瑞星卡卡安全论坛

讲师：networkedition

内容简介：介绍SREng工具的基本使用，和其日志的分析流程，及在日志分析中需要注意的一些细节问题。

讲义地址：日志分析讲义（上）

本次课程答疑时间：2011年7月11日 14:00-16:00

提问方式：回复本帖提问（即跟帖），不要通过QQ群提问，讲师会在答疑时间，编辑提问帖进行答疑！

看了这么多，确实不好弄，至今还没好好看过一篇日志啊。:kaka3:

1.讲义中所说的AppInit_DLLs键值指什么，为什么值应该为空？
2.在浏览器加载项中篮框部分是注册表中的ＣＬＡＳＳＩＤ，这是什么意思？
３.在正在运行的进程部分中，粉框部分是公司和文件版本中那括号中表示的是什么？
4.在文件关联部分粉框部分是该类型文件的打开方式后那个%1，%*，%S，是什么意思？那个

LNK快捷房事后那打开方式里的一串数字是注册表键值么？

networkedition回复：
1. 讲义里面已经讲了，AppInit_DLLs键值不一定就是空，有些安全软件也会用到这项。
2. 关于clsid参看一下百度百科写的比较详细：http://baike.baidu.com/view/150219.htm
3. 这个讲义里面也有，（verified）是验证通过数字签名的意思。该文件是安全的，但也不一定就是安全的，讲义里面有详细介绍

4. 可以通过在cmd里面运行ftype/?，查看ftype命令详细介绍。注：ftype是命令行设置文件关联。

老师您好：
        我用SREng工具分析日志后发现有可疑启动项sysanti.exe 位置C:\Windows\System32\sysanti.exe。但是我打开文件夹后却找不到这个文件，文件夹选项-》查看也已经设为显示所有文件。请问老师这是为什么


networkedition回复：你扫描的日志是你电脑嘛？

看来今天没有人来实习，老师是不是也闲着？
我刚才扫描了一份自己的日志，老师能不能帮我分析下，给我点建议。

新手不懂，请老师谅解。

 附件: 您所在的用户组无法下载或查看附件


networkedition回复：具体有什么问题？