瑞星卡卡安全论坛

哪位大大能不能教一下怎么分析日志啊  怎么分析日志有无问题
问题在什么地方。。。。。

用户系统信息：Mozilla/4.0 (compatible; MSIE 7.0; Windows NT 6.0; SLCC1; .NET CLR 2.0.50727; Media Center PC 5.0; .NET CLR 3.5.30729; .NET CLR 3.0.30618)

多看反病毒区的日志，多看工程师的回帖，看多了就懂了

我们首先来看日志的开头部分：
[CODE]
2007-07-07,22:56:31
System Repair Engineer 2.5.16.900
Smallfrogs (http://www.KZTechs.com)
Windows XP Professional Service Pack 2 (Build 2600) - 管理权限用户 - 完整功能
以下内容被选中：
    所有的启动项目（包括注册表、启动文件夹、服务等）
    浏览器加载项
    正在运行的进程（包括进程模块信息）
    文件关联
    Winsock 提供者
    Autorun.inf
    HOSTS 文件
    进程特权扫描
==========================================================================================
启动项目
注册表：
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run]--------注册表项
    <ctfmon.exe>            <C:\windows\system32\ctfmon.exe>          [(Verified)Microsoft Windows Publisher]
              |____键的名称                          |______键的值                            |____这个文件的版权信息

注册表键的名称后面的是键值。再后面是程序的公司版本信息。如果通过了数字签名验证，会有(Verified) 的字样。
%systemroot%是系统安装目录，如果是Win98或者XP之类的，对应目录一般为C:\WINDOWS\；如果为WinNT或者2000，对应目录一般为C:\WINNT。

一般的启动程序都是在下面这些项里面了，要好好分析哦~~对于不确定的进程，到www.google.cn里面查。
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run]
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run]
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\RunOnce]
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunOnce]
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\RunServices]
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunServices]
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\RunServicesOnce]
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunServicesOnce]
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunOnceEx]

下面这四项要注意，如果日志里面的和这四个不一样，那么很可能就有问题
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon]
    <shell><Explorer.exe>      [(Verified)Microsoft Windows Publisher]
    <Userinit><C:\WINDOWS\system32\userinit.exe,>[(Verified)Microsoft Windows Publisher]（注意那个逗号！）
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Windows]
    <AppInit_DLLs><>          [N/A]
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon]
    <UIHost><logonui.exe>    [Microsoft Corporation]

如果有下面的这两项，“<>”里面有进程，很可能有问题
[HKEY_CURRENT_USER\Software\Microsoft\Windows NT\CurrentVersion\Windows]
    <load><>                        [N/A]
    <run><>                        [N/A]

下面这两项下面如果有键，也可能有问题
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run]
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run]

下面的三项如果有除了杀毒软件之外的键，很可能有问题
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ShellServiceObjectDelayLoad]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\SharedTaskScheduler]

可信项目（即有N/A，但可以确定没问题的项目）：
[HKEY_CURRENT_USER\Software\Microsoft\Windows NT\CurrentVersion\Windows]
    <load> <>  [N/A]
    <run> <>  [N/A]
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Windows]
    <AppInit_DLLs><>  [N/A]
    如果“<>”里面没有东西，以上几项可以排除
<KernelFaultCheck><; %systemroot%\system32\dumprep 0 -k>  [N/A]
    这一项也可以排除

==========================================================================================
启动文件夹：
[WNSO]
  <C:\Documents and Settings\All Users\「开始」菜单\程序\启动\WNSO.lnk --> C:\PROGRA~1\COMMON~1\RGGZS\WNSO.exe [软告工作室]><N>
这个相对简单些.就是在「开始」菜单\程序\启动里的快捷方式, 箭头所表达的是这个快捷方式的目标.
==========================================================================================
服务：(在运行中输入:services.msc可快速打开服务管理)
[SQLSERVERAGENT /  SQLSERVERAGENT]  [Stopped/Manual Start]
        |_____显示名              |______服务名          |__状态        |___启动方式
  <C:\PROGRA~1\MICROS~4\MSSQL\binn\sqlagent.exe><Microsoft Corporation>
                |______是这个服务的文件.                                            |__同上,文件的版权信息.

