1   1  /  1  页   跳转

[问题/讨论] 瑞星卡卡2010暑假实习第四课问题汇总

收藏
本主题由 版主 狮子座小皮 于 2010-7-14 9:27:45 执行 设置高亮 操作
沉很
头像
自信弱冠狮
  • 帖子:447
  • 注册: 2010-05-15
  • 来自:福建
十周年实习生小红花
发表于: 2010-07-14 02:39 | 显示全部 短消息 资料
字号: 1楼

瑞星卡卡2010暑假实习第四课问题汇总

这几天忙死了,这一课到现在才发布,真的对不起啊,这课是坏坏姐代为整理的,谢谢坏坏姐。

至于问题库的话,这一课由于没时间就没添加了,到时三课结束了一起添加给大家,希望大家见谅。真的实在太忙了,我现在9点起床,忙到凌晨4点。请大家见谅啊。


 附件: 您所在的用户组无法下载或查看附件

用户系统信息:Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1; QQPinyin 730; 360SE)
分享到:
gototop
 
沉很
头像
自信弱冠狮
  • 帖子:447
  • 注册: 2010-05-15
  • 来自:福建
十周年实习生小红花
发表于: 2010-07-14 02:39 | 显示全部 短消息 资料
字号: 2楼

回复:瑞星卡卡2010暑假实习第四课问题汇总

瑞星卡卡2010暑假实习第四课问题汇总

收集整理:坏坏
1、问:在预习的过程中发现有问题的部分都有一些共性,在【浏览器加载项】这一部分,是否插件的路径在c:\windows\system32\……都是有问题的呢?
答:不一定,综合多种情况判断,首先需要对系统和常用软件的文件足够熟悉,通过完整路径和文件名看是否输入系统文件或正常软件;另外要看他是否通过签名验证;对于拿不准的文件,百度、google搜一下看看别人的结论也是很有参考价值的;经验就是这样一点一点积累的!

2、问:1启动注册表:找到了瑞星[(Verified)Qizhi Software (beijing) Co. Ltd]
<RisTray><"E:\rising\Rising\Ris\RsTray.exe" -system>  [(Verified)Beijing Rising Information Technology Corporation Limited]
正确的internet<shell><Explorer.exe>  [(Verified)Microsoft Windows Component Publisher]
这样子的<Themes Setup><%SystemRoot%\system32\regsvr32.exe /s /n /i:/UserInstall %SystemRoot%\system32\themeui.dll>  [File is missing]他说明missing有问题么?是有病毒的么?
[(Verified)Qizhi Software (beijing) Co. Ltd]这一部分应该属于前面的一个启动项,后面的<RisTray><"E:\rising\Rising\Ris\RsTray.exe" -system>  [(Verified)Beijing Rising Information Technology Corporation Limited]这部分才是对瑞星监控程序的体现
<shell><Explorer.exe>  [(Verified)Microsoft Windows Component Publisher]Windows的外壳程序,不是internet
[File is missing]不一定有问题,直接从字面就能够理解它表达的含义,即文件不存在;造成文件不存在有很多种情况,比如软件卸载不干净,文件删掉了但注册表启动项还有残留;或是使用优化软件将某些文件当作垃圾文件清除,但它的启动项没有清除;又或者病毒开机启动之后将自身删除以掩人耳目;所以看到[File is missing]不一定就是病毒,还是要结合路径和签名去分析

3、问:我的服务项为[Agere Modem Call Progress Audio / AgereModemAudio][Running/Auto Start]这个与例子中的一点都不一样,是什么原因导致的呢?镜像后面不应该有.dll吧?
答:每个人的系统环境不同,安装的软件不同,所以不存在完全相同的日志;至于映像路径,可以是.exe,也可以是.dll,甚至可以是其他任何合法的后缀。

4、问:驱动:能见到<Agree System>这个是什么意思?在我扫描的日志中经常能看到
[rfwtdi / rfwtdi][Running/Auto Start]<\??\E:\rising\Rising\Ris\rfwtdi.sys><Beijing Rising Information Technology Co., Ltd.>这个是正确的瑞星的服务么?有问号,而
且粒子里面没有它
答:仅通过<Agree System>判断不出什么,需要截取完整项目分析;
\??\ 表示内存中的单个进程;

