瑞星卡卡安全论坛

呵呵，老师有几个问题要问问你：
1. 注册表中的键值IsInstalled、Locale、ComponentID、CloneUser的用途？
2. 请问Adobe LM Service是什么服务？
3. 请问[PID: 3472 / s][D:\iSpeak6.5\TipWnd.exe]  [, 1, 0, 0, 1]中的TipWnd.exe是什么程序？

===================以下内容为lqqk7回复==================
1、具体指的是在什么位置下的键值呢？不同的注册表项下的键值名有时虽然相同，但作用却有所不同；
通常IsInstalled用来标识一个组件是否已在本机安装，Locale通常用来标识区域语言，ComponentID标识组件名称，CloneUser不太清楚；


2、是Adobe公司相关软件的激活验证服务，是很多adobe软件的必备组件，比如photshop，如果该服务工作不正常可能会造成软件不能激活；


3、首先可以确定不是系统程序，应该是用户自行安装的第三方软件，最简单的方法就是打开安装目录，即D:\iSpeak6.5，一款正规的软件通常会带有版本更新日志或帮助说明文档，进入目录打开一看便知，另外也可以直接搜索iSpeak，可知是一款语音聊天软件

来晚了，学习ing

请问老师，删除加载在系统文件上的dll病毒文件时，是否需要结束对应的系统进程？如果需要的话，影响到系统运行该怎么办？

===================以下内容为lqqk7回复==================
首先确定进程是什么，如果是病毒进程，当然可以结束掉之后再处理，这对系统不会有什么影响；
如果是系统进程，尤其是一些核心进程，在不能结束的前提下，可以尝试使用各种辅助工具来处理，比如利用工具先将进程中的病毒模块移除，或者用暴力删除工具直接干掉文件；

在日志分析里说

 附件: 您所在的用户组无法下载或查看附件
但是我的系统分析完后，服务选项里有这么多的变量开头的路径，这是怎么回事。讲义中只说让我们注意这种情况，但没有说出现这种情况是怎么回事。
希望老师能讲讲！

 附件: 您所在的用户组无法下载或查看附件

===================以下内容为lqqk7回复==================
首先需要了解，并不是SREng把原有路径变成了变量形式，而是这个路径在注册表中就是以变量的形式存在的，SREng做的工作就是检查这些注册表项，将其中的数据以日志的形式呈现出来，如果这个服务的注册表键值记录的路径是c:\windows\system32......这样的形式，日志中就会显示成c:\windows\system32......这样，以一个xp下的系统服务举例，如图：

 附件: 您所在的用户组无法下载或查看附件
由图可见，该服务在注册表的键值本身就是以变量的形式呈现的，所以日志也会这样显示。

至于微软或其他软件开发商为什么使用变量而不是用绝对路径，前面楼层的答疑中已经解释过了，是为了适应不同的系统环境，有的人将系统安装在c:\windows目录，而有的人将系统安装在c:\winxp目录，这时如果使用c:\windows\system32这样的绝对路径，对于后者来说就是没有意义的了

纠结了，在智能扫描下，到Windows 安全更新检查这里一直停到这里，20分钟后还是在Windows 安全更新检查这里，我想问下老师这是怎么啦！！！
 附件: 您所在的用户组无法下载或查看附件
还有就是在系统修复这里-高级修复-API HOOK检查这个主要是用来干什么的？  谢谢老师！

===================以下内容为lqqk7回复==================
1、扫描前尽量关闭其他第三方应用软件，使用官方下载的SREng扫描，运行SREng时如果安全软件出现某些拦截提示，应该选择允许或放行

2、API HOOK检测请参考官方帮助文档：
http://www.kztechs.com/sreng/help2/apihook.htm

今天有作业吗？

===================以下内容为lqqk7回复==================
没有

我们发现日志有问题了，我们就直接在注册表里修改吗？
比如：
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon]
<Userinit><C:\WINDOWS\System32\userinit.exe,,"D:\HFEE\SVOHOST.EXE" un userinit.exe>  [File is missing]

我们就直接去[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon]，找到Userinit，他是个键值吗？我们要把它改为改成c:\windows\system32\userinit.exe，是把<C:\WINDOWS\System32\userinit.exe,,"D:\HFEE\SVOHOST.EXE" un userinit.exe>  [File is missing]全部修改为c:\windows\system32\userinit.exe吗？不太明白，请老师指点~谢谢


===================以下内容为lqqk7回复==================
1、对注册表操作很熟悉的话，可以到注册表中直接操作，但是如果是在论坛帮助别人分析日志的话，一般不能直接确定对方是否具备这种能力。所以推荐使用更安全简便的第三方工具辅助操作，比如SREng本身就具备这样的功能，可以直接删除、编辑启动项。

