瑞星卡卡安全论坛

讲师：lqqk7

内容简介：介绍SREng工具的基本使用，和其日志的分析流程，及在日志分析中需要注意的一些细节问题。

讲义地址：日志分析讲义（1） 、日志分析讲义（2）

本次课程答疑时间：2011年1月19日 14:00-16:00

提问方式：回复本帖提问（即跟帖），不要通过QQ群提问，讲师会在答疑时间，编辑提问帖进行答疑！


===============以下内容为lqqk7回复：==============
答疑内容我会尽量详细的描述清楚，所以每个问题的回复可能都比较慢，字比较多，大家见谅，别着急，如果今天课程时间没能解答完的，之后几天我都会尽快来补上的！

SREng在运行时，会产生一个临时的exe程序，这个程序的名字里面貌似有随机数字，这个名字是根据不同机器生成的吗？那么他这样做是不是为了防止病毒劫持SRE的程序或者结束其进程，属于一种自卫机制呢？




 附件: 您所在的用户组无法下载或查看附件



另外发现Windows7下，SRE会出现过期现象，提示必须使用最新版本，不知道他是通过什么方法检测过期？我系统时间是没有问题的。




 附件: 您所在的用户组无法下载或查看附件


===============以下内容为lqqk7回复：==============
1、关于随机文件名
运行sreng的时候产生一个随机文件名的副本来执行，确实是为了防止被病毒干掉的自保机制。具体是完全随机生成的还是根据本机硬件特征部分随机生成的我就不清楚了，如果对这个生成机制有兴趣可以联系下作者问问看，但是从它的初衷来看，没必要根据不同的机器去生成，只要完全随机产生就可以了。

2、关于过期
首先还是那句话，我并非SREng的作者，具体的过期检验机制不能保证很准确的告诉你，且SREng的工作机制和原理也并不是本课的重点。过期现象并非win7下才有的，我想可能是每个版本的SREng中都内置了一组授权码，授权码本身是有固定期限的，所以过期后会要求输入新的授权码或下载内置了新的授权码的新版本程序，当然这只是我的猜测，如果有兴趣了解这个，还是问问作者更靠谱了

占个

 附件: 您所在的用户组无法下载或查看附件
划红线那个Autorun.inf是怎么回事，我记得以前U盘中过，好像是个空文件夹（无法删除的那种）:kaka2:


===============以下内容为lqqk7回复：==============
你画红线的地方只是表示SREng针对每个分区对Autorun.inf是否存在进行了检测。并不是说检测一定有问题。
空文件夹通常是安全软件用来免疫的，因为windows系统下是不允许同一目录下存在相同文件名的文件或文件夹的，隐藏如果事先创建了一个名为Autorun.inf的文件夹，并对该文件夹做好保护措施，就可以保证病毒无法在相同目录下再创建相同文件名的文件了。

第一次做日志分析，有很多还不能完全吸收的说……想问问lqqk7老师：
我电脑的日志分析中
浏览器加载项中有：
[Album Uploader]
  {0076209A-9553-40DC-A8F9-C2AD835B8C93} <, >
[]
  {08B0E5C0-4FCB-11CF-AAA5-00401C608501} <, >
[]
  {B69003B3-C55E-4B48-836C-BC5946FC3B28} <C:\Program Files\Windows Live\Messenger\msgsc.dll, (Signed) Microsoft Corporation>

为什么只有注册表ID，没有相应文件？而有一些连加载项名称都没？

文件关联那
.EXE  OK. ["%1" %*] 后面的["%1" %*]是什么意思

Autorun.inf部分
Shell\Open\Default=1 是什么意思？

Hosts文件是 N/A ，没有127.0.0.1  localhost    这项有没有问题？

先问这些吧，谢谢老师！


===============以下内容为lqqk7回复：==============
1、关于CLSID
{0076209A-9553-40DC-A8F9-C2AD835B8C93}
{08B0E5C0-4FCB-11CF-AAA5-00401C608501}
等等此类键均为用于标识某个组件的CLSID，这里没有写出具体路径，可以到[HKEY_CLASSES_ROOT\CLSID]下搜索这个ID，能得到详细信息

 附件: 您所在的用户组无法下载或查看附件


2、文件关联
首先拿.txt文件关联来举个例子：
.txt的文件关联默认为 notepad.exe "%1"
因为notepad.exe存在于windows目录下，所以可以不写完整路径；
"%1"表示的是目标文件自身，加双引号是为了避免带空格的长文件名或路径时出错；
怎么理解“目标文件自身”呢，其实就是你要执行的文件，比如你想打开桌面上的我的文本.txt，当你双击“我的文本.txt”的时候，目标文件自身实际上就是指“我的文本.txt”本身。对于这个文件的打开方式，实际上就是用notepad.exe这个程序打开目标文件，即用notepad.exe打开"%userprofile%\桌面\我的文本.txt"。当你要打开其他txt文件时，也是同样的道理。
接着再看.exe的文件关键，它的默认关联为"%1" %*
同样的，"%1"表示的是目标文件自身，而由于exe文件本身就是一种可执行的PE文件，不需要通过其他程序代为执行（不像txt文本那样需要由notepad.exe来执行），所以文件关联中只有"%1"的时候就表示自身执行。
后面的%*可以简单理解为一个星号通配符，它的作用是允许exe本身执行的时候夹带命令行运行参数，比如SREng本身，你可以不带参数直接双击运行，也可以夹带/escan参数来启动后台扫描模式。

3、关于autorun.inf
Shell\Open\Default=1  表示将open设置为默认的右键菜单命令
举个完整的例子便于理解：
Shell\open=打开吧哈哈  —— 在当前磁盘右键菜单中添加一个名为“open”的菜单，并且在菜单中显示的选项为“打开吧哈哈”
Shell\open\Command=哈哈.exe —— 当用户选择菜单中的“打开吧哈哈”这个命令时，自动运行“哈哈.exe”
Shell\Open\Default=1 —— 将右键菜单中的“打开吧哈哈”选项设置为默认执行的命令

4、hosts文件
默认情况下应该有127.0.0.1  localhost
但是有些精简版的系统或者第三方优化工具、安全工具可能会清空或删除此文件，所以即使没有127.0.0.1  localhost对普通用户也毫无影响

 附件: 您所在的用户组无法下载或查看附件


我在虚拟机里做日志分析，是一个刚做好的系统。这是在“启动项目”里面的，请问那个 File is missing 是怎么回事呢？






 附件: 您所在的用户组无法下载或查看附件

另外，方框中的dll文件有没有异常的？箭头的那个service.exe为什么没有指向dll文件呢？？




 附件: 您所在的用户组无法下载或查看附件

粗框里面的为什么只有注册表项，其他的信息什么都没有呢？那个signed是什么信息？？




是不是需要很熟悉系统的每一个文件才能很好的分析日志？？



===============以下内容为lqqk7回复：==============
1、 File is missing 表示目标文件已经不存在，非MS官方原版的系统（即D版）一般普遍都会精简掉一些对普通用户毫无用处的东西，达到瘦身的目的

2、关于服务
就用这张截图中的前两个服务为例，打开注册表编辑器找到这两个服务项，仔细看一下就能明白了
第一个：DCOM Server Process Launcher
路径：%SystemRoot%\system32\svchost -k DcomLaunch %SystemRoot%\system32\rpcss.dll
如图看看注册表结构：

