7月8日 日志分析 练习1
即日起每日会给大家提供一些染毒环境的SREng日志,因为部分实习生是第一次接触SREng这个工具,对日志分析不熟悉,如果冒然跑去反病毒区回帖,一旦出现误判,可能对求助者不利,因此采用这种“内部”交流的方式,希望大家能够多练习,真正分析日志的方法是靠自己实践摸索出来的!注:日志分析练习情况与大家的实习期总成绩没有关联,请大家不要有顾虑,放心大胆的练习!
附件:
您所在的用户组无法下载或查看附件========以下为参考分析结果========异常项见附件(仅保留日志中可疑度较高的项)
注意:1、处理时注意userinit项,不要删除该键值,而是改成c:\windows\system32\userinit.exe,
2、劫持项只要清除对应的注册表键值即可,不要试图删除劫持指向的文件,C:\WINDOWS\system32\csrss.exe是系统文件,不可删除
3、C:\WINDOWS\system32\drivers\GuiHelp.sys对于不熟悉的文件,通过网络搜索,发现众说纷纭,这时不要轻易去做处理,可以讲拿不准的文件上报给反病毒厂商进一步诊断
4、D:\HFEE\SVOHOST.EXE,不多说了,明显伪装系统文件
附件:
您所在的用户组无法下载或查看附件