5、问:浏览器加载项:有(signed)标志的是不是就是可信的?[]
  {e2e2dd38-d088-4134-82b7-f2ba38496583} <%windir%\Network Diagnostic\xpnetdiag.exe, (Signed) N/A>这个是否可疑?有两个类似的语句
(signed)表示为可信任的,但也有少数特例;

6、问:正在进行的进程部分:有的进程是这样子的[PID: 844 / SYSTEM][\??\C:\WINDOWS\system32\csrss.exe] 为什么会有问号出现?
答:\??\ 表示内存中的单个进程;

7、问:文件关联部分:.TXT  Error. [C:\WINDOWS\notepad.exe %1]我的扫描出来真的出现例子中的问题了请问老师这个可能是什么原因?应该如何排查?
C:\WINDOWS\下有notepad.exeC:\WINDOWS\system32下也有notepad.exe,所以这两个路径都是正确的; 排查方法就是看关联的程序时候正常;

8、问:Winsock 提供者
N/A

==================================
Autorun.inf
N/A 这个就是正常扫描的样子吧?
答:Winsock 提供者和Autorun.inf显示N/A就表示不存在异常;

9、问:特殊特权:特殊特权被允许: SeLoadDriverPrivilege [PID = 1424, E:\TUDOU\飞速TUDOU\TUDOUVA.EXE]这个应该就是我不想让飞速土豆开机启动它就启动的原因吧?请问老师我应该怎样禁止他呢?
答:不是因为开机启动导致它要提权,而是因为它需要实现某些功能而需要提升权限,至于权限,有兴趣可以自己搜索一下相关知识,这里的 SeLoadDriverPrivilege应该和安装加载驱动有关;

10、问:入口点为空,API为空,我安装了瑞星全功能软件,可是这里API为空是代表我的瑞星防火墙没起作用么?
答:防火墙能够正常开启就没问题,我的讲义中只是举个例子,做讲义的时候大概是几年前了,软件版本不同而已;

11、问:关于病毒,我想知道:木马病毒最主要的功能仅仅是为了盗取密码账号吗?
答:盗取帐号密码是木马病毒的普遍特征,但是当今活跃的病毒之中很多其实已经不只具备单一特性了,有些虽然命名为trojan,但实际上它也具备了下载器的功 能;

12、问:关于SREng日志,系统文件被非法篡改,在日志中是不是看不出来?
答:系统文件被非法篡改,在日志中是不是看不出来?如果该系统文件正在内存中运行,比如进程、服务、驱动等,那么通常他是过不了SREng的签名验证这一关 的。但是如果这个系统文件当前没有运行,也不在注册表启动项中,这时候日志是无能为力的!

13、问:注册表登陆项Userinit如果被篡改,可以将此键值直接删除吗?
答:Userinit键值决不可删除!一定要改回默认值,否则系统将无法登陆,安全模式也不行!

14、问:我发现有时候电脑中招后日志分析作用不是很大。还有就是一些流氓修改IE的更是有点困难俄难道是偶没学好?
答:不可否认任何工具都不是万能的,但是我们不得不佩服smallfrogs的实力,在一些极端环境中SREng可能起不到任何作用,但是作者也是在不断的更 新完善着这个小工具,有兴趣可以去看看作者的更新日志,至少到目前为止,应对网络中流行的病毒问题还是比较靠谱的。
至于流氓软件修改 IE,需要认真查看IE加载项、进程、服务、驱动,如果主页修复后又被改回,通常是存在一个正在运行中的程序在监视并保护它的键值,仔细查找会有所发现 的。
还有一些流氓软件是通过注册表权限限制了IE主页键值被改写,这种情况日志确实无能为力,需要手动找到键值修改权限即可。
天月的回答:这个需要继续增加新的学习。因为一般扫描工具会不扫描在IE恶改方面需要看的那些注册表项目。