 附件: 您所在的用户组无法下载或查看附件


 附件: 您所在的用户组无法下载或查看附件

第二个：Event Log
路径：%SystemRoot%\system32\services.exe
如图看看注册表结构：

 附件: 您所在的用户组无法下载或查看附件

3、浏览器加载项
参考本帖5楼的问题1回复
signed表示有数字签名的

老师您好，初次接触日志分析，有些地方还不是很明白，对自己的电脑做了次日志的检查，有几个问题想问问老师。
1，我的电脑日志中启动项目注册表中有一项是
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ShellServiceObjectDelayLoad]
    <WebCheck><>  [N/A]
我看了几份别的日志这个地方都有内容，请问我的是否有问题。
2，在浏览器加载项中有好几个名称为空只有注册表名称的项，是可疑的项目吗？这些是什么？还有(Signed)是什么意思？是数字签名的意思吗？
3，用SREng分析得出的问题项目如何进行修改？是通过SREng中修改吗，一些注册表项目需要到注册表中修改吗？病毒和木马的文件可以直接删除掉吗？
4，分析日志的关键是不是要对系统关键文件和目录的位置以及名称熟悉，以及对dll文件熟悉。

先问这些吧，还在学习中，谢谢老师。


===============以下内容为lqqk7回复：==============
1、不是系统必须的关键项，没有问题，不会有影响的
2、参考5楼问题1回复。Signed是有数字签名的意思。
3、确认是病毒的文件，可以直接删除，但仍建议先做备份。注册表项可以在SREng中修改，也可以直接到注册表编辑器中修改，或借助其他第三方工具修改。
4、对的。最后还能对大家都常用的软件也熟悉，这样就能比较轻松的排除掉正常的文件，再从剩余的未知项中查找异常。

启动项目注册表那一部分里好几个 [File is missing]，这是因为程序删除了但注册表里面的键值还在的原因么
:kaka6: 以前没分析过日志。。。


===============以下内容为lqqk7回复：==============
准确来说是目标文件当前不存在，造成它不存在的原因就很多了，你说的因为程序删除或卸载后注册表启动项尚有残留是其中一种，其他常见的还有，比如用系统优化工具清理了一些不需要的系统组件，杀毒软件杀掉了病毒文件但没有清除启动项等等

 附件: 您所在的用户组无法下载或查看附件
图里面的红线部分代表啥啊，应该不是版本号吧，绿线的才是版本号？


===============以下内容为lqqk7回复：==============
红线、绿线，都是文件版本
SREng是直接从目标文件的属性中读取公司名和文件版本的，也就是说程序员在属性中是怎么写的，SREng就会如实输出日志
比如下面两个图，是我随便找个两个文件截取的
第一个是以“.”分隔版本号的
第二个则是以“,”分隔版本号的

 附件: 您所在的用户组无法下载或查看附件


 附件: 您所在的用户组无法下载或查看附件

为什么经常发现都是同一公司出品的一串里，突然有一个没有公司信息了？


===============以下内容为lqqk7回复：==============
如楼上的回复，如果这个文件的属性中没有标注公司名称，日志中就不会显示了。为啥同一公司的文件有的写了有的没写呢，可能是程序员个人习惯不同，或是疏忽了，或是基于其他什么的考虑吧，咱就不得而知了

没有过期吧，我的win7貌似没问题

===============以下内容为lqqk7回复：==============
以前的老版本可能存在过期问题，新版本已经没有了
“System Repair Engineer (SREng) 2.84 版本取消了所有的时间限制，不再需要授权号了”——来自SREng官网

能麻烦lqqk7老师给讲一下SREng软件左边那一栏几个菜单的含义吗
1、“启动项目”：注册表中是开机启动项里的东西吗，为什么有的是黑色有的是蓝色；启动文件夹是什么；计划任务是什么，我的上面显示的是SogouImeMgr.job；boot.ini是什么呢？
2、“系统恢复”：高级修复中高级手动修复是修复已知注册表错误，自动修复级别将删除所有策略项，那什么时候选择自动修复级别呢
3、“智能扫描”：如果不选择“检查模块的数字签名”，那他扫描那些信息呢？suspiciousfiles子目录在哪呀？

