TINY防火墙Tracklog Analyzer 注册表日志的看法 bbs.ikaka.com

疯狂粽子 - 2006-12-12 21:51:00

在用tiny防火墙的tracklog analyzer追踪一个软件的时候，注册表项里只能看到一些项的创建，删除，修改，但不能看到具体创建了什么，删除了什么....，要怎么，在哪里才看到全部的内容呢，我查看了Tiny Firewall Pro\Log时面的东西，感觉好像不是，这里面是**.xml，打开后好乱，请高手指教

附件: 74669220061212214250.jpg

疯狂粽子 - 2006-12-13 6:32:00

高手来指点一下哦

baohe - 2006-12-13 8:25:00

引用:

【疯狂粽子的贴子】在用tiny防火墙的tracklog analyzer追踪一个软件的时候，注册表项里只能看到一些项的创建，删除，修改，但不能看到具体创建了什么，删除了什么....，要怎么，在哪里才看到全部的内容呢，我查看了Tiny Firewall Pro\Log时面的东西，感觉好像不是，这里面是**.xml，打开后好乱，请高手指教
………………

Tiny的日志————在这里看

附件: 1558472006121381648.jpg

疯狂粽子 - 2006-12-13 12:05:00

baohe版主,我是用tracklog analyzer追踪软件的,我查看了reporet里面并没有追踪这段时间的记录.我想知道软件运行后,它修改注册表之前和之后有哪些改变,(修改之前是什么也要知道.)我查看reports里面,好像也没有具体到把注册表的健值改成了什么.还有在reports里面没有复制功能,有什么好办法可以直接将这些记录复制下来.请赐教

baohe - 2006-12-13 15:40:00

引用:

【疯狂粽子的贴子】baohe版主,我是用tracklog analyzer追踪软件的,我查看了reporet里面并没有追踪这段时间的记录.我想知道软件运行后,它修改注册表之前和之后有哪些改变,(修改之前是什么也要知道.)我查看reports里面,好像也没有具体到把注册表的健值改成了什么.还有在reports里面没有复制功能,有什么好办法可以直接将这些记录复制下来.请赐教
………………

1.日志记录问题：

附件: 15584720061213153142.jpg

baohe - 2006-12-13 15:43:00

2、日志复制问题：
用FrontPage打开Log文件夹中的日志文件（.xml），即可复制、粘贴其中的文本内容。

附件: 15584720061213153410.jpg

baohe - 2006-12-13 15:47:00

<Event dateTimeFirst="12/13/2006 15:13:22" dateTimeLast="12/13/2006 15:13:25" count="2" module="Firewall"><Object ot="Network event"/><InetDef prot="tcp" dir="in" locPort="1433" remPort="4340" remIp="222.131.39.254"/><App>System</App><Action fncId="8203" fncMsg="Access on unopened TCP port">Prevented</Action></Event>

这是自.xml文件中复制的一条记录。

baohe - 2006-12-13 17:00:00

至于注册表修改的详细信息，Activity Monitor并不提供，T&R中也看不到。要想看这些信息，可以借助其它工具。
下图是威金感染后，Tiny结合autoruns查看其注册表更动详细信息的一个例子：

附件: 15584720061213165200.jpg

疯狂粽子 - 2006-12-13 17:35:00

baohe版主,真是麻烦你了
3楼上的那个我也是那样设置的，其实monitor 和do not monitor我都设置过，但是当用tracklog analyzer追踪软件的行为时,在reports里面仍然没有追踪这断时间的记录，在Tracklog Analyzer里面能看到创建删除许多问题，但是在reports里面只显示了程序的启动和结束，中间过程一点也没有记录。如图1

附件: 74669220061213172630.jpg

疯狂粽子 - 2006-12-13 17:44:00

baohe版主，我明白你的意思了，要想知道修改前后注册表的前后信息，借助一些别的工具，如autorun，先备份以前的信息，当安装完一个软件后再进行比较，但这样比较出来的只是启动项里的东西。
我想要说的是，只要把这个软件或病毒在“启动项”里填加的东西搞定，别的注册信息对处理病毒是次要的，只要最后打扫战场的时候扫描一下注册表，把那个垃圾注册信息删除就可以了。这样理解对吗？

baohe - 2006-12-13 21:07:00

引用:

【疯狂粽子的贴子】baohe版主,真是麻烦你了
3楼上的那个我也是那样设置的，其实monitor 和do not monitor我都设置过，但是当用tracklog analyzer追踪软件的行为时,在reports里面仍然没有追踪这断时间的记录，在Tracklog Analyzer里面能看到创建删除许多问题，但是在reports里面只显示了程序的启动和结束，中间过程一点也没有记录。如图1

………………

估计是你的监控设置有问题。
关于Tiny监控日志文本的导出，我是这样实现的。

1、用word打开Tracking日志文件.xml。然后，另存为单一网页文件。

附件: 15584720061213205849.jpg

baohe - 2006-12-13 21:09:00

2、用IE打开刚才那个单一网页文件即可得到监控日志的完整文本内容。

附件: 15584720061213210050.jpg

baohe - 2006-12-13 21:11:00

3、这时，你愿意怎么剪切、粘贴，就随你便了。
下面是粘贴到“写字板”上的例子。

附件: 15584720061213210255.jpg

baohe - 2006-12-13 21:13:00

这是导出的监控“免疫007”的部分日志文本。
HKCU\Software\Microsoft\Windows\ShellNoRoam\BagMRU\0\\MRUListEx

C:\Documents and Settings\baohelin\Local Settings\Temp\Rar$EX03.711\免疫007.exe

Allowed

HKCU\Software\Microsoft\Windows\ShellNoRoam\BagMRU\0\6\\MRUListEx

C:\Documents and Settings\baohelin\Local Settings\Temp\Rar$EX03.711\免疫007.exe

Allowed

HKCU\Software\Microsoft\Windows\ShellNoRoam\Bags\40\Shell\\FolderType

C:\Documents and Settings\baohelin\Local Settings\Temp\Rar$EX03.711\免疫007.exe

Allowed

HKCU\Software\Microsoft\Windows\ShellNoRoam\Bags\65\Shell\\FolderType

C:\Documents and Settings\baohelin\Local Settings\Temp\Rar$EX03.711\免疫007.exe

Allowed

HKCU\Software\Microsoft\Windows\ShellNoRoam\Bags\66\Shell\\FolderType

C:\Documents and Settings\baohelin\Local Settings\Temp\Rar$EX03.711\免疫007.exe

Allowed

HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Shell Folders\\Common Documents

C:\Documents and Settings\baohelin\Local Settings\Temp\Rar$EX03.711\免疫007.exe

Allowed

{00000000-0000-0000-0000-000000000000}

C:\Documents and Settings\baohelin\Local Settings\Temp\Rar$EX03.711\免疫007.exe

Allowed

{00BB2763-6A77-11D0-A535-00C04FD7D062}

C:\Documents and Settings\baohelin\Local Settings\Temp\Rar$EX03.711\免疫007.exe

Allowed

{03C036F1-A186-11D0-824A-00AA005B4383}

C:\Documents and Settings\baohelin\Local Settings\Temp\Rar$EX03.711\免疫007.exe

Allowed

{42AEDC87-2188-41FD-B9A3-0C966FEABEC1}

C:\Documents and Settings\baohelin\Local Settings\Temp\Rar$EX03.711\免疫007.exe

Allowed

{603D3800-BD81-11D0-A3A5-00C04FD706EC}

C:\Documents and Settings\baohelin\Local Settings\Temp\Rar$EX03.711\免疫007.exe

Allowed

{60664CAF-AF0D-0004-A300-5C7D25FF22A0}

C:\Documents and Settings\baohelin\Local Settings\Temp\Rar$EX03.711\免疫007.exe

Allowed

{750FDF0E-2A26-11D1-A3EA-080036587F03}

C:\Documents and Settings\baohelin\Local Settings\Temp\Rar$EX03.711\免疫007.exe

Allowed

C:\WINDOWS\system32\olepro32.dll

C:\Documents and Settings\baohelin\Local Settings\Temp\Rar$EX03.711\免疫007.exe

Allowed

C:\WINDOWS\system32\winspool.drv

C:\Documents and Settings\baohelin\Local Settings\Temp\Rar$EX03.711\免疫007.exe

Allowed

C:\WINDOWS\system32\oledlg.dll

C:\Documents and Settings\baohelin\Local Settings\Temp\Rar$EX03.711\免疫007.exe

Allowed

瑞星卡卡安全论坛