15、问:关于注册表
文件出版的公司信息:例如:
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run]<ctfmon.exe><C:\WINDOWS\system32\ctfmon.exe>
[(Verified)Microsoft Windows Component Publisher]
后面的 [(Verified)Microsoft Windows Component Publisher]
带有(Verified)Microsoft Windows Component Publisher文件一定是正常文件吗?
[(Verified)Microsoft Windows Component Publisher]这种情况基本就是完全可信的了,因为实际上SREng不仅仅验证数字签名,还会通过SFC状态、文件版本信息和微软文件的一些其他特 性去验证,所以准确率是很高的。但如果没有(Verified)或只有[(Verified)]就需要特别留意了;

16、问:如果日志分析中的某一项没有公司信息,如何知道它是不是正常文件呢?
答:通过路径看看是不是你所熟悉的第三方应用软件,如果你不熟悉它,最好的方法就是百度+google,因为在众多的软件中除了一些比较正规的厂商会在自己的 程序中加入厂商信息,更多的程序可能根本就没有这些信息;

17、问:从网上下载的第三方软件,如果它的公司信息自己不熟悉,如何辨别它是不是恶意软件?
答:16问!分析日志离不开百度和google,这个过程也是积累经验的过程!

18、问:如果一个病毒假冒系统文件名,如何能分辨出来呢?
15里面提到了SREng验证系统文件的机制,所以如果没有(Verified)标识或缺少厂商信息,就需要注意了!

19、问:关于驱动程序的疑问:
[rsfwdrv / rsfwdrv][Running/System Start]
  <\??\C:\Program Files\Rising\RFW\rsfwdrv.sys><Beijing Rising Information Technology Co., Ltd.>
[rfwtdi / rfwtdi][Running/Auto Start]
  <\??\C:\Program Files\Rising\RFW\rfwtdi.sys><Beijing Rising Information Technology Co., Ltd.>
这两行是否说明潜藏着病毒呢?若含有\??\的项是不是一定存在问题呢?
答:看它的状态是[Running/Auto Start],即正在运行,所以是肯定存在的。\??\表示已经注入内存,引用的是内存中的路径;但是不能通过[Running/Auto Start]\??\就判断存在问题,需要通过路径和厂商标识综合判断;

20、问:关于浏览器加载项的疑问
[启动迅雷5]
  {09BA8F6D-CB54-424B-839C-C2A6C8E6B436} <C:\Program Files\Thunder Network\Thunder\Thunder.exe, Thunder Networking Technologies,LTD>
[]
  {0A155D3C-68E2-4215-A47A-E800A446447A} <, >
[Windows Live Toolbar Helper]
  {E15A8DC0-8516-42A1-81EA-DC94EC1ACF10} <C:\Program Files\Windows Live\Toolbar\wltcore.dll, (Signed) Microsoft Corporation>
[]
  {E2E2DD38-D088-4134-82B7-F2BA38496583} <, >

发现我的日志中还有其他类似的可 疑项,用瑞星杀毒没发现病毒,此时可疑排除它的非安全性吗?
答:你这里列出的4个加载项都是安全的,判断不能完全以来杀毒软件是否报毒,如果杀毒软件能够查杀所有的病毒,那么日志也就没有存在的必要了;
最后编辑沉很 最后编辑于 2010-07-14 02:47:20
gototop
 
沉很
头像
自信弱冠狮
  • 帖子:447
  • 注册: 2010-05-15
  • 来自:福建
十周年实习生小红花
发表于: 2010-07-14 02:40 | 显示全部 短消息 资料
字号: 3楼

回复:瑞星卡卡2010暑假实习第四课问题汇总

1、问:关于正在运行的进程部分的疑问
在日志中我发现了一下四种形式,能否详细解释一下它们?
[C:\WINDOWS\system32\nvshell.dll]  [, ]
[C:\Program Files\FileZilla FTP Client\fzshellext.dll]  [, 3, 3, 0, 1]
[C:\Program Files\Thunder Network\Thunder\Components\ResWorker\DsBho_00.dll]  [Thunder Networking Technologies,LTD, 1, 0, 0, 19]
[C:\Program Files\KWMUSIC\pd.dll]  [N/A, ]
[C:\WINDOWS\system32\nvshell.dll]  [, ]——没有厂商信息和版本信息;
[C:\Program Files\FileZilla FTP Client\fzshellext.dll]  [, 3, 3, 0, 1]——没有厂商信息,版本为1.3.3.0
[C:\Program Files\Thunder Network\Thunder\Components\ResWorker\DsBho_00.dll]  [Thunder Networking Technologies,LTD, 1, 0, 0, 19]——厂商名称:Thunder Networking Technologies,LTD,文件版本1.0.0.19
[C:\Program Files\KWMUSIC\pd.dll]

2、问:其他的部分疑问
API HOOK
入口点错误:ShellExecuteExW (危险等级: 一般被下面模块所HOOK: C:\Program Files\Maxthon2\Modules\MxKWS\kswebshield.dll)

 附件: 您所在的用户组无法下载或查看附件
上面的日志项的问题怎么解决呢?
C:\Program Files\Maxthon2\Modules\MxKWS\kswebshield.dll,通过路径判断应该是傲游浏览器中的金山网盾模块,HOOK 的目的应该是实现过滤网址的功能,所以如果你需要使用傲游浏览器的相关功能,那就不要管它。

3、问:一般来说您是怎么分析日志的?扫出来的日志很多,如果不用分析助手的话,我想我都要崩溃了。
答:不是说完全不能使用分析助手,分析助手的分类分项显示确实比较省眼睛,但是用分析助手的话一定要保证没有遗漏,至少要分析完之后再用记事本简单的过一遍日志;

4、问:空项和没有公司签名的项一般来说怎么判断是不是病毒?
答:如果那不是你所熟悉的,就只有求助于百度和google了,没有那个人能够一眼认出所有的程序;

5、问:微软签名没通过的项目是不是重点的怀疑对象
没错!

6、问:autorun.inf 是否都是病毒?
答:autorun.infwindows提供的自动播放功能的配置文件,它本身不是病毒,具体是否被病毒利用要看它的内容了;

7、问:特权进程怎么判断其合法性?
答:通过路径看看是不是你所熟知的第三方程序,通常病毒很少会把自己放在一个不具备共性的路径下,简单来说几乎每个人安装windows的时候都会选择默认路 径,那么像C:\windows这样的目录就是具备共性的,几乎每个人的电脑都有这个目录,像这样的目录就是病毒常用的藏身之处。而我的电脑中安装了 foxmail,而你的电脑中没有安装,那么如果病毒把自己放在foxmail目录里的话,显然对于你来说,只要稍微了解一点尝试就很容易发现了!

8、问:如何判断靠Appinit_dlls插入的进程是病毒还是其他的?
答:其实会在Appinit_dlls里插东西的软件并不多,基本上就是安全软件和系统美化类软件,只要通过文件名搜索一下就会了解,必要的时候还可以问一下 电脑的主人是否安装了某些美化软件;

9、问:是不是说在日志文件中进程有准确的文件属性版本和公司名就代表它是准确的?
答:版本和厂商信息伪造起来很容易,但是伪造数字签名是很困难的,所以不能单凭一条就判断它的安全性;

10、问:.什么样的正常程序修改会导致ERROR的出现?我们如何判断ERROR是由正常程序修改而非病毒呢?
答:我想你指的是文件关联里的error吧?这里比较常见的就是.txt文件关联的,它的关联可以是c:\windows\system32 \notpad.exe,也可以是c:\windows\notpad.exe,这都是正常的。.chm文件关联显示错误通常是因为没有使用绝对路径;至 于其他的错误,只要通过所关联的程序路径去判断就可以了;

11、问: SREng中有一部分一直不是很明白,就是启动项目-注册表中的以下值,数字签名已去掉:
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\crypt32chain]
    <WinlogonNotify: crypt32chain><crypt32.dll>
。。。。。。。。。
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\wlballoon]
    <WinlogonNotify: wlballoon><wlnotify.dll>
他们是什么作用?
答:WinlogonNotify项通常是在系统登陆和注销的时候产生作用的,至于rypt32.dllwlnotify.dll文件,百度一下便知其作 用。不过没有签名和厂商信息存在被病毒修改或替换的可能性;

