瑞星卡卡安全论坛

上一讲链接：[日志分析 1 ]讲义

讲义打包和相关资料在10楼下载



 附件: 您所在的用户组无法下载或查看附件

 附件: 您所在的用户组无法下载或查看附件

 附件: 您所在的用户组无法下载或查看附件

 附件: 您所在的用户组无法下载或查看附件

 附件: 您所在的用户组无法下载或查看附件

 附件: 您所在的用户组无法下载或查看附件

 附件: 您所在的用户组无法下载或查看附件

 附件: 您所在的用户组无法下载或查看附件

 附件: 您所在的用户组无法下载或查看附件

2010年7月13日更新：
====扩展阅读====
关于路径前的特殊符号，如以下两个路径，前面的问号是什么意思？路径到底在哪？
\??\c:\windows\system32\winlogon.exe
\SystemRoot\System32\smss.exe

\??\是一个符号链接，常见于内核级的程序，内核模式下的程序在访问时是使用设备名去访问物理设备的，本例中的\??\C:对应的设备为\Device\Harddisk0\Partition1，即第一块硬盘的第一个分区。但是用户级的程序是无法通过设备名查询的，为了让用户级程序访问设备，就需要使用符号链接。这时用户级程序访问的是c:\windows\system32\winlogon.exe，而内核级程序访问的是\Device\Harddisk0\Partition1\windows\system32\winlogon.exe；

\SystemRoot\实际上也是符号链接，对应的设备是\Device\Harddisk0\Partition1\windows，就是第一块硬盘的第一个分区中的windows目录；
=============



讲义打包下载：

 附件: 您所在的用户组无法下载或查看附件


相关资料：

 附件: 您所在的用户组无法下载或查看附件

看了一半，又懂了不少~休息一下...老师辛苦了~~:kaka12:

老师辛苦了·······:kaka4:

虽然说环境变量在许多电脑上都是默认的路径，但是也有例外的。
我们是不是要让用户自己去确定这些路径呢？告诉他们如何查看这些路径？
例如说在cmd下用 SET windir 就可以查看变量windir的值了。


===================以下内容为lqqk7回复==================
可以在cmd下输入set后回车，查看所有变量值，如果查看单独的某个变量，可以用你说的方法，当然对于特别菜鸟级别的求助者来说，还有个更简单的办法，直接在开始——运行里输入"%windir%"后确定，打开的文件夹就是%windor%的变量值了

老师，太辛苦你了，有一个笔误哈（键盘误，呵呵）
原文 上一讲链接：2009年7月9日[日志分析 2 ]讲义
貌似应该是 上一讲链接：2009年7月9日[日志分析 1 ]讲义


===================以下内容为lqqk7回复==================
貌似你也键盘误了:kaka12: ，应该是“2009年7月7日[日志分析 1 ]讲义”
呵呵，已经改过来了，谢谢提醒

前排  留座位  呵呵

坏坏来听讲了。(*^__^*) 嘻嘻……要坐前排

:kaka6: 6楼七楼贴把我给弄懵了，没看明白是什么意思，Autorun.inf文件要不要删除，及其删除后的影响？老师帮忙解答下。


===================以下内容为lqqk7回复==================
呵呵，这部分可能是有点拗口，总结成一句话就是：
Autorun.inf本身不是病毒文件，但是在帮助求助者时应该手动把这个文件删除，避免出现双击盘符打不开的情况

已经下载了！努力学习中！老师辛苦了！！

辛苦了，老师

-----------------------------------------------------------------------------------------------------------------------------------------
autorun.inf是可以用记事本来打开的，里面会有一些字段来提示运行程序的名称，可以借此来判断该程序是否有问题。例如
[c:\]
[AutoRun]
OPEN=magicset.exe
如果只删了magicset.exe，而不把这个autorun.inf删掉的话，那么你每次双击C盘的时候，就会有个提示“找不到magicset.exe”。
所以我的建议是：确认没用的autorun.inf，还是删掉的好。