==========================================================================================
驱动程序：
[Service for Realtek AC97 Audio (WDM) / ALCXWDM][Running/Manual Start]
  <system32\drivers\ALCXWDM.SYS><Realtek Semiconductor Corp.>
同服务的差不多,不再重复.
==========================================================================================
浏览器加载项：
[FGCatchUrl]--------加载项名(BHO)
  {2F364306-AA45-47B5-9F9D-39A8B94E7EF7} <E:\Program XP\FlashGet\jccatch.dll, www.flashget.com>
          |_____CLSID                                                            |___对应的文件                                |__版权
==========================================================================================
正在运行的进程：
[PID: 1528]--------进程号 [C:\windows\Explorer.EXE]--------文件的位置  [Microsoft Corporation,-------文件的版权  6.00.2900.2180 (xpsp_sp2_rtm.040803-2158)]-------------文件的版本号

-----------------这是一条进程

    [C:\windows\system32\Normaliz.dll]--------文件的位置    [Microsoft Corporation,-------文件的版权 6.0.5441.0 (winmain(wmbla).060628-1735)]-------------文件的版本号
------------------这是EXPLORER的一个模块

一般来说，进程前面没有[PID:XXXX]的进程是安全的，不用去分析。
我这个日志是用旧版的SREng扫描的，新版的SREng在进程前面的方括号[ ]里除了PID参数外，还有用户名。我的新版日志的方括号里面就是这样的：
[PID: 932 / SYSTEM][\SystemRoot\System32\smss.exe]  [Microsoft Corporation, 5.1.2600.2180 (xpsp_sp2_rtm.040803-2158)]
[PID: 296 / 李牧原][C:\WINDOWS\Explorer.EXE]  [Microsoft Corporation, 6.00.2900.2180 (xpsp_sp2_rtm.040803-2158)]

“PID:XXX/　”后面的SYSTEM和李牧原就是运行这项进程的用户名。SYSTEM说明这项进程为系统进程。
进程名称的下几行（如果有的话）是进程加载的dll。一般来说，有[N/A]的就是有问题的。这时候应该用Google搜索一下这个dll，如果发现有问题或者根本搜索不到，就应该删除。有的dll名称是随机的n位字母数字，一般来说都是有问题的。如：
[C:\WINDOWS\system32\ldmedia4.dll] [N/A, ]
[C:\WINDOWS\system32\mppds.dll] [N/A, ]
[e:\program files\rising\rfw\zpkjuwgv.dll] [N/A, ]

对于Explorer.EXE加载的dll要格外注意！
==========================================================================================
文件关联：
.TXT                    OK.            [%SystemRoot%\system32\NOTEPAD.EXE %1]
|__文件类型        |__状态                |___用什么程序打开

一般来说，有Error的都是要修复的
==========================================================================================
Winsock 提供者：
WINSOCK 是在Windows进行网络通信编程的API接口，也是Windws网络编程的事实标准.
如果其出错了,则会无法上网.

Winsock 提供者：默认为N/A，如果不是N/A，先搜索一下，如果有问题，就用在兔子，360修复一下Winsock。
==========================================================================================
Autorun.inf：
这个一般是中了U盘病毒才会出现,但不绝对.其格式如下:
[AutoRun]
OPEN=OSO.exe--------------用来指定自动运行后要运行的文件
shellexecute=OSO.exe------用来指定自动运行后要运行的文件(与OPENT不同的是可以使用文件关联信息打开文件
shell\Auto\command=OSO.exe---------用于将指定的要运行文件添加到右键菜单中.

默认也是空值，如果有程序，先搜索一下，如果有问题，删除该程序。
==========================================================================================
HOSTS 文件：
HOSTS文件是一个主机到IP地址的映射列表(优化大师的快速域名解释功能应该是通过改这个文件).
一般情况下只有一个:
127.0.0.1          localhost

如果和默认值不符，一般需要用SREng修复HOSTS文件。
注意:360安全卫士为了免疫机器狗木马可能会在里面添加一些内容。
==========================================================================================
进程特权扫描：
搜索进程，如果是病毒，删除之。
==========================================================================================
API HOOK：
先搜索那几个文件，如果有问题，启动SREng时，右下角会出提示，先点击“查看详情”，点“修复入口点错误”即可。
==========================================================================================
隐藏进程：
搜索进程，如果是病毒，删除之。

了解    试着学    谢谢

阿福好强大，学习了

但是我的日志有很多和你说的不一样啊