12、问:SREng日志有时会出现扫描时间长长的现象,有时达到20分钟以上(并没有打开其他程序)。打开保存后的日志 ,发现主要是服务,驱动,正在运行的程序中的dll,大幅增多。怀疑是SREng的过滤机制出现问题。这种现象是因为什么?怎样解决?  下面是一些例子:
服务(我感觉正常情况下,这些不应出现在SREng日志中):
[Portable Media Serial Number Service / WmdmPmSN][Stopped/Manual Start]
  <C:\WINDOWS\System32\svchost.exe -k netsvcs-->C:\WINDOWS\system32\mspmsnsv.dll><Microsoft Corporation>
[Windows Management Instrumentation Driver Extensions / Wmi][Stopped/Manual Start]
  <C:\WINDOWS\System32\svchost.exe -k netsvcs-->%SystemRoot%\System32\advapi32.dll><Microsoft Corporation>
驱动:
[IP Traffic Filter Driver / IpFilterDriver][Stopped/Manual Start]
  <system32\DRIVERS\ipfltdrv.sys><Microsoft Corporation>
[IP in IP Tunnel Driver / IpInIp][Stopped/Manual Start]
  <system32\DRIVERS\ipinip.sys><Microsoft Corporation>
正在运行的进程:
C:\WINDOWS\system32\winlogon.exe]  [Microsoft Corporation, 5.1.2600.5512 (xpsp.080413-2113)]
    [C:\WINDOWS\system32\ntdll.dll]  [Microsoft Corporation, 5.1.2600.5755 (xpsp_sp3_gdr.090206-1234)]
    [C:\WINDOWS\system32\kernel32.dll]  [Microsoft Corporation, 5.1.2600.5781 (xpsp_sp3_gdr.090321-1317)]
    [C:\WINDOWS\system32\ADVAPI32.dll]  [Microsoft Corporation, 5.1.2600.5755 (xpsp_sp3_gdr.090206-1234)]
答:这种情况确实存在,原因我不清楚,有机会可以问问SREng的作者;

13、问:老师在平时我们经常碰见替换系统文件的病毒,我们应该通过什么简单易行的方法,帮助求助者将正常的文件换回?有什么好的工具可以推荐么?
答:工具见反病毒版块天月版主的置顶帖~

14、问:在判断驱动程序这一部分是否有问题时,一般情况下是否可以直接看后面是否出现公司的信息来决定驱动是否有问题?
有后面不出 现<Beijing Rising Information Technology Co., Ltd.>类似信息的驱动还是正常的吗?有的话举个例子!!
答:只有一些比较正规的研发团队会很注重文件的厂商信息和版本信息,其他很多小型团队或个人开发者可能没有这个意识,所以在无数应用程序中,没有任何版本和厂 商标识的文件比比皆是,但是并不是说没有这些信息就不正常,例如:
daemon虚拟光驱软件的驱动:
[d347bus / d347bus][Stopped/Boot Start]
  <\SystemRoot\system32\DRIVERS\d347bus.sys><>
[d347prt / d347prt][Running/Boot Start]
  <\SystemRoot\System32\Drivers\d347prt.sys><>

15、问:当我点击工具SREng中的启动项目选项时,会有一个警告出现,内容是:警告!注册表UIHost被修改为非正常值(默认值是 logonui.exe)。请检查你的系统中可能内存在的计算机病毒这是什么意思啊?360安全卫士也弹出提示框让阻止这个操作。
答:logonui.exewindows系统登陆、注销、切换用户时显示的界面,注册表键UIHost的值默认为logonui.exe,这是一个相对路 径,有些工具可能会将其修改为绝对路径,这时SREng就会出现这样的警告提示,当然也有可能是病毒篡改了UIHost的键值达到开机启动的目的,具体情 况需要看你的日志内容了。至于360的提示是正常情况,UIHost被认为是一个关键启动项,众多安全软件都会保护关键项不被修改,但是目前的软件还达不 到人脑的智能程度,只能拦截到试图修改注册表的这个动作,但是不能识别这个动作是不是正常的,所以会给出一个建议拦截的提示!