问的问题有点多了，希望老师给解答一下:kaka12:



===============以下内容为lqqk7回复：==============
1、黑色代表通过验证机制的可信任文件；黑色表示未通过验证机制的未知文件；有时还会遇到红色的表示未通过验证且高度可疑的文件，通常在系统文件被病毒修改后常见；启动文件夹就是“开始——程序——启动”这个文件夹里的文件；计划任务是windows的一个功能，可以预先设置某个时间或某个周期内执行某项特定的操作，SogouImeMgr.job是搜狗输入法的计划任务；boot.ini是在你启动电脑后负责选择要进入的操作系统的文件，单系统用户一般看不到这个界面，如果安装了多系统就会在启动过程中出现选项，让用户来选择进入哪个系统，boot.ini就是这个选项的配置文件，可以设置选项名称、多个系统的安装位置、默认正常启动或是默认进入安全模式等、选项菜单的倒计时时间、超时用户未选择默认进入哪个系统等等，这些都可以在boot.ini中进行设置。是很重要的文件，不熟悉请不要随意修改，更不要擅自删除该文件。

2、这个你理解有点小错误，高级手动修复其实指的是其下方的三个按钮选项，如图

 附件: 您所在的用户组无法下载或查看附件

而通过那个滑块进行的修复，都属于自动修复的范畴，默认的修复级别是滑块在下方，对应的是“推荐修复级别”，如图

 附件: 您所在的用户组无法下载或查看附件

如果把滑块拉到上方，则是“高强修复级别”，如图

 附件: 您所在的用户组无法下载或查看附件

推荐修复级别：即自动修复SREng已经自动检测出的注册表异常，如文件关联错误、IE选项被篡改等；
高强修复级别：在推荐修复级别的基础上，还讲删除用户自定义的一些设置，类似于将系统设置尽可能的回复的新装时候的状态，有可能导致用户自己安装的第三方程序失效，一般不建议用这个；

3、不勾选“检查模块的数字签名”，SREng扫描的项跟勾选时其实是一样的，区别只是不会去检验进程模块的数字签名，但是依旧会把模块列举出来；
如果勾选则“自动将可疑文件复制到suspiciousfiles子目录里面”，则在SREng扫描时如果发现可疑文件，就会在SREng程序所在的相同目录下生成suspiciousfiles目录，用来存在这些可疑文件。

lqqk7老师好。我想问一下SREng里的重置Winsock是不是就是修复socket？
实现的原理是不是在命令行下输入“netsh winsock reset”一样？
 附件: 您所在的用户组无法下载或查看附件


===============以下内容为lqqk7回复：==============
达到的效果是一样的

“Winsock提供者部分”中说道：“有时杀毒后出现网络能够连接但打不开网页，同时瑞星的邮件监控被禁用，一般就是winsock有问题了”
1，这部分有问题要怎么改呢？
2，在网上看到好多说装了杀毒软件之后打不开网页，导致打不开网页的原因是不是有很多种啊，是不是同时满足打不开网页，邮件监控也被禁用才能怀疑是winsock有问题呢？


===============以下内容为lqqk7回复：==============
1、可以用SREng重置Winsock
2、也不一定，首先要排除是刚装的杀毒软件自身监控异常或设置不当导致网页打不开，至于讲义中说的网页打不开同时瑞星邮件监控禁用，那是之前的某个版本存在的现象，当时可以比较准确的定位到winsock问题，但是目前最新版本的瑞星软件还没有遇到过这种情况，因此这个不能作为判断winsock是否有问题的依据，仅仅是举了个例子而已。

lqqk7老师，还有我的扫描日志中winsock那部分就写了N/A,这是不是中毒了呀？
具体如下：
==================================
Winsock 提供者
N/A

