2010年7月5日 签到 实习生--cherish77
↖(^ω^)↗ 加油！！！


瑞星知道：http://zhidao.ikaka.com/default.shtml                                                          cherish77

百度瑞星吧：http://tieba.baidu.com/f?kw=%C8%F0%D0%C7                                    swan1986

百度知道：http://zhidao.baidu.com/browse/92?lm=9&pn=25                                      swan1986

天涯问答：http://wenda.tianya.cn/wenda/label?lid=2df447a6821fe7da&hl=zh-CN      卡卡_2010

SOSO问问：http://wenwen.soso.com/z/c321454080.htm?ch=fl.fl                                swan

用户系统信息：Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1)

2010年7月6日 签到 实习生--cherish77
今天要开始上课啦~~(*^__^*) 嘻嘻……
感兴趣的问题，总结一下~~
【Q&A】

1、老师，能不能详细介绍一下瑞星的“启发式扫描”是怎么工作的吗？

万事达回复：
启发式扫描技术可以弥补特征码扫描滞后于病毒更新的缺点，既是通过行为特征发现新病毒或者病毒的新变种。然而，“启发式”查杀并不是万能的，它也存在先天的缺点，例如：误报率高；一旦病毒作者将病毒的动作序列进行拆解就无法准确报出。所以，瑞星“启发式”查杀采用行为分析技术与“云安全”系统分析技术相结合的方法来进行病毒判定，有效发挥了“启发式”查杀的优点，同时也避免单一使用“启发式”查杀技术所带来的大量误报和查不出病毒的问题。

2、今天下载安装了瑞星杀毒软件2010板，然后大概比对讲义把新功能熟悉了一下。先提个建议，安装时候的界面风格能不能统一一下，开始那个选择语言的界面很漂亮，期待了一下，结果后面的就是老界面风格啦~~
看了一些问题和回帖，突然想到一个问题，记得当初刚买电脑的时候，熊猫烧香很猖獗，所以新买不到一周的电脑崩溃啦，整个黑屏，安装的杀毒软件也不行，完全没起到作用，所以我想问一下，如果遇到类似的情况，瑞星有没有什么备案或是考虑的。

万事达回复：
1.界面建议我会反馈相关部门。
2.出现这种情况，瑞星有提供专杀以及光盘引导杀毒工具等等。

3、老师，安检中的安全级别是以什么为判断标准的

万事达回复：
根据安检下边的检测项，例如漏洞，全盘杀毒，升级等等。

4、云安全：在“瑞星云安全的运行模式”中提到，“屏蔽一台服务器，就可以截断成千上万个木马的传播”，我对此有些不理解？

万事达回复：
举个例子，比如某网站被挂马，当大家都去访问他的时候，就可能会中毒，这时候安装瑞星的用户在访问该网站的时候，瑞星会予以提示，这样就可以避免病毒的进一步传播，越是大型的网站的，传播的范围和危害性就可能越大。

5、我的电脑曾经受到过木马群攻击，当时上网查了一下，发现是北京某个科技园的IP ,最后是用瑞星把那个IP加入黑名单才解决的。想问一下这具体是怎么一回事？这么做正确吗？
我的瑞星防火墙曾有一段时间监控无法开启，一开就又自动关闭了，一直是红色的，后来是用的瑞星自我修复弄好的。想问一下这是什么原因导致的，是中毒了还是软件自身的问题？

万事达回复：
1.如果是固定IP攻击，可以加入黑名单。建议同时也修复系统漏洞
2.防火墙的图标是盾牌，工作状态是蓝色，关闭状态是灰色；只有杀毒软件监控才可能是红色（监控全部关闭）。
原因：病毒或软件损坏都有可能。

6、老师，“木马入侵拦截突破了原来网页脚本扫描只能通关过特证进行查杀的技术壁垒”  挂马的网站有什么特征啊

万事达回复：
网页挂马是指：在获取网站或者网站服务器的部分或者全部权限后，在网页文件中插入一段恶意代码，这些恶意代码主要是一些包括IE等漏洞利用代码，用户访问被挂马的页面时，如果系统没有更新恶意代码中利用的漏洞补丁，则会执行恶意代码程序，进行盗号等危险操作。

【PS】
今天了解了2010版瑞星杀毒软件的基本设置和功能，通过看回帖也得到了一点儿启发，以后要再接再厉啊~~~
非常感谢万事达老师~~~辛苦皮皮班主任~~~
↖(^ω^)↗加油~~tomorrow，come on！！！

,'''╭⌒╮⌒╮.',''',,',.'',,','',.             
╱◥██◣''o',''',,',.''.'',,',. 
｜田｜田田│ '',,',.',''',,',.'' 
╬╬╬╬╬╬╬╬╬╬╬╬╬╬╬╬╬╬

2010年7月7日 签到 实习生--cherish77
终于凉快啦~~~(*^__^*) 嘻嘻……
【Knowledge】
1、我们为什么要装防火墙？
      从杀毒软件的原理来看，杀毒软件之所以能杀毒，是根据病毒样本的代码特征来识别他是否是病毒，而且这个特征码还是需要在用户反映遇到病毒后上传病毒样本才能获取。
      防火墙是根据连接网络的数据包来进行监测的，也就是说，防火墙就相当于一个严格的门卫，掌管系统的各扇门（端口），它负责对进出的所有人（应用程序所发出的数据包）进行身份核实，每个人都需要你的许可才可以出入。
      另外，防火墙可以防御黑客对系统的攻击，这是杀毒软件无法做到的，因为黑客的操作不具有任何特征码，杀软无法识别，而防火墙可以把你系统的每个端口都隐藏起来，黑客扫描你的IP的时候，不返回任何数据包，这样黑客就无法发现你这个系统的存在，从而使对方无法攻击你。
2、敏感端口：445，139，137，138……
3、端口
      先说明一下什么是端口号，一个端口就是一个潜在的通讯通道，也是一个入侵通道，开放一个端口就是一台计算机在网络上打开了一扇窗户，黑客入侵的方法就是用手工扫描或利用扫描软件找到服务器所开放的端口，去根据其相应的漏洞对服务器进行入侵或攻击。
      常见端口用途：21、20端口用于FTP的命令及数据的传输；23端口用于TELNET；3389端口默认用于windows自带的远程桌面端口。
【Q&A】
1、①从瑞星2008开始，防火墙加入了【模块检查】的功能，请问该功能在防马方面有何作用？
②按照我的理解，RFW中添加出站检测，可以有效降低互联网上DDOS攻击发生的几率。不知道对不对？

万事达回复：
该功能可以防止了木马模块注入到正常进程中，访问网络。
DDOS攻击无法防御，涉及到硬件的攻击只能使用硬件防火墙。

2、①LAN下敏感端口是多少？
②有的用户在安装完成瑞星防火墙后一些网页类视频软件，如迅雷看看和CCTVBOX不能正常使用，怎么处理？
③网络攻击拦截中的大规模网马群是什么概念，貌似只有瑞星有这一说？
④出站攻击防御中的 SYN ICMP UDP是不是只能检测本机往外发送的数据包？
⑤面对外来的DDOS攻击，瑞星防火墙怎样应对？
⑥所谓的在网络隐身是不是就是禁止别人ping入已达到隐身的目的？
⑦用户在使用正规软件的时候入betwin，网络游戏的时候不能正常使用，应该怎样更好的解决？

万事达回复：
①一般有23，135，137-139，445，3389等等。
②可以检查访问规则是否拦截，如果拦截了，可以设置放过。
③该功能主要是防止黑客/病毒利用本地系统或程序的漏洞对本地进行控制，是规则判定的，规则库瑞星会随时更新。
④收发都进行检测。
⑤软件防火墙无法防御，只能使用硬件防火墙。
⑥这个有很多种，例如别人无法看到你的IP，无法ping你。
⑦可以尝试依次关闭防火墙监控来判断是否防火墙的问题，是否防火墙的某些功能问题，如果是防火墙的问题需要提交相关部门分析处理。