16、问:SREng工具智能扫描一般需要多长时间啊?我的扫描了将近两个小时了,还没有完成。
答:扫描时间根据硬件环境和当前运行的程序的不同有所不同,一般在几分钟到十几分钟,两个小时就不正常了,可以尝试关掉当前运行的第三方应用程序后再试,也可 以到安全模式下尝试;

17、问:我的注册表启动项中有这么一项
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Active Setup\Installed Components\>{881dd1c5-3dcf-431b-b061-f3f88e8be88a}]
    <Outlook Express><%systemroot%\system32\shmgrate.exe OCInstallUserConfigOE>  [File is missing]
文件已经丢失,那这一项还怎么能自动启动呢?
ps: 以前我的电脑总是自动弹出outlook express,后来我就卸载了,启动项中所有有关outlook express都是[File is missing]
[File is missing](文件不存在),这时虽然注册表中的启动项还在,但实际上开机后也是不能运行的了,你列举的就是这种情况,日志中显示的仅仅是一个注册表 键值而已,并未显示它当前是否运行;对于[File is missing]的启动项,可以当作注册表垃圾删除掉;

18、问:[Help and Support / helpsvc][Stopped/Disabled]
  <C:\WINDOWS\System32\svchost.exe -k netsvcs-->%WINDIR%\PCHealth\HelpCtr\Binaries\pchsvc.dll><N/A>
这 个服务是不是有问题啊?正常的系统文件后加载了%WINDIR%\PCHealth\HelpCtr\Binaries \pchsvc.dll><N/A>
怎样才能开机的时候不启动某些服务啊?
答:从服务名和路径看,没问题,是系统的帮助服务,但是没有包含文件信息,存在被修改或替换的可能性,但是有一个细节你没注意到,它的状态是 [Stopped/Disabled],这表明这个服务处于被禁用状态,且当前没有运行;

19、问:驱动程序中
[tifm21 / tifm21][Stopped/Manual Start]
  <system32\drivers\tifm21.sys><N/A>
这个是不是很可疑啊?没有明确的写出发行商。
答:通过路径看,这不是一个我们所熟知的程序,通过搜索也不能获取到太多有价值的信息,那么它的可疑程度的确很高,但是至少当前它没有运行,可以选择暂不处 理,找到文件上报给反病毒厂商进一步分析;
最后编辑沉很 最后编辑于 2010-07-14 02:53:26
gototop
 
沉很
头像
自信弱冠狮
  • 帖子:447
  • 注册: 2010-05-15
  • 来自:福建
十周年实习生小红花
发表于: 2010-07-14 02:40 | 显示全部 短消息 资料
字号: 4楼

回复:瑞星卡卡2010暑假实习第四课问题汇总

20、问:浏览器加载项中
[]
  {0347C33E-8762-4905-BF09-768834316C61} <, >
[]
  {0468C085-CA5B-11D0-AF08-00609797F0E0} <, >
是不是很可疑啊?这个怎么判断它是否安 全啊?
答:这样的加载项通常是只在注册表中存在一个CLSID键值,但是没有对应的文件,通常不具备威胁,可能是安装某些第三方程序时写入的CLSID,也可能是用 来免疫某些恶意插件的;

1、问:正在运行的进程中
[PID: 632 / Administrator][C:\WINDOWS\Explorer.EXE]  [(Verified) Microsoft Corporation, 6.00.2900.5512 (xpsp.080413-2105)]
    [C:\Program Files\Common Files\Adobe\Acrobat\ActiveX\PDFShell.CHS]  [, ]
    [C:\Program Files\WinRAR\rarext.dll]  [N/A, ]
这两个加载项是不是很可 疑啊?
加载的具体含义是什么啊?就是进程632运行的时候,这些东西也随着它一起运行吗?
答:可疑度不高,通过路径就可以判断出属于Adobe ReaderWinRAR的相关文件,只是没有包含厂商和版本信息而已;

2、问:Winsock 提供者  是什么意思啊?为什么我的这项是N/A啊?
答:相关知识可见:http://baike.baidu.com/view/1172480.htm
这项显示N/A表示未发现异常;

3、问:进程特权扫描中
特殊特权被允许: SeLoadDriverPrivilege [PID = 2524, C:\DOCUMENTS AND SETTINGS\ADMINISTRATOR\桌面\工具\SRENGLDR.EXE]
这个是SREng中的进程吗?这有什么用啊?
答:通过路径判断一下,如果你把SREng存放在C:\DOCUMENTS AND SETTINGS\ADMINISTRATOR\桌面\工具目录下,那么就是了。提升特权是为了实现一些特殊的功能,比如加载驱动,如果软件本身不需要提 权,就需要关注一下程序进程中加载的模块了。