==================================

是不是碰到N/A的都要怀疑一下是不是有问题呢？



===============以下内容为lqqk7回复：==============
Winsock 提供者这里如果显示N/A，表示的是winsock没有异常，为系统默认状态。
相反，如果这里显示的不是N/A，而是列出了具体的模块文件，才表示可能存在异常，注意我说的是可能！
并且日志中只会将非系统默认的模块列出，原有的正常模块不会列出。

 附件: 您所在的用户组无法下载或查看附件老师这三个是什么东东？什么是入口点错误和HOOK呢？


===============以下内容为lqqk7回复：==============
API HOOK技术是一种用于改变API执行结果的技术，Microsoft 自身也在Windows操作系统里面使用了这个技术，如Windows兼容模式等。
这是SREng提供的一项高级检测功能，主要用来检测发现通过api hook达到隐藏自身的病毒，如果有兴趣，可以看看这个：
http://www.kztechs.com/sreng/help2/apihook.htm

lqqk7老师请教几个问题：
1、扫描时间一般多久？我扫描了半个小时还是没有扫描完？
2、启动项的问题，怀疑被病毒修改的文件，如何处理，是否是找到该文件，直接删除？我觉得看完讲义后，我们的任务就是找到有问题的路径，找到该文件，删除它？如何分辨AppInit_DLLS中的键值为正确的？黄框的问什么是病毒文件？看完后，个人认为键值、公司属性版本，是否有数字签名，并不是这些项都满足，才是无毒文件。那是根据什么什么来判断是否染毒的呢？
3、服务的问题。正确的服务项路径应该是怎样的呢？我看下面有几个瑞星的服务项。路径中.exe 之后就是公司名了。（另公司名能否被冒充，如果被冒充，怎么发现呢？）
4、驱动、浏览器加载项等。如何判断可疑文件？


===============以下内容为lqqk7回复：==============
1、与系统环境有关，一般在几分钟到十几分钟左右，太长了不正常，建议尽量关掉其他第三方程序，如果QQ、迅雷、播放器、浏览器等等，一来开的程序越多，输出的日志肯定就越多，在视觉上会影响你看日志的。再者也尽可能避免运行的其他程序对扫描日志造成影响。如果仍然很长时间都扫不完，建议到安全模式下试试看。

2、在确定为恶意文件后，可以直接删除，并且要清理相应的注册表项，但是无论如何，还是建议操作前做好备份。至于如何分辨某某项正常、某某项可疑，其实没有明确的方法，依靠的是经验，多看多练，对系统常见的文件、路径、服务、驱动、注册表项要很熟悉，同时对一些大量用户都在使用的常用软件也要熟悉，比如聊天软件、输入法、播放器、下载工具、热门网游、杀毒软件等，这样才能在不误判的情况下比较准确的找到哪些文件可疑，至少要能看出哪些文件不是系统自带的，也不是常见软件的，同时再结合网络搜索，可以帮助你进一步做出判断。总体来说，还是经验积累最重要。

3、版本信息很容易仿造，但是数字签名很难伪造。

4、这类问题不做解答了，主要都是靠经验的，没什么好的方法。

进程特权扫描部分，我发现我电脑里酷我音乐盒和http analyzer有特权
1、酷我音乐盒的特权是：SeLoadDriverPrivilege（为什么会设置这个特权呢）
2、http analyzer的特权是：SeSystemtimePrivilege（允许用户设置计算机内部时钟的时间，会不会出现问题啊，这个软件是用来捕捉HTTP/HTTPS 协议数据的，为什么会设置此特权呢）
3，要是发现某个进程有异常特权，应该怎么处理呢，是杀了该进程还是能通过改特权呢？


===============以下内容为lqqk7回复：==============
有特权不一定就是坏事，本身是一种正常的技术，程序为什么要提升特权，必然是要实现某些功能来满足用户的需求。所以重要的是通过日志来判断，可能是谁在提升特权，是程序本身的功能需求？还是正常程序被病毒利用？
首先结合路径、文件名、文件信息和经验判断进程本身是否正常；
再来看看该进程的模块是否正常，是否存在可疑的服务、驱动等等；
如果排除了所有的异常，那么提升权限就是为了实现本身的功能需求了，例如有些程序要加载驱动

