1   1  /  1  页   跳转

[练习] 7月9日 日志分析 练习5

收藏
本主题由 大版主 lqqk7 于 2009-7-9 9:54:45 执行 设置高亮 操作
lqqk7
头像
社区嘉宾
  • 帖子:4876
  • 注册: 2006-03-15
  • 来自:
发表于: 2009-07-09 09:51 | 只看楼主 短消息 资料
字号: 1楼

7月9日 日志分析 练习5

即日起每日会给大家提供一些染毒环境的SREng日志,因为部分实习生是第一次接触SREng这个工具,对日志分析不熟悉,如果冒然跑去反病毒区回帖,一旦出现误判,可能对求助者不利,因此采用这种“内部”交流的方式,希望大家能够多练习,真正分析日志的方法是靠自己实践摸索出来的!

注:日志分析练习情况与大家的实习期总成绩没有关联,请大家不要有顾虑,放心大胆的练习!


 附件: 您所在的用户组无法下载或查看附件


========以下为参考分析结果========
异常项见附件(仅保留日志中可疑度较高的项)

注意:
其实这日志没有明显异常,只有一个可疑加载项,可以删除,也可以上报到反病毒厂商进行鉴定

 附件: 您所在的用户组无法下载或查看附件
最后编辑酷卡 最后编辑于 2009-07-28 17:15:21
分享到:
gototop
 
merrk_chuan
头像
飘泊而立狮
  • 帖子:845
  • 注册: 2009-06-07
  • 来自:
发表于: 2009-07-09 18:45 | 短消息 资料
字号: 2楼

回复: 7月9日 日志分析 练习5

***** 该内容需回复才可浏览 *****
gototop
 
凡尘之沙
头像
叱咤花甲狮
  • 帖子:6814
  • 注册: 2008-09-14
  • 来自:安徽 蚌埠
论坛8周年活动礼物
发表于: 2009-07-09 22:35 | 短消息 资料
字号: 3楼

回复: 7月9日 日志分析 练习5

***** 该内容需回复才可浏览 *****
gototop
 
daemonz
头像
飘泊而立狮
  • 帖子:563
  • 注册: 2009-05-15
  • 来自:
发表于: 2009-07-10 08:54 | 短消息 资料
字号: 4楼

回复: 7月9日 日志分析 练习5

就觉得这个是
c:\windows\system32\npkycryp.sys

[npkycryp / npkycryp]    <\??\C:\WINDOWS\system32\npkycryp.sys>

google搜了一下,确实有说这个是木马,但也有说是qq的文件
最后编辑daemonz 最后编辑于 2009-07-10 08:55:54
gototop
 
merrk_chuan
头像
飘泊而立狮
  • 帖子:845
  • 注册: 2009-06-07
  • 来自:
发表于: 2009-07-10 11:31 | 短消息 资料
字号: 5楼

回复 4F daemonz 的帖子

那个确实是QQ的文件
gototop
 
精神病院看门的
头像
禁止访问
  • 帖子:346
  • 注册: 2009-06-11
  • 来自:
发表于: 2009-07-10 11:45 | 短消息 资料
字号: 6楼

回复: 7月9日 日志分析 练习5

该用户帖子内容已被屏蔽
青春就像卫生纸 用着用着就没有了……
gototop
 
daemonz
头像
飘泊而立狮
  • 帖子:563
  • 注册: 2009-05-15
  • 来自:
发表于: 2009-07-10 19:01 | 短消息 资料
字号: 7楼

回复 5F merrk_chuan 的帖子

我转个帖子吧

首先请你们看下下面的两个.SYS扩展名文件是同一的吗?是正常的QQ文件吗?你也可以自己在QQ目录查找下。
                                          C:\Program Files\Tencent\QQ\npkcrypt.sys
                                          C:\Program Files\Tencent\QQ\npkycryp.sys
初一看路径和文件名是一样的:
npkcrypt.sys
npkycryp.sys
仔细比对这文件原来是粗略的看下的话,两个文件差别不大,不会引起注意.
注意npkcrypt.sys控件正确位置:
07版        X:\Program Files\Tencent\QQ\qqedit\
06版        X:\Program Files\Tencent\QQ\和C:\WINNT\system32\qqedit\
后来查找发现:
C:\Program Files\Tencent\QQ\npkycryp.sys(QQ根本无此文件)!
gototop
 
dipahole
头像
飘泊而立狮
  • 帖子:634
  • 注册: 2009-06-05
  • 来自:洛克公园
发表于: 2009-07-10 21:33 | 短消息 资料
字号: 8楼

