【原创】HijackThis日志自动分析服务存在的问题汇总
朋友们:
大家好。对于HijackThis这个反病毒利器,或许诸位都是不陌生的,它产生的日志能够帮助分析计算机可能存在一些问题。
鉴于对于初识HijackThis的朋友来说,分析它的日志会有稍许的困难,所以一般推荐新朋友使用HijackThis的日志自动分析服务,服务链接是
http://www.hijackthis.de/,只需将记事本中的日志贴到分析的区域,然后按“Analyze”按钮,就能自动地对日志项进行判别:“Nasty”,有害项目;“Unknown”,未知项目;“Safe”,可靠项目。您可以参考分析结果进行修复。
虽然如此,这项服务还是有些漏洞的,具体表现为:
1、进程丢失:C:\Windows\Explorer.com明显是个病毒进程,但是在自动分析的过程中,该C:\Windows\Explorer.com进程会被分析器忽略,具体表现为进程丢失;
2、服务项丢失:日志尾端的服务项会被忽略,情况同1;
3、进程判别错误:常见的进程C:\Windows\System32\Conime.exe(输入法编辑器进程)会被自动分析服务判别为“Nasty”,原因是它和一个远程控制木马同名;
4、缺失版本情况下的进程判别错误:如果在自动分析时日志缺少版本号,自动分析服务将会把有些正常的,路径为C:\Windows\Rundll32.exe的文件(16进制和32进制混用的操作系统会有这个文件)判别为“Nasty”,而事实上它是一个正常的文件;
5、恶意进程判别模棱两可(这个不是严重的问题,只是需要您注意相关信息):在判别一些与正常进程同名的进程时(即使路径有很明显的问题),也会被误判为“Safe”,但是如果您仔细检查文件信息,自动分析服务会提醒您该文件的正常路径。
以上问题会通过电邮反映给相关网站的负责人。
综上所述,虽然HijackThis日志自动分析服务方便实用,但是鉴于它存在的一些问题,我们需要进行甄别它所给出的一些分析结果是否正确。另外,如果能在分析时给出版本号,那么其精度也会相应地提高些。
天使之剑祝您在反浏览器劫持论坛取得收获。