浏览器加载项中出现好多[] <,>代表的是什么意思呢，是说名字和地址什么的都没检测出来吗？
比如：
1、
[]
  {08B0E5C0-4FCB-11CF-AAA5-00401C608501} <, >

2、
[Java Plug-in 1.6.0_12]
  {8AD9C840-044E-11D1-B3E9-00805F499D93} <, >
[Java Plug-in 1.6.0_12]
  {CAFEEFAC-0016-0000-0012-ABCDEFFEDCBA} <, >

3、
[SearchAssistantOC]
  {B45FF030-4447-11D2-85DE-00C04FA35C89} <%SystemRoot%\system32\shdocvw.dll, (Signed) N/A>

[导出到 Microsoft Office Excel(&X)]
  <res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000, N/A>
有无（signed）是否有特别含义呢？


===============以下内容为lqqk7回复：==============
1、不是没检测出来，是本色就没有，具体可以参考本帖5楼问题1回复
2、signed表示有数字签名的文件

请问老师
关于日志分析这块，有哪些方面的知识可作为坚实的基础呢？:kaka2:
以前也没接触过，在做练习时感觉实在摸不到头脑啊，敌我识别系统很模糊的说:kaka8:
所以请老师介绍一下需要掌握哪些方面的知识，有资料可供参考的？:kaka18:
谢谢:kaka1:


===============以下内容为lqqk7回复：==============
没有特别系统完整的知识点可供学习，最基础的就是要对系统关键文件、路径、注册表项比较熟悉
参考资料以网络资源为主，多看些他人的分析报告，遇到不确定不熟悉的文件，上网搜索一下

对啊对啊，没接触过有点晕乎。麻烦老师能总结一下要点吗，即关键区域，病毒常发区域
还有老师，刚进行了扫描，发现浏览器加载项中有些我并没有应用过，很好奇有问题吗？谢谢老师


===============以下内容为lqqk7回复：==============
病毒可能存在于任何目录，但是多数情况下都是存在于大家共有的目录中，这也是一种隐藏的手段。
因为病毒感染一台电脑的第一步，是要创建文件，创建文件无外乎两种，第一种是在本机已有的目录中创建文件；第二种就是病毒自己先创建一个目录，再把病毒文件创建在这个目录下。试想一下，如果你打开C盘，看到莫名其妙的多出了一个目录，是不是就会感到奇怪，在好奇心的驱使下就想打开看看里面是什么，因此这种方式不利于病毒自身隐藏。
所以大多数病毒都是创建在系统本身已经有的目录下，几乎所有的windows系统用户在安装系统时都会使用默认路径，即C:\windows（或WINNT），那么病毒如果直接在这里创建文件，就不易被发现，其他一些几乎所以windows系统用户的电脑都会共有的目录还有很多，比如：
c:\windows\system32
c:\windows\system32\drivers
c:\windows\system
c:\windows\temp
c:\windows\task
c:\windows\system32
c:\Program Files
c:\Program Files\Internet Explorer
磁盘根目录
c:\Documents and Settings 及其子目录
回收站RECYCLER目录
系统还原System Volume Information目录
IE缓存目录
等等等等很多.......
包括一些常用的软件目录，这些软件几乎是每个人装机必备的，比如QQ、迅雷、WinRAR等等。同时还会利用一些隐藏技术，或是劫持正常程序、篡改系统正常文件。

所以说，经验还是最重要的，分析日志真的没什么具体的固定的方法可讲。只要你对系统关键文件、目录结构、路径、关键注册表项很熟悉，就能比较容易找出哪些不是系统自身的东西，其实日志中很大一部分项目都是正常的系统自身项，排除了这些正常的，剩下的就是第三方软件或恶意程序。再结合网络搜索和平时的经验就不难揪出病毒的小尾巴了。