4、问:计划任务中的任务有什么作用啊?
答:计划任务,顾名思义,就是让系统按照预先设置的计划执行一些操作;

5、问:经常看到NT环境,NT环境主要指的是什么?我们不是主要用的XP或者win7 vista之类的操作系统么,那windows NT又是做什么的?上网搜了一下感觉解释的不太直观,还是不太懂。
答:早年间,微软和IBM共同开发了一个名为OS/2的系统,后因技术上的分期转化为两个不同的系统,IBM继续维护OS/2系统,微软则将自己的OS/2命 名为Windows NTNTNew Technology的缩写。所以通常所说的NT,就是对系统内核架构的命名,就像IntelCPU除了除了人们熟知的型号名称,还有一个核心代号一 样,至于现在常用的XP,是基于NT 5.1开发的,VistaNT 6.0Win7NT 6.1

6、问:我的浏览器加载项里存在这样的
[]
  {FB5F1910-F110-11D2-BB9E-00C04F795683} <, >
这个是不是病毒?为什么后面的尖括号里什么都没有?是否可以删掉?
答:因为注册表里的键值就是这个样子,只有一个CLSID,没有文件路径,这种情况可能是第三方软件创建的CLSID,也可能是用来免疫恶意插件的,可以删除;

7、问:一般怎样判断注册表项是否为可疑,还是抓不到感觉。
答:其实一开头你的理解就是正确的,分析日志靠的就是丰富的经验和对系统文件常用软件的熟悉程度,这个没什么捷径可走;

8、问:.昨天没发现 今天才发现打开SRE会出现这个。。= =。。为什么会出现这样的东西。。

 附件: 您所在的用户组无法下载或查看附件
答:360的这个提示应该跟SREng本身对系统文件的验证机制有关,选择允许即可;

9、问:为什么在的我电脑中winsock、进程特权扫描和Autorun这三部分显示成这样:(我的是Vista系统)
==================================
Winsock 提供者
N/A

==================================
Autorun.inf
N/A

==================================
HOSTS 文件
127.0.0.1      localhost
::1            localhost

==================================
进 程特权扫描
N/A

==================================
是系统有问题吗?如果不是,怎 样设置,使它正常显示出来。
答:Winsock 提供者、Autorun.inf、进程特权扫描这三项如果显示为N/A,则表示没有发现异常;
VistaWin7HOSTS 文件默认就是
127.0.0.1      localhost
::1            localhost
这样的;
XPHOSTS 文件默认是
127.0.0.1      localhost
这样 的,所以无论显示上述内如还是显示N/A都表示没有发现异常!

10、问:在计划扫描这一部分,我发现我的一个程序已经卸载了,但是为什么在这里显示【已启动】,我的是vista系统。这里显示【已启动】的程序就是开机启动项 吗?
答:计划任务中显示的已启用并不一定是表示一开机他就马上启动,而是表示这个任务是有效的,而程序要在何时启动要看任务如何设定的,可能是在某个时间点,也可 能是在某个周期内;
至于你说的程序已经卸载,但还在计划任务中,应该是本身没有卸载干净,只要自己把这个任务删掉即可;

11、问:老师请问一下!
出现下面的现象:
==================================
API HOOK
N/A

==================================
隐 藏进程
N/A
一般是表示系统正常的是吧?
答:这两项显示N/A也表示没有发现异常

12、问:驱动程序:[5BBD23A8 / 5BBD23A8][Stopped/Auto Start]
  <\??\C:\WINDOWS\system32\drivers\5BBD23A8.sys><N/A>
这个是正常 的么?
答:这个驱动从路径和文件名来看,首先肯定不是系统文件,也无法判断是否属于某个第三方软件,通过网络搜索也没有获得有价值的信息,且看文件名极有可能是采取 了随机命名的方式,所以它非常可疑!通过状态可知其当前并未运行,所以这种情况可以将启动类型改为禁用,然后提取文件上报反病毒厂商分析;

