的作用是允许exe本身执行的时候夹带命令行运行参数,比如SREng本身,你可以不带参数直接双击运行,也可以夹带/escan参数来启动后台扫描模式。
3、关于autorun.inf
Shell\Open\Default=1 表示将open设置为默认的右键菜单命令
举个完整的例子便于理解:
Shell\open=打开吧哈哈 —— 在当前磁盘右键菜单中添加一个名为“open”的菜单,并且在菜单中显示的选项为“打开吧哈哈”
Shell\open\Command=哈哈.exe —— 当用户选择菜单中的“打开吧哈哈”这个命令时,自动运行“哈哈.exe”
Shell\Open\Default=1 —— 将右键菜单中的“打开吧哈哈”选项设置为默认执行的命令
4、hosts文件
默认情况下应该有127.0.0.1 localhost
但是有些精简版的系统或者第三方优化工具、安全工具可能会清空或删除此文件,所以即使没有127.0.0.1 localhost对普通用户也毫无影响