应该通过主要的哪几项来判断自己的系统问题呢？（运用这个工具）


===============以下内容为lqqk7回复：==============
参考21楼的回复吧

老师，我是真的真的晕晕的感觉，看来我得一点点来了。:kaka9:

 附件: 您所在的用户组无法下载或查看附件
这是我电脑“启动项目”里面的日志，win7系统。请问那个<WebCheck><>  [N/A]是什么来的？？下面那个注册表项又是什么信息呢？




 附件: 您所在的用户组无法下载或查看附件


在“正在运行的进程”里面，这两个DLL是什么来的呢？？



日志分析还没消化好，就要网马解密了~~:kaka8:


===============以下内容为lqqk7回复：==============
{22d6f312-b0f6-11d0-94ab-0080c747e95}不晓得是啥，它是一个CLSID，可以打开注册表编辑器，到[HKEY_CLASSES_ROOT\CLSID]下搜索这个ID试试看；
至于其他的，<WebCheck>项、MFC80U.dll、MFC80CHS.dll都是写什么，我建议你首先可以尝试一下搜索，google和百度都是很好的老师，这几个都是日志里很常见的东西，去搜搜看吧，会有所收获的。
分析日志，是永远离不开丰富的经验和搜索引擎的！

那个工具区哪里下啊，我怎么下不下来啊。说的那个地址好像被链接成黄网了

===============以下内容为lqqk7回复：==============
汗。。。。。
http://www.kztechs.com/sreng/download.html

是不是只要中了毒都能在日志里面找出来？


===============以下内容为lqqk7回复：==============
不可能绝对，只能说大多数情况下可以在日志中找到蛛丝马迹。有少数内核级的病毒，是可以很好的隐藏自己的。尽管如此，SREng的日志目前还是很全面的，毕竟只是一个检测为主、辅助修复的工具，检测的方法也在不断的更新，所以多数情况下扫出的日志还是比较可靠的，这也是众多安全论坛都习惯采用SREng来扫日志的原因

1.在日志分析1里面lqqk7老师您在启动选项中划出了黄框，并指明这些启动项是病毒文件。判断标准是：一个注册表连接下面有许多键名和键值吗？
2.在驱动程序  日志分析里，您又指出除了蓝框（里面是瑞星和卡卡的信息）外，其余的驱动程序很可疑，请问您这是从服务名称判断还是根据映像路径分析得出？我们该如何分析类似情况？
3.浏览器加载项中，黄框标出了可疑文件，这些文件的共同之处在于没有“加载项名称”，这是否可以成为判断依据？对于这类文件是否有用，是否不利于系统的优化，该如何处理？
4.在正在运行的程序中，对绿框划出的可疑 加载模块的公司和版本信息基本都是[N/A]，是否这是这类可疑模块的共同属性？
5.文件关联中，是不是固定文件类型如.txt的打开方式一定固定，必须是[%SystemRoot%\SysWow64\NOTEPAD.EXE %1]。因为我发现我的日志扫描中.JS的打开方式和教程上的不一样，是[%SystemRoot%\SysWow64\WScript.exe "%1" %*]不知是否有问题？
6.在我的winsock提供者中，只有加载项名称，没有协议类型：
SogouTcpFilter
    D:\Program Files (x86)\SogouExplorer\sogouipfilter.dll(Sogou.com, UserCenter.dll)
SogouUdpFilter
    D:\Program Files (x86)\SogouExplorer\sogouipfilter.dll(Sogou.com, UserCenter.dll)
SogouRawFilter
    D:\Program Files (x86)\SogouExplorer\sogouipfilter.dll(Sogou.com, UserCenter.dll)
SogouIpFilter
    D:\Program Files (x86)\SogouExplorer\sogouipfilter.dll(Sogou.com, UserCenter.dll)
何解？
7.对于autotun.inf 分析中有一点难于理解。