3、很想知道模块到底是个什么概念。跟进程什么的类似么？

万事达回复：
运行一个程序，就产生了一个进程。如果这个程序调用了其他exe或dll来实现某种功能，那么这些exe或dll就是这个进程的模块。

4、想请问一下万老师！在看了为什么要装防火墙这一章的时候，我对一个问题有了疑问！装了杀毒软件以后，我们都知道杀毒软件也是可以自动查杀来历不明或者危险的程序，这不是和防火墙一样，也是有效的阻止了对自己电脑有害的攻击，在这一方面防火墙比杀毒软件有什么更明显的优势吗？

万事达回复：
杀毒软件主要是防御、监控、查杀病毒；防火墙是防范网络攻击。网络攻击有很多种：例如利用漏洞的攻击，ARP攻击等等。

5、瑞星防火墙里的网站黑名单是及时从服务器获取核对，还是依靠升级本地名单？单一安装防火墙而不不安装瑞星杀毒，是否瑞星防挂马行为防御就失效了？

万事达回复：
升级本地名单，防火墙没有防挂马行为防御功能，谈不上是否失效。如果你说的是恶意网址拦截功能，该功能是起作用的，至于杀毒软件主动防御/木马行为防御功能，如果没有安装杀毒软件，肯定不起作用。

6、老师解答问题辛苦啦，我的问题是安装时的问题哈。
①瑞星防火墙2010安装的时间为什么断网(如图)？原因是？
②安装完成后点否不重新启动电脑，此时点瑞星防火墙，没反应，必须重启。觉觉有些怪怪的，因为我在虚拟机XP上面安装2010版时，是升级到最新的软件后才重启。没有强制效的重启提示？
③在瑞星杀毒软件2010版、瑞星个人防火墙2010版、瑞星全功能安全软件2010版中，都看到了一个“瑞星安装包制作程序”。瑞星安装包制作程序有什么用？ 如何制作操作呢？

万事达回复：
①安装硬件驱动所以需要断网。安装杀软的时候不用。
②组件需要重启后才会起作用。后半个问题没明白，有时更新重要组件也是需要重启的，瑞星都会提示。
③点击运行后按照提示进行制作，制作的安装包拥有本地已安装瑞星的版本，这样如果重新安装时避免了长时间升级过程。（这个比较人性化，当初装瑞星的时候升级了N久）

7、我也不是很明白IP包过滤，使用网络知识，确定IP地址的危险性，还是其他的？？是怎么来判断的啊/

万事达回复：
一般使用默认规则即可。规则设置越多性能越低；不需要增加与应用相关的规则，系统在应用需要时打开端口；也不需要增加防范性规则，系统已经内置并且自动升级

8、万老师 想请问下 ，关于arp攻击和ARP病毒的差异，开启ARP防御是不是就可以将两者全部拦截，P2P终结者等之类的软件造成的影响是不是也就可以消除了？

万事达回复：
是一个意思，开启ARP防御可以保证本机安全。目前瑞星防火墙是不对P2P终结者等工具拦截。

9、老师，我住的地方ARP攻击比较严重，有人使用P2Pover和聚生网管等软件限制别人网速，请问使用瑞星防火墙可以解决这一问题么？  谢谢！

万事达回复：
目前防火墙不拦截该类工具。

10、为什么瑞星的好多操作之前都要输入验证码？

万事达回复：
提高自我保护能力，避免病毒关闭

11、当我访问这个网站http://bbs.ikaka.com/showtopic-8729197.aspx时，防火墙提示我受到攻击，如下图是防火墙拦截信息。此时，无法访问卡卡论坛，其他网站都能访问，当我把防火墙保护都关了后，有可以正常访问卡卡了。再把防火墙保护打开，所有网站都能访问了。请老师您帮忙解答一下。

万事达回复：
网络攻击设置默认是5分钟，这个时间可以自己设置。至于拦截的地址，该帖子是分析网马如何解密的帖子，里面有代码，肯定会拦截。

12、①请老师能不能把ARP的原理稍微解释下？因为看完老师大概的解释和上一届的一个同学的帖子，虽然都解释得很清楚，但是我其实还是很不了解他怎么做到的。。
②进程ID的作用
③TCP的概念。老师能不能解释一下呢？
④syn_sent的含义中的第三次握手，是什么意思？和TCP有什么关系？
⑤在生动解释那些网络名词里面，李大爷联系电信局，然后电信局转到小明家的王大爷那里，这个就是路由器的工作原理？
⑥DHCP和DNS有什么区别？

万事达回复：
①讲义包有一篇：”计算机网络技术文档_ARP欺骗、网关、还有一堆难懂的网络名词“比较通俗易懂，可以参考
②没明白，详细说明下（区别进程用的）
③TCP是一种面向连接（连接导向）的、可靠的、基于字节流的运输层（Transport layer）通信协议。名词解释建议百度，结果很详细了。
④第一次握手：建立连接时，客户端发送syn包(syn=j)到服务器，并进入SYN_SEND状态，等待服务器确认；

第二次握手：服务器收到syn包，必须确认客户的SYN（ack=j+1），同时自己也发送一个SYN包（syn=k），即SYN+ACK包，此时服务器进入SYN_RECV状态；

第三次握手：客户端收到服务器的SYN＋ACK包，向服务器发送确认包ACK(ack=k+1)，此包发送完毕，客户端和服务器进入ESTABLISHED状态，完成三次握手。
⑤是的
⑥DHCP 是 Dynamic Host Configuration Protocol(动态主机分配协议)，一般用于局域网内客户机的IP地址分配；
DNS 是域名系统 (Domain Name System) 的缩写
在上网的时候，域名便于人们记忆，但网络中的计算机之间只能互相认识IP地址，它们之间的转换工作称为域名解析（如上面的www.needidc.com 与 218.30.66.101 之间的转换），域名解析需要由专门的域名解析服务器来完成，DNS就是进行域名解析的服务器

13、请问 ARP欺骗防御可以拦截哪些攻击？

万事达回复：
可以拦截通过发送虚假的ARP包给局域网内的其他电脑或网关。
可以拦截通过冒充别人的身份来欺骗局域网中的其他的电脑，使得其他的电脑无法正常通信的攻击。

14、问题
①瑞星的云安全和其它类似机构的云安全是不是没有任何联系，各自独立运行？
②DOC、PPT的ODAY漏洞是什么？
③系统自动加载项和系统自动运行项的含义和区别是什么？
④网络攻击拦截中的后门攻击、远程溢出攻击具体是指什么？
⑤如何决定或者设置是“访问规则优先”还是“IP规则优先”？黑名单、白名单、端口开关、可信区、IP规则、访问规则、安全级别这些分类是否有必要这样分，能否精简整合一下？
谢谢万事达老师!

