饿了不吃 - 2009-2-4 22:49:00
作业:
1、一份完整的SREng应该包含哪几部分?
答:1)日期与时间
2)SREng版本、作者版权信息
3)操作系统基本信息
4)被选中的扫描内容列表
5)被选中扫描的具体结果
6) 上述5个部分应由[ code]和[ /code]括住。(去掉"["后面的空格。为了这个更改一下帖子不要紧吧?)
2、在日志的注册表启动项中看到如下内容:
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon]
<Userinit><C:\WINDOWS\system32\userinit.exe,C:\WINDOWS\system32\explore.exe,> []
请回答:
该启动项是否正常?为什么?应该如何操作?
答:不正常。登录项应该只包含userinit.exe,而这里还包含一个不正常的explore.exe文件。正常的explore.exe应该只在WINDOWS目录下存在,这一个应该是病毒文件。
3、用SREng扫描日志,可以扫出“应用程序劫持项”吗?
答:可以。在[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\]里面。
4、在日志的服务项中看到如下内容:
[Ati HotKey Poller / Ati HotKey Poller][Stopped/Auto Start]
<C:\WINDOWS\system32\Ati2evxx.exe><ATI Technologies Inc.>
请回答:
该服务项的显示名称是什么?注册表项名称是什么?
该服务项的状态是什么?启动类型是什么?
完整的映像路径是什么?它是那个公司的?
答:该服务项的显示名称是Ati HotKey Poller
注册表项名称是Ati HotKey Poller
该服务项的状态是Stopped
启动类型是Auto Start
完整的映像路径是C:\WINDOWS\system32\Ati2evxx.exe
它是ATI Technologies Inc.公司的
5、你认为“C:\WINDOWS\system\svchost.exe”这个文件是否正常?简述原因!
答:不正常。正常的svchost.exe应位于system32目录下。
6、在日志中看到以下可疑文件:%ALLUSERSPROFILE%\Application Data\Microsoft\OFFICE\abc.dll
请回答:如何指导求助者删除它?
答:删除C:\Documents and Settings\All Users\Application Data\Microsoft\OFFICE\abc.dll即可
7、在日志中看到如下启动项:
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run]
<abc><abc.exe> []
请回答:该启动项在开机时能否正常加载?为什么?
答:如果在在Windows、system32或者其他path变量中的文件夹内有相应的abc.exe的话,能正常加载。系统会自动到path路径中寻找相关文件。
除path外,通过注册表也有给应用程序起别名的方法可以使其可以正常加载。
8、在日志中看到如下可疑文件:D:\windows\system32\abc.exe
请回答:能否使用XDelBox去删除该文件?
答:不能。操作系统没有安装在C盘时不能这样用。
用户系统信息:Mozilla/5.0 (Windows; U; Windows NT 5.1; zh-CN; rv:1.9.0.5) Gecko/2008120122 Firefox/3.0.5
lqqk7 - 2009-2-26 13:34:00
1、分值:2 得分:2
2、分值:3 得分:2
3、分值:2 得分:2
4、分值:3 得分:3
5、分值:3 得分:3
6、分值:2 得分:2
7、分值:3 得分:3
8、分值:2 得分:2
满分:20 总分:19
© 2000 - 2026 Rising Corp. Ltd.