好多东西，记不住怎么办啊？
还有我的运行里打不开dllcache，提示找不到，是怎么回事？


===================以下内容为lqqk7回复==================
某些精简版的系统为了节省磁盘空间，把这个备份文件夹删除了，因为里面都是备份文件，平时很少会用到。
但是一旦系统重要文件被改写时无法立即恢复，就会提示插入系统光盘。

在驱动项中
[Closed Caption Decoder / CCDECODE][Stopped/]
  <2 - 系统找不到指定的文件。
><N/A>

这样的是怎么回事？麻烦老师解答下


===================以下内容为lqqk7回复==================
文件已经不存在了，但是驱动项对应的注册表键值还在

谢谢ASS Frog 的解答，我的疑问是老师在六楼七楼之间的那段讲义里的话看不懂，没看明白是删了清除病毒，还是删了对系统有影响？？？:kaka2:

老师吃块西瓜吧，报个到

说简单点，就是autorun.ini和病毒一起删除为好。
如果只删了autorun.ini，没删病毒，不行。因为病毒实体还是存在。
如果只删了病毒没删autorun.ini，也不行。因为autorun.ini可能造成错误提示等问题。

老师辛苦了，有点小问题请教~:kaka1:
HOSTS 文件
课件里写道想要屏蔽网站可以写入 127.0.0.1  www.123.com
这个127.0.0.1 可以是任意不存在的？

Autorun.inf
在课件里C，D，E盘中AUTORUN都染毒了，依据是因为多了蓝框中的auto.exe吗？如果在没有中毒的情况下Autorun.inf中的内容应该是什么？
当中毒后手动删除Autorun.inf，没有了配置文件没关系么？

启动项中无路径表示的是不是都在三个默认路径下？


===================以下内容为lqqk7回复==================
1、127.0.0.1可以替换成任意不存在的IP；
2、一般情况下磁盘根目录不应该存在Autorun.inf（也有特例，稍后说），如果看到autorun.inf，并且里面写有open=xxx.exe这一行的话，基本可以断定就是病毒所为了；
特例1：多数光盘根目录存在Autorun.inf，插入光盘后自动运行就是这个文件再起作用；
特例2：有些特殊需要的人希望在磁盘右键菜单里加入一些个性化选项，可以通过Autorun.inf实现，但是这种情况极少见；
特例3：有人希望自定义磁盘盘符图标，可以通过Autorun.inf实现，但也很少见，并且只更改盘符图标的话不会出现open=这行；
3、没有路径的程序仍能被正常运行，就表示它一定在变量path列出的那些路径中存在；

老师你提到在删除的时候应该注意2点，为什么要先文件，在删注册表呢？



===================以下内容为lqqk7回复==================
先删除病毒文件的目的是防止重启后病毒再次运行，在运行中的病毒可能会监控自己的注册表项，直接删除可能提示拒绝，也可能删除后病毒马上重建

那个chm文件的关联扫描的日志中为什么不给出 hh.exe 文件的完整的路径呢？
这样怎么知道 hh.exe 文件是否有问题呢


===================以下内容为lqqk7回复==================
不是日志中不给出完整路径，而是扫描出的chm文件关联的注册表键值中就没有给出路径（如图）

 附件: 您所在的用户组无法下载或查看附件

如果日志整体反应出hh.exe有异常迹象的话，可以通过md5初步验证一下，如：
http://file.ikaka.com/INFO/FileInfo.aspx?FileID=6044467

老师，分析时[File is missing]在注册表项以这个为结尾是不是可以忽略过去啊？


===================以下内容为lqqk7回复==================
[File is missing]表示目标文件已经不存在，但注册表键值还在，这种情况下虽然病毒下次开机不会运行（因为文件已经没了），但是可能在开机时出现找不到xx文件的报错

关于\??\的问题，请老师解答一下，我搜了半天没搜到相关资料……
我的理解是中文盘符造成的，不知道对不对……:kaka2:


===================以下内容为lqqk7回复==================
应该不是中文卷标造成的，具体形成原因需要问一下SREng作者