万事达回复：
①是的
②ODAY漏洞是指官方未发现或未发布修补补丁的漏洞
③一个是随系统启动，一个是系统启动后加载
自动启动项是选择自动启动的应用软件，开机加载项是启动必须的一些系统服务 .
④后门：绕过安全性控制而获取对或系统访问权的方法。后门攻击即是利用后门进行攻击。
溢出漏洞的全名：缓冲区溢出漏洞
因为它是在程序执行的时候在缓冲区执行的错误代码，所以叫缓冲区溢出漏洞。同理针对此类漏洞的攻击即为溢出攻击。
⑤根据自己的需求来决定。希望如何精简呢？

15、

老师您好，仔细阅读了讲义，请教以下几个问题：
1、安全级别等级的【中】，在其解释中说“禁止一些较危险的端口”，具体指哪些？就是那些敏感端口嘛？
2、关于ARP。由于学校局域网网络IP有限，有些人用一个软件就可以占用N个IP地址，保证自己一直有IP可用，这个是什么原理？
3、之前看过说Linux操作系统不用装杀毒软件，因为病毒在里面不起作用，是这样的嘛？但是有装防火墙，只是为了防治网络的病毒或是什么攻击吗？
O(∩_∩)O谢谢~~辛苦呢~~

万事达回复：
1.具体端口不方便透漏，不仅仅指敏感端口。
2.希望说明下是什么软件。
3.只能说针对该系统的病毒较少，不是没有。目前瑞星防火墙还不支持该系统。

16、万老师：现在的瑞星出站攻击防御是不是已经改成开启了，arp欺骗防御还是没有开启？个人感觉开机开始出站攻击防御安全性会高一些呢，这样就能有效果的防止成为僵尸网络中的一员！

万事达回复：
防火墙的默认设置是开启的，ARP防御关闭。

17、关于ping www.baidu.com不通的问题

万事达回复：
怀疑和你网络环境有关，我这里测试是正常的。你关闭防火墙试试。（试了，就是网络设置的问题，跟防火墙无关）

【PS】
\(^o^)/~今天的课程结束啦~~谢谢万事达老师，辛苦皮班！！！
网络知识好多呀，以前懂得东西有忘得差不多啦，老啦~~~
↖(^ω^)↗加油~~

*/.    .  .    *      .
  .\*    .    []          *  __
  */ .  ./\~~~~~~~~~~~~'\. |◆ 
  \*  ,/,..,\,...........,\.◆ 
  ||  ..▎#  ▎田  田 ▎ | ▎◆
  ||  &&▎  ▎      ▎'|'▎ o 
  || ##■■■■■■■■■■〓 

2010年7月8日 签到 实习生--cherish77
今天没有课呢，休息，休息一下~~~
赶快写报告，明儿中期~~~

2010年7月9日 签到 实习生--cherish77
中期改时间啦~~ 不过形式更严格了~~

 附件: 您所在的用户组无法下载或查看附件
开始上课+学习啦，一些均为Tom老师回复的哦~~
【Q&A】
1、防火墙、防水墙？

防火墙的意味阻止外部信息对本机的侵入。而防水墙则刚好相反是阻止内部信息泄露到网上 。（有点儿像生活常识的原理命名的：火一般都是外部烧进来；水一般都是防止溢出）

2、我想请教TOM2000老师，为什么说comodo属于防水墙呢，是不是说防水墙如comodo不能阻止来自外部的攻击还是说在防范外部攻击能力方面能力有限？另外如ZoneAlarm感觉在使用时也很注重内部程序向外部访问的控制，那么ZoneAlarm也属于防水墙吗，还是说现在的这类软件同时具备这两种特性呢？请您指教，谢谢！

COMODO其设计内心思想注重的偏向防水墙，而其防火墙部分的规则严谨性还没有得到考验，所以很难评价。
za其实设计就是一款功能全面的防火墙，而防火墙和防水墙则已经不是泾渭分明。所以你可以看作ZA是兼有2者功能的全功能产品，况且现在ZA都有杀毒模块了。。。

3、问题：
①C盘如果只装该系统的话用不了30G吧？还有杀毒软件和类似于office这类和系统紧密联系的软件也应该装在系统盘里吧？

C盘的问题其实是考虑到以后的兼用性，因为C盘分区容量一旦定了很难调整，而系统每次SP升级几乎都是需要占用大量的空间，这个是我在WINDOWS 2003  R2升级的教训，所以这么说得。

②貌似现在出了可以读NTFS的DOS系统了，而且Ghost也能支持NTFS分区了，就不必使用FAT32分区了吧？

支持NTFS的DOS早就有了，但是是付费而且在国内基本都是使用系统自带的，在实际工作中你不可能先去升级DOS，所以DOS的问题就使FAT32有一定必要保留，当然目前基本已经全部NTFS化了，所以保留一个FAT32只是一个比较保险的建议并不强求。况且应对数据流留一个FAT32也挺有用的。

③我现在负责维护学校的WSUS服务器，请问瑞星对补丁是怎样筛选的？

这个不太清楚，应该只是关键的安全更新。

④能不能推荐一款比较适合我这种有一定的安全知识又比较懒的人的HIPS软件？

EQ S3如果还在维护的话，毕竟是国人设计的全中文的。不行找找DefenseWall

4、①我想问问磁盘格式如果不是NTFS就不会有安全选项卡了么？那么如何讲合适转换成NTFS？是重新进行系统分区么？

• 打开命令行方式。依次点击Start（开始）、All Programs（所有程序）、Accessories（附件）、Command Prompt（命令提示符）。
• 在命令提示符窗口中，输入convert <驱动器盘符>: /fs:ntfs。 例如，convert D: /fs:ntfs命令将采用NTFS格式对D驱动器进行格式化。您可以通过这条命令将FAT或FAT32卷转换为NTFS格式。

重要说明：一旦将某个驱动器或分区转换为NTFS格式，您便无法将其恢复回FAT或FAT32格式。如需返回FAT或FAT32格式，您必须对驱动器或分区进行重新格式化，并从相应分区上删除包括程序及个人文件在内的所有数据。

②windows自备的系统还原时间点不是也可以保留电脑内部文件么？简单方便为什么是属于不推荐形式而要在光盘中备份

不要太相信系统还原，它不能解决所有问题，而且所备份的资料也不是很安全病毒，恶意操作都能毁掉备份。所以实体形式的备份更加的妥当。
ps：瑞星有HIPS功能，多个HIPS一定会引发冲突，所以建议新手最好在一台专门的测试机器上练手！

5、系统账户密码有什么具体详细的作用吗？为什么开机时有时候需要选择用户，而有时候系统就自动登录了？

有！就是防盗门钥匙的作用。为什么开机时有时候需要选择用户，而有时候系统就自动登录了？
Microsoft .NET Framework有关，你安装.NET就会有选择，没安装这个就不会。


6、①看到现在很多大的单位都装硬件防火墙，不知道硬件防火墙在防攻击方面相比软件防火墙有哪些优势呢？硬件防火墙就真的无懈可击还是只是相对比较安全？

理论上防火墙看的是设计理念跟软硬无关，但硬件墙有自身的优点不占用系统资源，芯片级的也不受操作系统漏洞影响，实际情况中硬件墙都是做边界控制本地网管是无脑管理的，更重要的硬件墙有很好专业团队维护，所以硬件墙要好于软件。

②瑞星杀毒软件是运行在ring3级还是ring0级？它能否拦截ring0级的系统攻击？

ring0 能拦截
（扫盲：Intel的CPU将特权级别分为4个级别：RING0,RING1,RING2,RING3。Windows只使用其中的两个级别RING0和RING3，RING0只给操作系统用，RING3谁都能用。）

7、老师您好!硬件加密防护和软件加密防护，一样的密码，哪个更加有保护性?两者都什么区别?