回复:7月9日 日志分析 练习5

C:\WINDOWS\system32\DRIVERS\aec68x5.sys
C:\WINDOWS\system32\DRIVERS\a320raid.sys
C:\WINDOWS\system32\DRIVERS\aaatimeo.sys
C:\WINDOWS\system32\DRIVERS\aac.sys
C:\WINDOWS\system32\DRIVERS\aacsas.sys
C:\WINDOWS\system32\DRIVERS\aar1210.sys
C:\WINDOWS\system32\DRIVERS\adp94xx.sys
C:\WINDOWS\system32\DRIVERS\adp94xx.sys
C:\WINDOWS\system32\DRIVERS\adp94xx.sys
C:\WINDOWS\system32\DRIVERS\adpu160m.sys
C:\WINDOWS\system32\DRIVERS\adpu320.sys
C:\WINDOWS\system32\DRIVERS\aec6210.sys
C:\WINDOWS\system32\DRIVERS\aec6260.sys
C:\WINDOWS\system32\DRIVERS\aec6280.sys
C:\WINDOWS\system32\DRIVERS\aec6280.sys
C:\WINDOWS\system32\DRIVERS\aec67160.sys
C:\WINDOWS\system32\DRIVERS\AEC671X.sys
C:\WINDOWS\system32\DRIVERS\AEC6880.sys
C:\WINDOWS\system32\DRIVERS\aec6897.sys
C:\WINDOWS\system32\DRIVERS\aec68x5.sys
C:\WINDOWS\system32\DRIVERS\ahcix86.sys
C:\WINDOWS\system32\DRIVERS\aliide.sys
C:\WINDOWS\system32\DRIVERS\amdagp.sys
C:\WINDOWS\system32\DRIVERS\amdbusdr.sys
...........N多看得眼残了...老师太折磨我了
gototop
 
零度的穷浪漫
头像
自信弱冠狮
  • 帖子:499
  • 注册: 2009-06-25
  • 来自:
09欢乐圣诞
发表于: 2009-07-30 10:48 | 短消息 资料
字号: 9楼

回复:7月9日 日志分析 练习5

1.[NetMeeting Remote Desktop Sharing / mnmsrvc][Stopped/Manual Start]
  <><(File is missing)>删掉
2.[BDBHOSL2.CBHOSL2]
  {B3A8699C-A04B-4E73-B983-369DE4AC23ED} <C:\WINDOWS\system32\bhosl2.dll, bhosl2>
[System Link]
  {04699E3B-1CD1-4479-B171-DAF8CA8518DF} <C:\WINDOWS\system32\bdsl2.dll, SysLink2>
[BDBHOSL2.CBHOSL2]
  {B3A8699C-A04B-4E73-B983-369DE4AC23ED} <C:\WINDOWS\system32\bhosl2.dll, bhosl2>
浏览器加载项里的这些.dll文件怎么看啊
3.[C:\WINDOWS\system32\nvshell.dll]  [, ]
[C:\Program Files\DAEMON Tools Lite\Lang\CHS.dll]  [N/A, ]
    [C:\Program Files\DAEMON Tools Lite\Lang\ENU.dll]  [N/A, ]
进程里的这些要删掉么?
gototop
 
乐陶猪
头像
拙长孩提狮
  • 帖子:127
  • 注册: 2009-07-02
  • 来自:
发表于: 2009-08-05 23:20 | 短消息 资料
字号: 10楼

回复:7月9日 日志分析 练习5

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run]
    <nwiz><nwiz.exe /install>  []

[mv614x / mv614x][Stopped/Disabled]
  <\SystemRoot\system32\DRIVERS\mv614x.sys><N/A>

nwiz.exe 和mv614x.sys是干吗用的??
gototop
 
<<上一主题|下一主题>>
1   1  /  1  页   跳转
页面顶部
Powered by Discuz!NT