 附件: 您所在的用户组无法下载或查看附件这张图片截自讲义，但是我想，既然
        open=sabc.exe
        shell\open=打开（&0）
那么 shell\open\ComMand=sabc.exe才对，为什么是ComMand=abc.exe?难道这表示双击和右键时，自动打开的是两种不同的程序？

===============以下内容为lqqk7回复：==============
1、基于对系统关键文件的熟悉，首先确认这些文件不是系统自带文件；其次看它的路径，既然不是系统文件，却存在于windows目录下，且添加启动项每次开机自动运行，不包含明确的厂商信息，通过文件名看也不是我们熟知的常见应用软件，所以认为这些是可疑文件；在看文件名，其中不乏伪装正常程序的嫌疑，例如AVP*.exe，AVP为某款杀毒软件常用文件名；*HLP32通常为window帮助文档常用的文件名；Louts*通常为IBM Louts Notes邮件客户端常用文件名，其他就不具体举例了。另外这些文件名也符合当时流行的木马群病毒的明明特征，基于上述原因，可以判断这些文件是病毒。综上所述不难看出，分析日志需要对操作系统关键目录和关键文件很熟悉，并且要熟知大众常用软件的启动项、关键进程、服务等，例如QQ、winrar、各类播放器、输入法、邮件客户端、浏览器、热门网友、主流杀软等，这样才能准确识别正常程序，并且很容易发现那些试图伪装成正常程序的病毒。同时还要对当前所流行的病毒主要特征有一定的了解，这样就很容易判断了。

2、判断理由通上，基本依靠对系统的熟悉程度和分析日志的经验；

3、不一定。要看具体的文件是什么；

4、不一定。厂商信息和版本都是文件属性中的信息，文件属性中是否一定含有这些信息要看程序员的习惯了。很多正常程序的文件也不全都包含这些信息。同时也有病毒会伪造这些信息，所以仅依靠这些判断文件是否正常，需要结合问题1中所说的那些因素综合分析；

5、不一定。没有绝对固定的打开方式，只能说是大多数情况下都采用了windows的默认打开方式，例如.txt，windows默认使用记事本打开。而你电脑与我讲义中的路径不同，应该是因为你是用的是64位系统，否则这个文件关联是不正常的。当然及时你是用了64位系统，也可以将这些关联修复为默认值即%SystemRoot%\NOTEPAD.EXE %1，也是不影响你使用的；

6、你在日志中看到有些winsock项名称后面会显示[TCP][UDP]之类的信息，大多数情况下确实是用来标识它所过滤的协议类型，但是它不是作为“协议类型”进行表述的，它实际上就是名称的一部分，这句话比较拗口，举个例子来说就是你有一个表格，这个表格有两列，第一列为名称，第二列为类型，现在有两张同样的表格，分别是：
表1：
名称          类型
ABC          [TCP]

表2：
名称                      类型
ABC        [TCP]

当你打印两个表格后，输出的内容实际上是相同的，都是“ABC        [TCP]”
但实际上是不同的，对于表一，实际上输出的是名称“ABC”，类型“[TCP]”
对于表二，输出的是名称“ABC        [TCP]”，类型无；

日志中所看到winsock部分实际上跟表二的情况类似，你看到的那些[TCP]  [UDP]并不是以协议类型的形式输出的，而是输出名称的一部分，也就是说程序员将这个winsock项命名为“ABC[TCP]”，则日志中就会输出“ABC[TCP]”，而如果程序员将其命名为“SogouTcpFilter”，则日志中看到的就是“SogouTcpFilter”

7、实际上，那可能是我当时的手误。。。。。。。
但是，这也并非完全不可能，你的解释是正确的，如果情况确实如此，那么当你双击盘符的时候会执行sabc.exe，而当你右键点击盘符并在右键菜单中选择打开，则会执行abc.exe