密钥一样无区别，硬件密钥主要优点是采用高位数密码，128位 256位等。一般人脑无法记忆的位数。。。

8、TOM2000老师您好：
像虚拟机或者沙盘这类的软件，理论上是穿透不了的，但我曾经用沙盘时被穿透过，虚拟机也看到别人被穿透过，看雪上的一篇帖子，是说病毒穿透了虚拟机，想问一下病毒是如何实现穿透黑盒工具这种功能的？

虚拟机和黑盒是两个概念，一个是硬件模拟一个是软件模拟。
虚拟机被感染的病毒真没见过，但是使用某个虚拟机的安全漏洞的测试不在讨论中。因为要是真的这样几乎所有的杀毒软件都没戏了。
黑盒被穿透很常见。。。。

9、老师想请问一下！像蠕虫这类攻击性很强的病毒，它们都是很大的一个程序吗？

跟复杂性有关，但是一些天才编写往往不大，KB就够了

10、请问老师：我在win7系统下没有找到ntsd，百度了一下说win7没有了，可以去xp下拖一个，这种方法可行么？

win7貌似不能使用FAT32吧（真不支持，百度过了）！所以本就是NTFS还转换什么呢？
非系统分区的转换可以使用其它的专门的转换工具，这里就细说了。

11、FAT32和NTPS盘符有什么区别？

盘符没区别，只是在DOS下你看不见NTFS,比如说你C盘是NTFS，D和E是FAT32，那你在DOS下看见的C其实是D盘，D其实是E盘,以此例推。。。相互转化，只能在XP上用，而且只能从FAT32-NTFS，无法逆向。

12、老师在文中多次提及使用非IE内核的浏览器，其实HIPS可不可以在防御网马上也起到作用呢？一般的网马都需要被下载，3D的HIPS软件虽然检测不到，但是在后期的shellcode调用的时候终究会执行下载的网马，HIPS可以拦截到吧。相对于集成HIPS，但是非正统的杀毒软件来说是不是一个弱势呢？

可以，很多安全软件的主动防御就是这个原理

13、黑盒模式是不是就是类是与沙盒此类的软件中的那种模式？在这种模式下真的就很安全了吗？在这种模式下可以防范那种修改MBR和破坏分区表的病毒？

在不穿透的情况下可以！因为本质病毒并没有对系统本身进行修改，只是改了影子文件而已

14、为什么第三方软件会有安全漏洞，在他们发布之前不是都需要经过各种测试的嘛？

在概率学上，越复杂的事物出现问题的概率越高。所以软件也不例外。测试确是可以解决很多问题，但是一些技术的新发现在当时测试中是无法被修正的，而且测试费时费钱，很多公司都是表面应负了事。

15、网上看到这样一段话“HIPS是以后系统安全发展的一种趋势，只要你有足够的专业水平，你可以只用HIPS而不需杀毒软件。但是HIPS并不能称为防火墙，最多只能叫做系统防火墙，它不能阻止网络上其他计算机对你计算机的攻击行为。”HIPS可以取代杀软？

HIPS的易用性是瓶颈，前两年HIPS是卖点现在已经被“云”代替了。。。

16、老师，我一直都有个问题。每次卡卡提示有系统漏洞时，我都会点击修复，但之后就一点反应都没有了，而且下次开机还会出现相同的提示。我想问一下，卡卡是否修复了漏洞没任何提示吗？还是根本没有修复？

卡卡要下载补丁，并安装，在软件中有提示，你看看是否已经完成下来并安装了

17、HIPS是否等于主动防御，如果不同那两者区别是什么？

就是主动防御，效果要用户说话。。。

18、不推荐全部分区都是NTFS格式，一些操作会有影响。那么哪些操作会受影响呢，能举几个例子吗？

DOS看不到，就很难进行DOS操作，虽然现在很少用DOS命令了。应对NTFS数据流的问题最简单的方法就是从NTFS分区复制到FAT32再复制回来

19、ntsd 不是内部命令。。。是不是应为操作系统是WIN7的缘故呢？

这个只能用在XP上的。。。

【PS】今天的课有结束了，有点儿意犹未尽呀~~
↖(^ω^)↗加油……O(∩_∩)O谢谢Tom老师，辛苦皮班~~
今天才知道原理计算机安全防范里有这么多的学问，之前就像Tom老师说的那样，装了杀软和防火墙，就不管啦~~连升级它都有智能升级呢，就任它自生自灭去吧~~更有甚者，裸奔一段时间，直接重装系统不就OK了嘛~~(*^__^*) 嘻嘻……不只是错一点儿啊，是错的离谱吧。。。
看来是没有真正的安全，只有尽可能的保证安全，不安全的时候能将损失降到最低。为了我的计算机安全，还是需要下一番苦功夫滴……
Y(^o^)Y，今天就到这了，休息，休息一下儿。。。

2010年7月10日 签到 实习生--cherish77

2010年7月11日 签到 实习生--cherish77
加油↖(^ω^)↗~~

2010年7月12日 签到 实习生--cherish77

【Q&A】
1、[rfwtdi / rfwtdi][Running/Auto Start]<\??\E:\rising\Rising\Ris\rfwtdi.sys><Beijing Rising Information Technology Co., Ltd.>
===================以下内容为lqqk7回复==================
一个符号链接，常见于内核级的程序，驱动程序给设备命名，用于内核级的程序查询，而用户级的程序是查询不到的，为了让用户级程序访问设备，就需要用到符号链接，本例中的/??/对应的设备为\Device\Harddisk0\Partition1，即第一块硬盘的第一个分区
关于路径前的特殊符号，如以下两个路径，前面的问号是什么意思？路径到底在哪？
补充：\??\c:\windows\system32\winlogon.exe
\SystemRoot\System32\smss.exe
\??\是一个符号链接，常见于内核级的程序，内核模式下的程序在访问时是使用设备名去访问物理设备的，本例中的\??\C:对应的设备为\Device\Harddisk0\Partition1，即第一块硬盘的第一个分区。但是用户级的程序是无法通过设备名查询的，为了让用户级程序访问设备，就需要使用符号链接。这时用户级程序访问的是c:\windows\system32\winlogon.exe，而内核级程序访问的是\Device\Harddisk0\Partition1\windows\system32\winlogon.exe；
\SystemRoot\实际上也是符号链接，对应的设备是\Device\Harddisk0\Partition1\windows，就是第一块硬盘的第一个分区中的windows目录。

2、①关于病毒，木马病毒最主要的功能仅仅是为了盗取密码账号吗？
②关于SREng日志，系统文件被非法篡改，在日志中是不是看不出来？
③注册表登陆项Userinit如果被篡改，可否删除？
===================以下内容为lqqk7回复==================
①盗取帐号密码是木马病毒的普遍特征，但是当今活跃的病毒之中很多其实已经不只具备单一特性了，有些虽然命名为trojan，但实际上它也具备了下载器的功能；

②“系统文件被非法篡改，在日志中是不是看不出来？如果该系统文件正在内存中运行，比如进程、服务、驱动等，那么通常他是过不了SREng的签名验证这一关的。但是如果这个系统文件当前没有运行，也不在注册表启动项中，这时候日志是无能为力的！

③Userinit键值决不可删除！一定要改回默认值，否则系统将无法登陆，安全模式也不行！

3、关于”正在运行的进程部分“的疑问
在日志中我发现了一下四种形式，能否详细解释一下它们？
[C:\WINDOWS\system32\nvshell.dll]  [, ]
[C:\Program Files\FileZilla FTP Client\fzshellext.dll]  [, 3, 3, 0, 1]
[C:\Program Files\Thunder Network\Thunder\Components\ResWorker\DsBho_00.dll]  [Thunder Networking Technologies,LTD, 1, 0, 0, 19]
[C:\Program Files\KWMUSIC\pd.dll]  [N/A, ]日志中出现N/A这个标识，并不是说它可疑，这个概念一定不要混淆，刚才已经说过了，SREng不具备智能分析的能力，它就是把系统环境以日志的形式呈现出来而已。至于这里为什么显示N/A，是因为这个文件本身不含有厂商和版本信息，所以显示为N/A。