2、修改userinit的值指的是将其值改为
c:\windows\system32\userinit.exe,
注意后面的逗号不能少！

更改之后再次扫描日志，日志是这样体现的：
<Userinit><C:\WINDOWS\system32\userinit.exe,>  [(Verified)Microsoft Windows Component Publisher]

首先 感谢lqqk7  我想提问一个小小的问题啊

怎样设置可以让开机时不运行某些服务啊，可以使某些服务在需要的时候开启？

===================以下内容为lqqk7回复==================
可以通过services.msc设置或直接通过SREng设置！

可以设置服务的启动类型，可设置的有三种类型：
1、自动（Auto Start）：开机自动运行
2、手动（Manual Start）：开机不自动启动，当你需要用到它所支持的功能时，需要手动启动它，或者由其他服务激活；（即有些服务存在依附关系可以被激活，有些则需要手动去运行）
3、禁用（Disabled）：无论什么时候，只要启动类型是禁用，该服务都不会启动；

在Win7中还多了一个启动类型：自动（延时启动），这个是在开机时不会立即启动，而是延时一段时间后再启动，主要是针对一些配置不高的电脑，避免开机时运行的程序较多使开机速度缓慢；


 附件: 您所在的用户组无法下载或查看附件


 附件: 您所在的用户组无法下载或查看附件

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\0.EXE]
    <IFEO[0.EXE]><C:\WINDOWS\system32\csrss.exe>  [(Verified)Microsoft Windows Component Publisher]

这个里面的[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\0.EXE]，其中的0.EXE，是个键值还是个可展开的文件夹？是不是文件夹，展开后键值为 <IFEO[0.EXE]><C:\WINDOWS\system32\csrss.exe>  [(Verified)Microsoft Windows Component Publisher]
这个有问题，是不是系统不会出现0.EXE，还是因为IFEO[0.EXE]？
还有IFEO是什么意思？映象劫持病毒?是不是有IFEO的都是病毒？

===================以下内容为lqqk7回复==================
1、这个给你看截图就容易理解了，对于你说的这个
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\0.EXE]
    <IFEO[0.EXE]><C:\WINDOWS\system32\csrss.exe>  [(Verified)Microsoft Windows Component Publisher]
在注册表中是这样的

 附件: 您所在的用户组无法下载或查看附件

2、不是所有的IFEO都是病毒，只是普通用户基本上不会用到这里，反而会被病毒广泛应用，IFEO本身是用来调试程序的，具体可参考http://baike.baidu.com/view/1209782.htm

还有，是不是[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\  这个后面出现的EXE都是有问题的？是不是都是有病毒添加的？

===================以下内容为lqqk7回复==================
不一定，要看其子项名称是什么

驱动程序
[sysHostSvc / sysHostSvc][Running/Auto Start]
  <\??\C:\WINDOWS\system32\drivers\GuiHelp.sys><Microsoft Corporation>

这里面的 \??\  是什么意思？而且这个驱动程序为什么是病毒啊?GuiHelp我看起来就觉得它是一个程序的帮助文件？

===================以下内容为lqqk7回复==================
关于路径前的问号，在讲义2中已经更新了解释

正在运行的进程
[PID: 1260 / s][D:\HFEE\SVOHOST.EXE]  [, 3000.0.0.0]

这个有问题，是不是因为D:\HFEE\SVOHOST.EXE？默认路径是在c:\windows\SVOHOST.EXE

===================以下内容为lqqk7回复==================
文件名伪装系统文件，这一点很可疑，且系统正常的文件名为svchost.exe，路径为c:\windows\system32\svchost.exe

关于数字签名，不知道病毒能不能伪装成经过数字签名的文件，如果能的话，那数字签名的效果又体现在什么情况下呢？

===================以下内容为lqqk7回复==================
1、可以伪造，但是有难度，大多数病毒不会这样做，而且伪造的签名表面看上去没问题，但是查看详细信息会显示为无效签名，也不会通过SREng的签名验证，很容易识破；

2、感染正常的带有合法签名的文件时，刻意不去破坏文件中的数字签名信息（可以实现，但也有难度，多数病毒不具备这样的能力），这种情况下签名仍是原有的合法签名，但是文件的哈希值会发生变化，相对来说也是比较容易识破的；

3、盗用合法商业软件的签名文件，这是最难识破的，因为病毒作者可以直接把病毒主体加上合法签名，想对比哈希值也没有参考值，但是这种情况发生的几率很小了，获得了合法签名的公司一定会严密保管的，想得到它就像得到商业机密那样难，且在我国数字签名是被立法保护的，盗用需承担的风险比单独制造传播病毒更高。