7月9日日志分析练习3 - 瑞星卡卡安全论坛bbs.ikaka.com

瑞星卡卡安全论坛综合娱乐区 活动专区 实习生专区 实习生交流区 7月9日日志分析练习3

	瑞星“1+2”全新解决方案巡展在广州画上圆满句号		叶院长揭秘：瑞星如何运用AI技术革新网络安全		俄乌冲突加剧网络攻击风险白俄罗斯政府遭APT攻击		瑞星ESM防病毒系统助力矿业大学筑牢网络安全防线
	实力拉满瑞星第五十次通过VB100测评		请移步新论坛反馈问题或参与讨论		护航司法，瑞星助力山西省高院构建安全防线		人工智能在网络安全领域的风险和机遇

12

2 / 2 页

跳转页

[练习] 7月9日日志分析练习3

本主题由大版主 lqqk7 于 2009-7-9 9:54:45 执行设置高亮操作

精神病院看门的禁止访问帖子:346 注册: 2009-06-11 来自:	发表于： 2009-07-10 10:57 \| 短消息资料字号：小中大 11楼回复: 7月9日日志分析练习3 该用户帖子内容已被屏蔽青春就像卫生纸用着用着就没有了……
精神病院看门的禁止访问帖子:346 注册: 2009-06-11 来自:

凡尘之沙叱咤花甲狮帖子:6814 注册: 2008-09-14 来自:安徽蚌埠	发表于： 2009-07-10 11:10 \| 短消息资料字号：小中大 12楼回复：7月9日日志分析练习3 希望老师给于点评让我们知道错在哪里加以改正
凡尘之沙叱咤花甲狮帖子:6814 注册: 2008-09-14 来自:安徽蚌埠

merrk_chuan 飘泊而立狮帖子:845 注册: 2009-06-07 来自:	发表于： 2009-07-10 11:22 \| 短消息资料字号：小中大 13楼回复: 7月9日日志分析练习3 引用: 原帖由 daemonz 于 2009-7-10 8:21:00 发表谢谢，是不是正常的系统文件都要有微软的签名啊这个就不一定了，比如：<C:\windows\System32\svchost.exe -k netsvcs-->%SystemRoot%\System32\hidserv.dll><N/A> 这样的没签名也是正常的，主要还是要靠经验的积累。
merrk_chuan 飘泊而立狮帖子:845 注册: 2009-06-07 来自:

dipahole 飘泊而立狮帖子:634 注册: 2009-06-05 来自:洛克公园	发表于： 2009-07-10 21:14 \| 短消息资料字号：小中大 14楼回复：7月9日日志分析练习3 C:\WINDOWS\system32\NsPass0.sys C:\WINDOWS\system32\NsPass1.sys C:\WINDOWS\system32\NsPass2.sys C:\WINDOWS\system32\NsPass3.sys C:\WINDOWS\system32\NsPass4.sys C:\WINDOWS\system32\Nskhelper2.sys 似乎就是这些驱动..
dipahole 飘泊而立狮帖子:634 注册: 2009-06-05 来自:洛克公园

零度的穷浪漫自信弱冠狮帖子:499 注册: 2009-06-25 来自:	发表于： 2009-07-29 16:56 \| 短消息资料字号：小中大 15楼回复：7月9日日志分析练习3 1.[MosIrUsb.sys / MosIrUsb][Stopped/Manual Start] <system32\DRIVERS\MosIrUsb.sys><> [NsDlRK250 / NsDlRK250][Stopped/Manual Start] <\??\C:\WINDOWS\system32\Nskhelper2.sys><N/A> [NsPsDk00 / NsPsDk00][Stopped/Manual Start] <\??\C:\WINDOWS\system32\NsPass0.sys><N/A> [NsPsDk01 / NsPsDk01][Stopped/Manual Start] <\??\C:\WINDOWS\system32\NsPass1.sys><N/A> [NsPsDk02 / NsPsDk02][Stopped/Manual Start] <\??\C:\WINDOWS\system32\NsPass2.sys><N/A> [NsPsDk03 / NsPsDk03][Stopped/Manual Start] <\??\C:\WINDOWS\system32\NsPass3.sys><N/A> [NsPsDk04 / NsPsDk04][Stopped/Manual Start] <\??\C:\WINDOWS\system32\NsPass4.sys><N/A> 停止运行？是不是可以删除啊？ 2.那计划任务是怎么回事啊？零度的穷浪漫最后编辑于 2009-07-29 17:02:13
零度的穷浪漫自信弱冠狮帖子:499 注册: 2009-06-25 来自:

still刀刀自信弱冠狮帖子:478 注册: 2009-07-02 来自:一些狗一些事	发表于： 2009-07-31 14:16 \| 短消息资料字号：小中大 16楼回复：7月9日日志分析练习3 驱动 [NsDlRK250 / NsDlRK250][Stopped/Manual Start] <\??\C:\WINDOWS\system32\Nskhelper2.sys><N/A> [NsPsDk00 / NsPsDk00][Stopped/Manual Start] <\??\C:\WINDOWS\system32\NsPass0.sys><N/A> [NsPsDk01 / NsPsDk01][Stopped/Manual Start] <\??\C:\WINDOWS\system32\NsPass1.sys><N/A> [NsPsDk02 / NsPsDk02][Stopped/Manual Start] <\??\C:\WINDOWS\system32\NsPass2.sys><N/A> [NsPsDk03 / NsPsDk03][Stopped/Manual Start] <\??\C:\WINDOWS\system32\NsPass3.sys><N/A> 综上有问题 [System Restore Filter Driver / sr][Stopped/Boot Start] <\SystemRoot\system32\DRIVERS\sr.sys><N/A> [upperdev / upperdev][Stopped/Manual Start] <system32\DRIVERS\usbser_lowerflt.sys><N/A> [Apple Mobile USB Driver / USBAAPL][Stopped/Manual Start] <System32\Drivers\usbaapl.sys><N/A>综上没问题意思是Drivers\目录下没有签名和公司的可以看做是正常
still刀刀自信弱冠狮帖子:478 注册: 2009-07-02 来自:一些狗一些事

乐陶猪拙长孩提狮帖子:127 注册: 2009-07-02 来自:	发表于： 2009-08-05 22:25 \| 短消息资料字号：小中大 17楼回复：7月9日日志分析练习3 [HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Windows] <AppInit_DLLs><D:\PROGRA~1\KASPER~1\KASPER~1\mzvkbd.dll,D:\PROGRA~1\KASPER~1\KASPER~1\mzvkbd3.dll,D:\PROGRA~1\KASPER~1\KASPER~1\adialhk.dll> [File is missing] [NsPsDk00 / NsPsDk00][Stopped/Manual Start] <\??\C:\WINDOWS\system32\NsPass0.sys><N/A> [NsPsDk01 / NsPsDk01][Stopped/Manual Start] <\??\C:\WINDOWS\system32\NsPass1.sys><N/A> [NsPsDk02 / NsPsDk02][Stopped/Manual Start] <\??\C:\WINDOWS\system32\NsPass2.sys><N/A> [NsPsDk03 / NsPsDk03][Stopped/Manual Start] <\??\C:\WINDOWS\system32\NsPass3.sys><N/A> [NsPsDk04 / NsPsDk04][Stopped/Manual Start] <\??\C:\WINDOWS\system32\NsPass4.sys><N/A> [PID: 1480 / SYSTEM][\??\C:\WINDOWS\system32\winlogon.exe] [(Verified) Microsoft Corporation, 5.1.2600.5512 (xpsp.080413-2113)] [D:\PROGRA~1\KASPER~1\KASPER~1\mzvkbd.dll] [Kaspersky Lab, 8.0.0.454] [D:\PROGRA~1\KASPER~1\KASPER~1\mzvkbd3.dll] [Kaspersky Lab, 8.0.0.454] [D:\PROGRA~1\KASPER~1\KASPER~1\adialhk.dll] [Kaspersky Lab, 8.0.0.454] [PID: 1480 / SYSTEM][\??\C:\WINDOWS\system32\winlogon.exe] [(Verified) Microsoft Corporation, 5.1.2600.5512 (xpsp.080413-2113)] [D:\PROGRA~1\KASPER~1\KASPER~1\mzvkbd.dll] [Kaspersky Lab, 8.0.0.454] [D:\PROGRA~1\KASPER~1\KASPER~1\mzvkbd3.dll] [Kaspersky Lab, 8.0.0.454] [D:\PROGRA~1\KASPER~1\KASPER~1\adialhk.dll] [Kaspersky Lab, 8.0.0.454] 计划任务 [已启用] At5.job rundll32.exe [已启用] At4.job rundll32.exe [已启用] At3.job rundll32.exe [已启用] At2.job rundll32.exe [已启用] At1.job rundll32.exe [已启用] At10.job rundll32.exe [已启用] At9.job rundll32.exe [已启用] At8.job rundll32.exe [已启用] At7.job rundll32.exe [已启用] At6.job rundll32.exe [已启用] At15.job rundll32.exe [已启用] At14.job rundll32.exe [已启用] At13.job rundll32.exe [已启用] At12.job rundll32.exe [已启用] At11.job rundll32.exe [已启用] At20.job rundll32.exe [已启用] At19.job rundll32.exe [已启用] At18.job rundll32.exe [已启用] At17.job rundll32.exe [已启用] At16.job rundll32.exe [已启用] At21.job rundll32.exe
乐陶猪拙长孩提狮帖子:127 注册: 2009-07-02 来自:

<<上一主题|下一主题>>

12

2 / 2 页

跳转页

页面顶部

Powered by Discuz!NT