===================以下内容为lqqk7回复==================
[C:\WINDOWS\system32\nvshell.dll]  [, ]——没有厂商信息和版本信息；
[C:\Program Files\FileZilla FTP Client\fzshellext.dll]  [, 3, 3, 0, 1]——没有厂商信息，版本为1.3.3.0；
[C:\Program Files\Thunder Network\Thunder\Components\ResWorker\DsBho_00.dll]  [Thunder Networking Technologies,LTD, 1, 0, 0, 19]——厂商名称：Thunder Networking Technologies,LTD，文件版本1.0.0.19；
[C:\Program Files\KWMUSIC\pd.dll] [N/A] N/A表示未发现异常

4、①如何判断靠Appinit_dlls插入的进程是病毒还是其他的？
②是不是说在日志文件中进程有准确的文件属性版本和公司名就代表它是准确的？
③什么样的正常程序修改会导致ERROR的出现？我们如何判断ERROR是由正常程序修改而非病毒呢？
===================以下内容为lqqk7回复==================
①其实会在Appinit_dlls里插东西的软件并不多，基本上就是安全软件和系统美化类软件，只要通过文件名搜索一下就会了解，必要的时候还可以问一下电脑的主人是否安装了某些美化软件；

②版本和厂商信息伪造起来很容易，但是伪造数字签名是很困难的，所以不能单凭一条就判断它的安全性；

③我想你指的是文件关联里的error吧？这里比较常见的就是.txt文件关联的，它的关联可以是c:\windows\system32\notpad.exe，也可以是c:\windows\notpad.exe，这都是正常的。.chm文件关联显示错误通常是因为没有使用绝对路径；至于其他的错误，只要通过所关联的程序路径去判断就可以了；

5、①当我点击工具SREng中的启动项目选项时，会有一个警告出现，内容是：“警告！注册表UIHost被修改为非正常值（默认值是logonui.exe）。请检查你的系统中可能内存在的计算机病毒”这是什么意思啊？360安全卫士也弹出提示框让阻止这个操作。
②我的注册表启动项中有这么一项
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Active Setup\Installed Components\>{881dd1c5-3dcf-431b-b061-f3f88e8be88a}]
    <Outlook Express><%systemroot%\system32\shmgrate.exe OCInstallUserConfigOE>  [File is missing]文件已经丢失，那这一项还怎么能自动启动呢？以前我的电脑总是自动弹出outlook express，后来我就卸载了，启动项中所有有关outlook express都是[File is missing]。
===================以下内容为lqqk7回复==================
①logonui.exe是windows系统登陆、注销、切换用户时显示的界面，注册表键UIHost的值默认为logonui.exe，这是一个相对路径，有些工具可能会将其修改为绝对路径，这时SREng就会出现这样的警告提示，当然也有可能是病毒篡改了UIHost的键值达到开机启动的目的，具体情况需要看你的日志内容了。至于360的提示是正常情况，UIHost被认为是一个关键启动项，众多安全软件都会保护关键项不被修改，但是目前的软件还达不到人脑的智能程度，只能拦截到试图修改注册表的这个动作，但是不能识别这个动作是不是正常的，所以会给出一个建议拦截的提示！

②File is missing]（文件不存在），这时虽然注册表中的启动项还在，但实际上开机后也是不能运行的了，你列举的就是这种情况，日志中显示的仅仅是一个注册表键值而已，并未显示它当前是否运行；对于[File is missing]的启动项，可以当作注册表垃圾删除掉；
[File is missing]表示文件不存在，没有威胁，通常是系统经过精简去掉了不必要的组件，或病毒文件删除后注册表项有残留，可以将此项删除。

6、为什么在的我电脑中winsock、进程特权扫描和Autorun这三部分显示？
===================以下内容为lqqk7回复==================
Vista和Win7的HOSTS 文件默认就是
127.0.0.1      localhost
::1            localhost
这样的；
而XP的HOSTS 文件默认是
127.0.0.1      localhost
这样的，所以无论显示上述内如还是显示N/A都表示没有发现异常！

7、①驱动程序：[5BBD23A8 / 5BBD23A8][Stopped/Auto Start]<\??\C:\WINDOWS\system32\drivers\5BBD23A8.sys><N/A>这个是正常的么？
②[ASniff Control]
  {B1A7DC5E-BFF1-11D6-8563-00D009D8ED5B} <C:\WINDOWS\system32\ASniff.ocx, ASniff Technology>
[]是什么意思？
===================以下内容为lqqk7回复==================
①这个驱动从路径和文件名来看，首先肯定不是系统文件，也无法判断是否属于某个第三方软件，通过网络搜索也没有获得有价值的信息，且看文件名极有可能是采取了随机命名的方式，所以它非常可疑！通过状态可知其当前并未运行，所以这种情况可以将启动类型改为禁用，然后提取文件上报反病毒厂商分析；

②C:\WINDOWS\system32\ASniff.ocx这个通过网络搜索得知应该是反聚生网管软件或局域网嗅弹工具；
[]表示该CLSID的名称为空，没有对应的路径。

8、[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run]
[HKEY_CURRENT_USER\Software\Microsoft\Windows NT\CurrentVersion\Windows]
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run]
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon]
这四个位置都有启动项，他们有何区别？
===================以下内容为lqqk7回复==================
把注册表路径拆开来看比较容易理解：
HKEY_CURRENT_USER表示针对当前用户的设置；
HKEY_LOCAL_MACHINE表示针对本地计算机的设置；
\Software\Microsoft\Windows这部分表示和windows有关，但和NT无关的设置，这部分设置在非NT内核的Win系统（如win98\winme等）下也是通用的；
\Software\Microsoft\Windows NT这部分表示基于NT内核的功能设置；
\CurrentVersion表示针对当前版本Windows的设置；
\Run表示自动运行相关设置；
\Windows表示和Windows有关的功能；
\Winlogon表示和系统登陆有关的功能；

9、SREng扫描时间过长？
===================以下内容为lqqk7回复==================
一个多小时确实不正常，关掉当前运行的其他第三方程序后再试，或者到安全模式下扫描；

10、老师好，请问为什么一些不安全的文件也会有"Verified"标识呢？
===================以下内容为lqqk7回复==================
这种情况多见于系统文件被感染，病毒同时将dllcache中的备份文件也一同感染，也就是说这个时候原始文件和dllcache里的备份文件均被感染，并且他们两个文件是完全相同的，所以SREng在检测文件SFC状态时就会就会得到一个验证通过的报告。这时文件虽然没有通过数字签名验证，但是通过了SFC验证，就会显示Verified。

11、①驱动程序和软件如此众多服务项目也是很多没见过的，面对这些我们应该怎么辨别？
②以前遇到一个病毒只是单纯的加载了一个动态函数链接库就达到了很强大的目的，我在想要是这个DLL文件名和系统中的DLL文件名一样是不是日志分析就没什么用了呢？
===================以下内容为lqqk7回复==================
①病毒一般都会把自己隐藏在有共同性的目录中，比如机会每个人都把系统装在c:\windows目录中，也就是说几乎每台win系统的电脑都有这个目录，那么病毒藏在这里就不易被发掘，这类目录还有诸如windows下的子目录、IE浏览器目录、C盘根目录、系统还原目录、回收站目录等等，他们都具有共同性。很少有病毒会把自己藏在不具备共同性的目录，比如“e:\forever”这样的路径就不具备共同性，且不说是不是每台电脑都有E盘，这样一个陌生文件夹的突然出现肯定会引起人们的警觉。依据这个原则，再去结合路径判断，比如“D:\chengxu\Thunder Network\Thunder\ComDlls\ThunderAgent5.9.22.1466.dll”这样一个文件，这是迅雷的相关文件，假设你不知道它是什么，但是从路径看，不可能每台电脑都有这样的目录，那么一般病毒就不会选择这里，多半是用户自己安装的软件。分析日志要多练习，看得多了对一些常用的软件相关的文件名就会有印象，少数不常用软件结合搜索引擎搜索，也能够帮助你进行判断。

②至于你说的病毒文件名和系统文件名一样的情况，分两种情况，无论那种情况都需要你对系统关键文件有一定的了解，只要要知道文件名和路径在哪：
A、病毒直接修改或替换了系统正常文件，这种情况下单凭路径和文件名来看都是没问题的，但是有一点，它绝不能通过数字签名的验证；
B、病毒使用和系统文件相同的文件名（如svchost.exe），并将自己放在一个与系统正常文件相似的有迷惑性的目录中，比如c:\windows\system\svchost.exe或c:\windows\svchost.exe，这时你首先要知道系统正常的svchost.exe应该是在c:\windows\system32下，在其他路径下出现高度伪装系统文件的情况，就需要特别注意了！

12、①从什么地方可以看出rpcadmin.dll这个加载项有问题？它看上去和第三行hidserv.dll形式上相似。
②8楼，驱动程序那一页，除了瑞星其他都可疑，  其他从哪看出来可疑？是不是因为文件名比较无规则？
③autorun.inf那一页，例中的abc.exe文件位置在哪？
④隐藏进程那一页，腾讯为什么要隐藏进程？
⑤既然autorun.inf是正常文件，那么删除它会不会造成不良后果？删除之后会不会再生？如何再生？
⑥能否不删除而将其修改为正常文件？
===================以下内容为lqqk7回复==================
①首先要对系统文件有所了解，这样至少可知rpcadmin.dll不是一个系统文件，那么它应该属于病毒或其他第三方程序；其次，还是基于对系统的熟悉，你先要知道系统有一个很重要的服务名为Remote Procedure Call (RPC)，再看它的服务名称为Remote Procedure Call (RPC) Administrative Service，与系统正常服务名相似，有伪装的嫌疑，无论这个文件所在路径还是服务名称还是文件名，都是极力想伪装为RPC相关服务，基于这些因素来看，它高度可疑！

③这里使用的是相对路径，文件在c盘根目录下，即c:\abc.exe；

④隐藏进程分两种，一种是自身具备隐藏的功能，这种情况多见于安全软件和病毒；另一种情况是本身不具备也不需要隐藏，它的进程是被其他程序隐藏的，至于被谁隐藏，要结合进程模块、服务、驱动等综合判断；

⑤autorun.inf是自动播放配置文件，有些正常软件会用到自动播放的功能，比如虚拟系统Prayaya V3，有一个功能就是利用autorun.inf达到双击盘符就运行虚拟系统的功能。这种情况下如果删除autorun.inf，会使这项功能无法正常使用，至于删除后是否重新生产，要看软件开发者是如何设定的了。
同时，病毒也会利用autorun.inf达到双击盘符自动运行的需求，如果病毒主体存在，只要你双击盘符病毒就会自动运行；而如果病毒主体已经不存在而autorun.inf仍然存在，就会造成双击盘符无法打开磁盘的故障，所以这时删除autorun.inf是没有任何不良后果的，而且是非常必要的！至于重新生成的问题，只要没有活体病毒存在，就不会重新生成。

⑥能否不删除autorun.inf，将其改为正常文件？
可以，但没必要，相对于删除来说这样操作更繁琐，但达到的效果是相同的。除非你有特殊需求，比如希望双击盘符的时候自动执行某个设定的程序、或者希望更改盘符图标、又或者希望增加盘符右键菜单中的选项，这些都可以通过autorun.inf实现。但是我不建议你用autorun.inf去实现这些功能，因为部分不严谨的安全软件始终将autorun.inf列入病毒的行列去查杀，另外诸如更改图标、添加右键菜单选项这样的功能，很多系统设置工具都可以更方便的实现。

13、①今天打开SREngLdr.EXE后，选择【工具】→【检查新版本】后，它就停在下图那里了。然后我就在任务管理器里，把它给强制关了，然后就出现了下图中的那个红色框框里的东西，删也删不掉。这个是为什么呀？
②在SREng的标题栏中的数字是版本号吗？还是其他什么？
③在生成的日志文件的【注册表】中
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Active Setup\Installed Components\>{26923b43-4d38-484f-9b9e-de460746276c}]
    <Internet Explorer><%systemroot%\system32\shmgrate.exe OCInstallUserConfigIE>  [File is missing]
可以看到好多的这种数字和字母混合的字符串，它们代表相同的意义吗？都是注册表中的ClassID？
这个Flies is missing是什么意思？对系统有没有影响呢？
④在生成的日志文件的【浏览器加载项】中
[]
  {776B71E2-B4CC-4C94-BC7C-09103AA690B6} <, >
讲义中说这些都是可疑项，那如何判定他到底是不是呢？

⑤在生成的日志文件的【正在运行的进程】部分中
[C:\Program Files\Netease\网易闪电邮\FlashMailShell.dll]  [NetEase, 1.0.0.1]
这个压根儿就没运行的程序，怎么会有？

===================以下内容为lqqk7回复==================

①有些病毒会通过技术手段造成SREngLdr.exe无法运行，所以SREng会在运行时创建一个随机命名的副本，实际运行的是这个副本，在退出SREng时副本会自动删除。但如果非正常退出，这个副本就不会被删除，你需要看一下这个随机命名的程序进程是否已经退出了，如果因为程序异常导致进程没有退出，是不能删除的；
②有些病毒通过获取窗口标题的方式判断当前窗口中的程序是否为安全软件，如果标题固定为“SREng”，则病毒很容易找到它并把它关掉，所以SREng的窗口标题也采用随机命名的方式，让病毒无法通过查找标题来关闭；
是CLSID，对应一个系统组件，或第三方软件；
③Flies is missing表示文件已经不存在，但注册表项还有残留，可以删掉，对系统没有影响；
④通过后面的路径判断的，注意看讲义中的那些加载项，后面是有路径的，在判断时可以根据路径并结合网络搜索；
⑤这是加载到其他进程中的一个模块，用来实现一些功能，比如Winrar，很多人都在使用，只要安装了Winrar就会看到他的模块存在于其他进程中：
[PID: 240][C:\WINDOWS\Explorer.EXE]  [Microsoft Corporation, 6.00.2900.5512 (xpsp.080413-2105)]
    [D:\Program Files\WinRAR\rarext.dll]  [, ]
比如这个是用来实现右键菜单调用Winrar压缩的

14、在注册表中出现的HKEY中的H是指什么？
===================以下内容为lqqk7回复==================
Handle to registry Key简写为HKEY
H=Handle

【PS】那天没来得及整理，今天闲下来了，就补一补~~
O(∩_∩)O谢谢lqqk7老师~~辛苦皮班~~
经过那天的讲义学习和问题的查看，发现日志真是个好东东啊，相当强大，至于日志分析真的的依靠经验的积累和感觉啦，好好学习一下儿，之后再做做练习吧，加油，↖(^ω^)↗~~

2010年7月13日 签到 实习生--cherish77

【Q&A】
1、相同版本的系统的dllcache文件夹的内容都相同吗？安装软件时会不会对这个文件夹中的文件内容进行修改啊？
===================以下内容为lqqk7回复==================
不一定，首先系统版本相同，但不一定打过相同的补丁，微软每月都会发布新的安全补丁，每次打补丁涉及到系统文件的更改时都会同时应用的dllcache中；其次，目前多数人使用的是非常规授权的系统（就是盗版啦....）这些其中大量充斥着私人打包的版本，这些系统多多少少都进行过优化或精简，dllcache只是用来备份原始文件的，它的存在对于系统正常运行来说不是必须的，所以有些精简多度的系统会清空这个目录；还有一些垃圾文件清理工具，会将dllcache目录中的文件当作占用空间的垃圾清理掉。

