123   1  /  3  页   跳转

aryda

收藏
本主题由 大版主 酷卡 于 2009-7-28 10:57:35 执行 移动主题 操作
aryda
头像
强壮不惑狮
  • 帖子:667
  • 注册: 2006-12-29
  • 来自:
发表于: 2009-01-14 19:17 | 只看楼主 短消息 资料
字号: 1楼

aryda



用户系统信息:Mozilla/5.0 (Windows; U; Windows NT 6.0; zh-CN; rv:1.9.0.5) Gecko/2008120122 Firefox/3.0.5
分享到:
gototop
 
aryda
头像
强壮不惑狮
  • 帖子:667
  • 注册: 2006-12-29
  • 来自:
发表于: 2009-01-15 19:50 | 只看楼主 短消息 资料
字号: 2楼

回复:aryda

到...过两天再回帖子...最近有点小忙...呵呵..
gototop
 
aryda
头像
强壮不惑狮
  • 帖子:667
  • 注册: 2006-12-29
  • 来自:
发表于: 2009-01-16 19:59 | 只看楼主 短消息 资料
字号: 3楼

回复:aryda

到..留个脚印...
gototop
 
aryda
头像
强壮不惑狮
  • 帖子:667
  • 注册: 2006-12-29
  • 来自:
发表于: 2009-01-20 00:35 | 只看楼主 短消息 资料
字号: 4楼

回复:aryda

最后编辑aryda 最后编辑于 2009-01-20 02:00:20
gototop
 
超级游戏迷
头像
卡卡技术团队
  • 帖子:25779
  • 注册: 2007-01-14
  • 来自:
卡卡名人堂论坛9周年纪念瑞星金牌用户
发表于: 2009-01-20 09:38 | 短消息 资料
字号: 5楼

回复: aryda

楼主在http://bbs.ikaka.com/showtopic-8589725.aspx这个帖3楼的回复有点不负责任,以后回帖请注意质量(注册表内容的那几个病毒自启动项这么显眼,没看到?还是根本就没看?)。

确实不知道的话,可以不回帖;如果一定要回帖,请把自己也不确定的东西说清楚。

使用“日志没有什么问题”之类的定性结论前,请确认对日志所有内容都看过并没有发现异常,否则不说为佳。

从楼主的其他回帖来看,基本还都正常,只有上面这个帖子回答比较草率。

所有精通日志分析的人,首先得具备三种能力:
一是对操作系统基本知识有一定了解。至少要对常见的系统进程、服务、驱动、注册表启动项等有常识性的了解,如果连这个都过不了关,那么日志中任何一部分在你看来,要么全有嫌疑,要么全是清白的,如果这样就没有任何意义了。因此,对操作系统基本知识的了解,是日志分析的基础和前提;
二是敢于怀疑。从以往实习生们的经验来看,如果病毒在日志中版本和厂商信息反映为[N/A]的,90%都能被识别,而一旦反映为[MICROSOFT CORP.]或者其他软件厂商的厂商信息,则90%被MISS。日志是死的,人是活的,对这种穿迷彩的病毒,需要我们从文件所在路径、文件大小、文件创建时间、MD5值等等诸方面下手以最终定性,但如果之前没有怀疑,那么后面这一切都废话了。
三是要承认自己知识面的狭窄,通过不断利用搜索引擎来拓展自己的知识面。现在软件发展日新月异,许多新软件安装后释放的进程和驱动、创建的注册表启动项我们并不熟悉,但它们确实不是病毒。遇到这种情况时,我们要学会好好利用搜索引擎,搞清问题的同时也扩大自己的知识面。不知道不要紧,我们可以学,但如果明明不知道还硬撑,那这种人将被鄙视。

好了,以上仅为个人意见,祝楼主今后实习愉快……
最后编辑超级游戏迷 最后编辑于 2009-01-20 09:39:44
打酱油的……
gototop
 
卫星导航
头像
飘泊而立狮
  • 帖子:496
  • 注册: 2006-09-02
  • 来自:
发表于: 2009-01-20 10:30 | 短消息 资料
字号: 6楼

回复:aryda

支持游戏迷,你一直是我的偶像!~
gototop
 
aryda
头像
强壮不惑狮
  • 帖子:667
  • 注册: 2006-12-29
  • 来自:
发表于: 2009-01-21 23:39 | 只看楼主 短消息 资料
字号: 7楼

回复 5F 超级游戏迷 的帖子

不好意思..我以为那些file is  missing,以及stopped的项不属于病毒了..而且那贴的楼住也说了他用杀毒软件杀过病毒...具体如下...不过现在看来是误判了..
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ShellServiceObjectDelayLoad]
    <8923C707><C:\WINDOWS\system32\opijcngn.dll>  [File is missing]
    <0ECC6723><C:\WINDOWS\system32\geccmnij.dll>  [File is missing]
    <00074A9E><C:\WINDOWS\system32\gggnkape.dll>  [File is missing]

服务
[36963 / 36963][Stopped/Auto Start]
  <C:\WINDOWS\System32\svchost.exe -k netsvcs-->%SystemRoot%\system32\drivers\etc\Jl5M6pXf.dll><N/A>
[DNS system / DNS system][Stopped/Auto Start]


以后不会再犯这种错误了...
gototop
 
aryda
头像
强壮不惑狮
  • 帖子:667
  • 注册: 2006-12-29
  • 来自:
发表于: 2009-01-21 23:45 | 只看楼主 短消息 资料
字号: 8楼

回复:aryda

最后编辑aryda 最后编辑于 2009-01-22 01:44:05
gototop
 
aryda
头像
强壮不惑狮
  • 帖子:667
  • 注册: 2006-12-29
  • 来自:
发表于: 2009-01-23 00:53 | 只看楼主 短消息 资料
字号: 9楼

回复: aryda
gototop
 
aryda
头像
强壮不惑狮
  • 帖子:667
  • 注册: 2006-12-29
  • 来自:
发表于: 2009-01-24 01:30 | 只看楼主 短消息 资料
字号: 10楼

回复: aryda

最后编辑aryda 最后编辑于 2009-01-24 16:08:36
gototop
 
<<上一主题|下一主题>>
123   1  /  3  页   跳转
页面顶部
Powered by Discuz!NT