13、问:浏览器加载项:
[ASniff Control]
  {B1A7DC5E-BFF1-11D6-8563-00D009D8ED5B} <C:\WINDOWS\system32\ASniff.ocx, ASniff Technology>
[]
  {E2883E8F-472F-4FB0-9522-AC9BF37916A7} <, >
[]
  {00000000-0000-0000-0000-000000000000} <, >
[]
  {00000000-12C9-4305-82F9-43058F20E8D2} <, >
这个是正常的么?还有一个:上面的[]是什么意思?
答:C:\WINDOWS\system32\ASniff.ocx这个通过网络搜索得知应该是反聚生网管软件或局域网嗅弹工具;
其他三个是空的 CLSID,可能是第三方软件创建的或免疫恶意插件用的;
[]表示该CLSID的名称为空;

14、问:[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run]
[HKEY_CURRENT_USER\Software\Microsoft\Windows NT\CurrentVersion\Windows]
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run]
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon]
这四个位置都有启动项,他们有何区别?
答:把注册表路径拆开来看比较容易理解:
HKEY_CURRENT_USER表示针对当前用户的设置;
HKEY_LOCAL_MACHINE 表示针对本地计算机的设置;
\Software\Microsoft\Windows这部分表示和windows有关,但和NT无关的设置,这部 分设置在非NT内核的Win系统(如win98\winme等)下也是通用的;
\Software\Microsoft\Windows NT这部分表示基于NT内核的功能设置;
\CurrentVersion表示针对当前版本Windows的设置;
\Run表示自动运行相 关设置;
\Windows表示和Windows有关的功能;
\Winlogon表示和系统登陆有关的功能;

15、问:我做了一下您去年给出的练习
练习地址:http://bbs.ikaka.com/showtopic-8640994.aspx
在 日志中,我看到浏览器加载项。
[]
  {6AD31948-2ED9-4A2B-85EA-105DD4F656B4} <, >
[]
  {33564D57-9980-0010-8000-00AA00389B71} <, >
[]
  {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} <, >
[]
  {D18A0B52-D63C-4ED0-AFC6-C1E3DC1AF43A} <, >
自己感觉这些无名称的加载项很可疑,为什 么在参考答案中放过了这些项目呢?
答:因为他们仅仅有一个CLSID而已,没有对应的文件路径;
最后编辑沉很 最后编辑于 2010-07-14 02:57:24
gototop
 
沉很
头像
自信弱冠狮
  • 帖子:447
  • 注册: 2010-05-15
  • 来自:福建
十周年实习生小红花
发表于: 2010-07-14 02:58 | 显示全部 短消息 资料
字号: 5楼

回复:瑞星卡卡2010暑假实习第四课问题汇总

16、问:另外在练习中,我看到类似:
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Active Setup\Installed Components\>{26923b43-4d38-484f-9b9e-de460746276c}]
    <Internet Explorer><%systemroot%\system32\shmgrate.exe OCInstallUserConfigIE>  [File is missing]
什么情况下会导致文件丢失?文件丢失现象会是病毒引 起的吗?
答:文件丢失有很多种情况,针对系统文件丢失,比较常见的就是用了第三方封装的系统,将不必要的组件精简掉了。另外也有可能是第三方软件卸载不干净,导致注册 表残留。当然,也有可能是病毒导致的,病毒可能删除掉那些可能干扰它正常运行的程序。

17、问:现在有病毒使用的是真实的签名,这个是不是只有通过文件名和对应签名来依靠经验判断了?
答:对于极少数能够成功伪造签名的病毒,基本上经验判断占大多数了;

18、问:对于一些相对智能的分析工具,是不是就不能用直接过滤签名功能来排除具有签名的文件了吧?
答:这个,不知道你指的是什么工具,智能化程度有多高?这种只能至少也是建立在人为指定规则的基础上的,所以还是看规则的完善程度了;

19、问:对于伪造的数字签名如何更好的识别而不遗漏呢?
答:经验!没什么好办法,不过伪造微软签名应该可以被SREng识破吧,至少从SREng对系统文件的验证机制来看,伪造是行不通的;
gototop
 
<<上一主题|下一主题>>
1   1  /  1  页   跳转
页面顶部
Powered by Discuz!NT