2、用SREng扫描自己的电脑，持续了很久都没扫描完
===================以下内容为lqqk7回复==================
根据硬件环境和系统环境的不同，扫描用时从几分钟到十几分钟不等，时间太长肯定就不正常了，不排除有其他程序干扰扫描的可能性，可以将当前开启的其他程序关闭后再试，另外在运行SREng过程中如果安全软件出现拦截提示，应该选择允许或放行，只要你是官方下载的SREng，它是不会不经允许的做非法操作的；

3、①请问一下，为什么在电脑中的日记记录的时候，要用环境变量呢，直接用我们熟悉的路径表示不是更好让人解读吗？
②用环境变量会提高系统的安全性吗？还是用环境变量可以提高系统的性能呢？
===================以下内容为lqqk7回复==================
①不是日志要使用变量，而是系统或应用程序在运行时需要使用变量，比如某个软件运行时需要创建临时文件，直接使用“C:\Documents and Settings\Administrator\Local Settings\Temp”去创建行不行呢？绝大多数情况下下这样做没问题，因为现在大多数人都把系统装在C盘，但是对于双系统的人怎么办？开发者当然可以预先设置多个路径去适应不同情况，但是永远不可能考虑到所有可能出现的环境，也会造成代码冗余降低程序执行效率。比如一万个人中只有我一个人把系统装在c:\win目录下，那么此时如果软件试图在在c:\windows下创建文件，在我的电脑上就是行不通的，因为我没有这个目录，所以就要用到环境变量，%systemroot%在那9999个人的电脑上都代表C:\windows，而在我的电脑上%systemroot%则代表C:\win，这样就可以适应所以系统环境。

再举个通俗点的例子，老师需要每个班的男生都出列，那他可以有两种方案，一是把每个班的男生姓名都喊出来，二是直接喊“全体男生出列”，显然第二种方案效率更高。这时“全体男生”就可以看作是一个变量，在一班“全体男生”可能代表“小王、小李、小张、小孙....”，而到了二班“全体男生”就代表“小刘、小陈、小高、小董....”

②使用变量对于系统安全性没什么影响，但是会让程序适应不同的环境，提高执行效率；

4、想请问一下，在HOSTS中想免疫某一个恶意IP地址，那么是在那里修改呢？直接在分析助手里可以改吗？怎么去操作的？
===================以下内容为lqqk7回复==================
hosts可以用来屏蔽恶意网站，但是不能用来屏蔽具体的页面网址，也不能屏蔽IP地址，他的格式是：
IP地址 域名
中间有空格分隔；

举个例子，有一个钓鱼网站域名为www.taoboa.com，这是可以这样屏蔽对他的访问：
127.0.0.1 www.taoboa.com

如果有一个正常的网站，域名为www.abcde.com，该网站的某一个页面被黑客挂马，页面地址为http://www.abcde.com/html/page.html，如果你想单独屏蔽这一个页面而不影响该站点其他页面的访问，hosts是做不到的，即只能这样写来屏蔽整站：
127.0.0.1 www.abcde.com

如果像下面这样写是没有作用的：
127.0.0.1 http://www.abcde.com/html/page.html
127.0.0.1 www.abcde.com/html/page.html

如果你想屏蔽IP，如202.106.0.20，即这样写：
127.0.0.1 202.106.0.20
实际是无效的

所以，如果你想单独屏蔽某个具体的网页，或IP，建议使用防火墙来实现！

5、重启后EXE的文件关联又关联上了一个文件名随机的exe文件，而且这个文件重启前不存在。这是什么情况呢？
===================以下内容为lqqk7回复==================
存在其他活体病毒在关机前（即用户已经选择了关机或重启后）或开机后重新创建随机文件名.exe，并修改.exe文件关联；
这里说的活体病毒可能是一个运行中的进程、服务、驱动、计划任务等等。

6、平时我们用优盘的时候，很多人都说建一个autorun.inf文件在里面会防御病毒的攻击，这是为什么呢？病毒不就是利用系统中autorun.inf的自动播放性，来感染系统的吗？这样做为什么可以起到防御病毒的功效呢？
===================以下内容为lqqk7回复==================
因为windows系统不允许同一目录下存在相同名称的两个或多个文件（文件夹），比如在c:\根目录下，已经存在了一个autorun.inf，无论它是一个文件还是文件夹，无论它的名称是大写还是小写，系统都不允许这里再有其他任何文件夹或文件夹命名为autorun.inf。正是利用这一点，通常在U盘中自行创建一个名为autorun.inf的文件夹，病毒就无法在这里创建同名的文件了！
但是实际上这样做的安全性并不高，对于早起的自动播放病毒来说可能有些成效，之后病毒也在不断改进，病毒可以把你创建的autorun.inf先删掉，然后再创建自己的autorun.inf，所以建议还是配合NTFS权限和杀毒软件来限制autorun.inf的创建更安全些！


7、老师好～日志分析看的真实眼花缭乱啊，以下有几个问题:
①使用分析助手的时候，进程模块列表中的项目字体颜色不同，有的黑色有的红色，请问这代表什么？
②用SREngLog分析出来的日志中自启动项比运行msconfig看到的自启动项多的多，甚至一些早已卸载的程序都在其中，这是为什么？是不是因为没有清理注册表？而且之后我再运行一遍msconfig，发现所有自启动项前面都打了勾，这又是为什么？
③在自启动项中发现很多wlnotify.dll，在原始日志分析文本中如下：
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\crypt32chain]
    <WinlogonNotify: crypt32chain><crypt32.dll>  [(Verified)Microsoft Windows Publisher]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\cryptnet]
    <WinlogonNotify: cryptnet><cryptnet.dll>  [(Verified)Microsoft Windows Publisher]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\cscdll]
    <WinlogonNotify: cscdll><cscdll.dll>  [(Verified)Microsoft Windows Publisher]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\ScCertProp]
    <WinlogonNotify: ScCertProp><wlnotify.dll>  [(Verified)Microsoft Windows Publisher]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\Schedule]
    <WinlogonNotify: Schedule><wlnotify.dll>  [(Verified)Microsoft Windows Publisher]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\sclgntfy]
    <WinlogonNotify: sclgntfy><sclgntfy.dll>  [(Verified)Microsoft Windows Publisher]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\SensLogn]
    <WinlogonNotify: SensLogn><WlNotify.dll>  [(Verified)Microsoft Windows Publisher]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\termsrv]
    <WinlogonNotify: termsrv><wlnotify.dll>  [(Verified)Microsoft Windows Publisher]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\wlballoon]
    <WinlogonNotify: wlballoon><wlnotify.dll>  [(Verified)Microsoft Windows Publisher]
这些是什么程序？
④在驱动程序里看到如下两个文件：
\??\C:\WINDOWS\system32\npkycryp.sys
\??\C:\WINDOWS\system32\npkcrypt.sys
他们公司都为N/A，百度了下有的说是病毒，他们到底是什么呢？
===================以下内容为lqqk7回复==================
①黑色进程标识没有加载模块，红色进程标识加载了其他模块；

②这是由于msconfig和SREng对禁用启动项的处理方式不同造成的；
首先msconfig只检查常规软件最常用的自启动注册表项，用msconfig禁用启动项时，其实并不是把这个启动项从注册表中彻底删除，而是把它从注册表原有位置删除，然后将这条启动项转存到[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\SharedTools\MSConfig\startupreg]
这样做的目的是在msconfig中仍能保存已经禁用的启动项，以备误操作时恢复。而SREng检查的启动项除了msconfig检测的位置外，还有其他很多常规软件可能不常用，但经常被病毒使用的启动项，所以SREng扫出的启动项比msconfig要多，是因为它的检测面更广泛；当使用SREng禁用启动项时，也不是将其删除，而是采取在注册表键值前加分号的方式使路径失效。并且SREng在检测启动项时也会检测msconfig已经禁用的项目（即[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg]），并且把已经被msconfig禁用的项恢复到原有位置，然后再在它的键值前加入分号使路径无效。于是，当你使用SREng检测过启动项之后，再次使用msonfig查看启动项时就会发现，之前禁用的项又被勾选，但是路径前面会多出一个分号！

