楼主在
http://bbs.ikaka.com/showtopic-8589725.aspx这个帖3楼的回复有点不负责任,以后回帖请注意质量(注册表内容的那几个病毒自启动项这么显眼,没看到?还是根本就没看?)。
确实不知道的话,可以不回帖;如果一定要回帖,请把自己也不确定的东西说清楚。
使用“日志没有什么问题”之类的定性结论前,请确认对日志所有内容都看过并没有发现异常,否则不说为佳。
从楼主的其他回帖来看,基本还都正常,只有上面这个帖子回答比较草率。
所有精通日志分析的人,首先得具备三种能力:
一是对操作系统基本知识有一定了解。至少要对常见的系统进程、服务、驱动、注册表启动项等有常识性的了解,如果连这个都过不了关,那么日志中任何一部分在你看来,要么全有嫌疑,要么全是清白的,如果这样就没有任何意义了。因此,对操作系统基本知识的了解,是日志分析的基础和前提;
二是敢于怀疑。从以往实习生们的经验来看,如果病毒在日志中版本和厂商信息反映为[N/A]的,90%都能被识别,而一旦反映为[MICROSOFT CORP.]或者其他软件厂商的厂商信息,则90%被MISS。日志是死的,人是活的,对这种穿迷彩的病毒,需要我们从文件所在路径、文件大小、文件创建时间、MD5值等等诸方面下手以最终定性,但如果之前没有怀疑,那么后面这一切都废话了。
三是要承认自己知识面的狭窄,通过不断利用搜索引擎来拓展自己的知识面。现在软件发展日新月异,许多新软件安装后释放的进程和驱动、创建的注册表启动项我们并不熟悉,但它们确实不是病毒。遇到这种情况时,我们要学会好好利用搜索引擎,搞清问题的同时也扩大自己的知识面。不知道不要紧,我们可以学,但如果明明不知道还硬撑,那这种人将被鄙视。好了,以上仅为个人意见,祝楼主今后实习愉快……:default7: