★【8月19日 1.1.0】★PLA内测结束 bbs.ikaka.com

初殇 - 2009-8-13 18:43:00

引用:

原帖由 byxxdrls 于 2009-8-13 17:04:00 发表
这个日志也不支持呀

我这里正常，请在稍后下载新的版本再试。正在做对英文的支持。并且按你所说，取消了对CODE的判断。

byxxdrls - 2009-8-13 21:27:00

刚重新下载了，导入３１楼的日志，还是出现“询问”对话框，内容为“正在分析的sreng日志版本并不符合程序设计时的考虑，仍旧进行分析么？”不过似乎不影响分析。

byxxdrls - 2009-8-13 21:32:00

引用:

原帖由初殇于 2009-8-13 16:58:00 发表
未签名经过再三考虑，还是保留了。因为根据SReng的规则，前面标记为(Ver)(Sig)这两项的才有签名。至于新版的大多数日志为什么进程中没有签名，我也不清楚了。但还是保留了支持，以便日后扩展。

这不是你的分析助手的问题，这是sreng的问题，有时也和系统有关。某些精简系统中众多的系统文件无法得到验证，虽然文件没问题，应该是验证的文件被精简了

Lighting_Cui - 2009-8-13 21:48:00

牛人啊！！！！

初殇 - 2009-8-13 22:38:00

引用:

原帖由 byxxdrls 于 2009-8-13 21:27:00 发表
刚重新下载了，导入３１楼的日志，还是出现“询问”对话框，内容为“正在分析的sreng日志版本并不符合程序设计时的考虑，仍旧进行分析么？”不过似乎不影响分析。

嘿嘿，这个真是不好意思了，已核实为BUG。下一版本修正，不影响分析的。

byxxdrls - 2009-8-14 11:31:00

再给你一个日志，先是出现和33楼一样的提示，继续后出现提示：“没什么好取的，程序有错？呵呵。。。无语”
附上日志

附件: SREngLOG.log

初殇 - 2009-8-14 12:34:00

引用:

原帖由 byxxdrls 于 2009-8-14 11:31:00 发表
再给你一个日志，先是出现和33楼一样的提示，继续后出现提示：“没什么好取的，程序有错？呵呵。。。无语”
附上日志

33楼的提示，是上一版的一个BUG,已修正完毕。“没什么好取得”是程序设计时判断SRENG的字符串的东西，用来判断项目是否合法的。

错误已经修正。请下载最新版本1.0.31再试。当出现错误时，请查看一下是哪个过程在出错【顶层窗口从这一版开始显示正在执行的过程，如正在分析***】，这样好方便我修改~呵呵。谢谢了！！！

byxxdrls - 2009-8-14 12:59:00

现在没问题了。:kaka8:
我年龄大了，最近和人交往发现脑子不够使了。你那个规则什么的，能否写个帮助文件？

lqqk7 - 2009-8-14 14:16:00

是个很实用的东西啊:kaka15:
能够自己加规则，方便将符合特定规则项标识出来，不过貌似加完规则后要重新分析一遍日志才能看到效果吧

点“从文件导入”，不选择任何文件，直接点取消，然后就出这个了

附件: 您所在的用户组无法下载或查看附件

系统时间这部分比较容易被忽视，建议可以在这里把时间高亮一下

附件: 您所在的用户组无法下载或查看附件

希望生成报告的选项中增加一个“添加到文件删除列表和注册表删除列表”，只要点击一次就能完成添加到这两个列表的操作

将启动文件夹里的文件添加到文件删除列表时貌似没有经过处理，直接原样添加进入了，例如：
<C:\Documents and Settings\Administrator\「开始」菜单\程序\启动\腾讯QQ.lnk --> C:\PROGRA~1\Tencent\QQ\QQ.exe [TENCENT]><N>

右键菜单里选复制并检索，然后点取消，依然会弹开IE去搜索

最后貌似生成的报告头部有点错位

附件: 您所在的用户组无法下载或查看附件

暂时就这些

优秀的原创作品，必须要支持~:kaka12:

networkedition - 2009-8-14 14:22:00

不错的工具，就是规则那块还没搞清楚，写个文档吧:kaka12:

xyz002 - 2009-8-14 14:41:00

抱歉　今天才看到　消失这么久原来是在做这个　　强人就是强人
这有份英文日志　希望能帮上点小忙　　这就去测试软件

附件: SREngLOG.log

初殇 - 2009-8-14 14:44:00

引用:

原帖由 byxxdrls 于 2009-8-14 12:59:00 发表
现在没问题了。:kaka8:
我年龄大了，最近和人交往发现脑子不够使了。你那个规则什么的，能否写个帮助文件？

规则是自己设的，没有帮助可写啊…或许我也无法表达，设计思路就是把符合规则的东西表示出来。如果你积累的规则多的话判断一份日志原则上不需要超过两分钟。忽略安全项目，危险项已被红色标记。你要判断的只是未知项目。当然，随着规则的积累，未知项会减少。不过，值得注意的是，庞大的规则区我想会严重影响自动分析的速度。因此应该把规则区设置在一个合理的数量。至于是多少，我没测试

byxxdrls - 2009-8-14 17:24:00

有时间摸索一下规则。

不知阿殇看过草莽书生编的分析助手的分析结果没有－－卡卡论坛给天月这家伙给带坏了，以为自己眼神好，不用助手分析，所以卡卡论坛上难得看见。感觉书生的分析结果和sreng工具的结合比较紧密些，求助者对注册表的操作恐怕比较害怕，我们也觉得直接编辑注册表比较麻烦，用sreng处理比较方便。

byxxdrls - 2009-8-14 17:32:00

映像劫持部分好像少个“添加到注册表删除列表”菜单。

byxxdrls - 2009-8-14 17:39:00

认真看了一下规则，弄懂了:kaka6:

初殇 - 2009-8-14 19:08:00

:kaka12: 印象劫持是不用添加注册表的，你认真想想看。如果那么容易被删除镜像劫持，那病毒就不叫病毒了。镜像劫持单独列示的原因是可以找出病毒的元凶。大部分病毒会将镜像转到自己。不过现在也有趋势是用ntsd直接杀掉进程。
因此，我觉得，镜像劫持不属于求助者手动解决的范畴。应该有相应的软件完成。而其他注册表项目，病毒一般不会看的很紧，因此添加进去给求助者，稍有电脑尝试，在指导下应该没有问题。

初殇 - 2009-8-14 19:09:00

谢谢老师这么费心的测试，已经作出修正，将在今天晚些时候放出新的版本。:kaka12:

byxxdrls - 2009-8-14 19:49:00

病毒文件删除后，得修复ＩＦＥＯ呀，当然有这方面的工具可使用，但如果劫持的项目比较少，用sreng就可以修复，不用那么麻烦的呀

初殇 - 2009-8-14 20:17:00

好的，1.0.32版本已经发布了，先这样吧，下一版再加。:kaka8:

byxxdrls - 2009-8-16 21:02:00

感觉草莽写的分析助手把使用的工具及方法写进配置文件，值得借鉴。

xiaomajia52 - 2009-8-17 2:09:00

VB都能写。。。太强大了。。。。

byxxdrls - 2009-8-18 19:11:00

浏览器加载项也没有注册表的删除操作？
另外似乎不能根据文件名来搜索呀？

初殇 - 2009-8-18 21:51:00

引用:

原帖由 byxxdrls 于 2009-8-18 19:11:00 发表
浏览器加载项也没有注册表的删除操作？
另外似乎不能根据文件名来搜索呀？

有关关键字检索功能，请查看下图。设计思路如下：

附件: 您所在的用户组无法下载或查看附件

瑞星卡卡安全论坛