③这里加载的都是一些需要在系统登陆或注销时运行的程序；

④这两个文件是nProtect键盘加密保护程序，用于防止键盘输入密码时被木马记录，在老版本的QQ中有使用过，还有一些网游也会使用，但是不排除会有病毒伪装的可能性，可以备份后将其删除，这样如果网游登陆时出错可以恢复，也可以提取文件上报反病毒厂商分析

8、lqqk7老师，再请教您几个问题：
①在日志注册表项目中，如出现：
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File
Execution Options\]就一定表明中了IFEO的劫持吗？
②在日志的浏览器加载项部分，有下面两项：
[]
{95B3F550-91C4-4627-BCC4-521288C52977} <, >
[]
{9701758C-4373-482E-B13C-776C048EC890} <, >
不知这两项是否是正常的文件？
===================以下内容为lqqk7回复==================
①不一定，系统默认就有这个项，具体是否被病毒利用，需要看其下的子项；

②这样的加载项可能是某些软件创建的CLSID，也可能是用来免疫某个恶意插件的，一般没什么问题

9、

老师，我还有个问题。如果有病毒依附autorun.inf。我们把autorun.inf删掉，那正常的依附于该文件运行的程序不也就没法运行了吗？不能通过同时修改该文件和配置文件来只禁止病毒文件的运行吗？
===================以下内容为lqqk7回复==================
可以，但是必要性不大，首先说系统默认状态下在磁盘中不会出现autorun.inf，他也不是系统运行所必须的，除非你希望双击盘符不打开磁盘，而是自动运行你指定的某个程序，有这种需求的人应该不多。而且还有一个前提，就是首先要把病毒主体干掉，因为大多数此类病毒如果还在运行，无论你是删除还是修改autorun.inf，病毒都会在重建该文件的

10、老师，我记得之前有一阵子好像可以通过HOSTS修改来访问被屏蔽的utube之类的网站，这是什么原理呢？而且后来这种方法失效了，又是怎么回事啊？

===================以下内容为lqqk7回复==================
youtube这种访问量巨大的网站通常不可能只有一台服务器和一条线路，肯定有多台服务器和多条稳定的线路来分担其庞大的流量，且DNS还具备智能分配最优线路的功能，大致原理是这样的：
假设youtube有3条线路，ip分别为1.1.1.1，2.2.2.2，3.3.3.3；
当用户访问www.youtube.com时，DNS首先获取用户线路，将中国用户分配到1.1.1.1，英国用户分配到2.2.2.2，美国用户分配到3.3.3.3；
当1.1.1.1被GFW屏蔽后，中国用户就无法访问youtube了；
此时可以通过hosts强制将www.youtube.com解析到2.2.2.2或3.3.3.3，这样只要这两个IP没有被屏蔽，就可以正常访问了，只是访问速度可能比DNS只能解析的线路要慢一些。

11、①注册表中的键值IsInstalled、Locale、ComponentID、CloneUser的用途？
②请问Adobe LM Service是什么服务？
③请问[PID: 3472 / s][D:\iSpeak6.5\TipWnd.exe]  [, 1, 0, 0, 1]中的TipWnd.exe是什么程序？
===================以下内容为lqqk7回复==================
①具体指的是在什么位置下的键值呢？不同的注册表项下的键值名有时虽然相同，但作用却有所不同；通常IsInstalled用来标识一个组件是否已在本机安装，Locale通常用来标识区域语言，ComponentID标识组件名称，CloneUser不太清楚；

②是Adobe公司相关软件的激活验证服务，是很多adobe软件的必备组件，比如photshop，如果该服务工作不正常可能会造成软件不能激活；

③首先可以确定不是系统程序，应该是用户自行安装的第三方软件，最简单的方法就是打开安装目录，即D:\iSpeak6.5，一款正规的软件通常会带有版本更新日志或帮助说明文档，进入目录打开一看便知，另外也可以直接搜索iSpeak，可知是一款语音聊天软件

12、请问老师，删除加载在系统文件上的dll病毒文件时，是否需要结束对应的系统进程？如果需要的话，影响到系统运行该怎么办？
===================以下内容为lqqk7回复==================
首先确定进程是什么，如果是病毒进程，当然可以结束掉之后再处理，这对系统不会有什么影响；
如果是系统进程，尤其是一些核心进程，在不能结束的前提下，可以尝试使用各种辅助工具来处理，比如利用工具先将进程中的病毒模块移除，或者用暴力删除工具直接干掉文件；

13、[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon]
<Userinit><C:\WINDOWS\System32\userinit.exe,,"D:\HFEE\SVOHOST.EXE" un userinit.exe>  [File is missing]
我们就直接去[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon]，找到Userinit，他是个键值吗？我们要把它改为改成c:\windows\system32\userinit.exe，是把<C:\WINDOWS\System32\userinit.exe,,"D:\HFEE\SVOHOST.EXE" un userinit.exe>  [File is missing]全部修改为c:\windows\system32\userinit.exe吗？不太明白，请老师指点~谢谢
===================以下内容为lqqk7回复==================
对注册表操作很熟悉的话，可以到注册表中直接操作，但是如果是在论坛帮助别人分析日志的话，一般不能直接确定对方是否具备这种能力。所以推荐使用更安全简便的第三方工具辅助操作，比如SREng本身就具备这样的功能，可以直接删除、编辑启动项。
修改userinit的值指的是将其值改为
c:\windows\system32\userinit.exe,
注意后面的逗号不能少！
更改之后再次扫描日志，日志是这样体现的：
<Userinit><C:\WINDOWS\system32\userinit.exe,>  [(Verified)Microsoft Windows Component Publisher]

14、正在运行的进程
[PID: 1260 / s][D:\HFEE\SVOHOST.EXE]  [, 3000.0.0.0]
这个有问题，是不是因为D:\HFEE\SVOHOST.EXE？默认路径是在c:\windows\SVOHOST.EXE
===================以下内容为lqqk7回复==================
文件名伪装系统文件，这一点很可疑，且系统正常的文件名为svchost.exe，路径为c:\windows\system32\svchost.exe
15、关于数字签名，不知道病毒能不能伪装成经过数字签名的文件，如果能的话，那数字签名的效果又体现在什么情况下呢？
===================以下内容为lqqk7回复==================
可以伪造，但是有难度，大多数病毒不会这样做，而且伪造的签名表面看上去没问题，但是查看详细信息会显示为无效签名，也不会通过SREng的签名验证，很容易识破；

感染正常的带有合法签名的文件时，刻意不去破坏文件中的数字签名信息（可以实现，但也有难度，多数病毒不具备这样的能力），这种情况下签名仍是原有的合法签名，但是文件的哈希值会发生变化，相对来说也是比较容易识破的；

盗用合法商业软件的签名文件，这是最难识破的，因为病毒作者可以直接把病毒主体加上合法签名，想对比哈希值也没有参考值，但是这种情况发生的几率很小了，获得了合法签名的公司一定会严密保管的，想得到它就像得到商业机密那样难，且在我国数字签名是被立法保护的，盗用需承担的风险比单独制造传播病毒更高。

【PS】昨天中期没来得及看，今天补上~~
O(∩_∩)O谢谢lqqk7老师，辛苦皮班~~
继续努力学习~~Good good study，day day up！！！

2010年7月14日 签到 实习生--cherish77
中期完满结束~~又要步入下一阶段了，↖(^ω^)↗~~