瑞星卡卡安全论坛

讲师：networkedition

内容简介：介绍SREng工具的基本使用，和其日志的分析流程，及在日志分析中需要注意的一些细节问题。

讲义地址：日志分析讲义（下）

本次课程答疑时间：2011年7月12日 14:00-16:00

提问方式：回复本帖提问（即跟帖），不要通过QQ群提问，讲师会在答疑时间，编辑提问帖进行答疑！

用set设置环境变量path时set  path=............添加后以前的地址都木有了么，还是新的地址加上去？？？

networkedition回复：使用的是命令行嘛，我的电脑右键属性高级环境变量，可以新建、编辑、删除。

注册表：[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Active Setup\Installed Components\{2C7339CF-2B09-4501-B3F3-F3508C9228ED}]
    <Themes Setup><%SystemRoot%\system32\regsvr32.exe /s /n /i:/UserInstall %SystemRoot%\system32\themeui.dll>  [File is missing]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Active Setup\Installed Components\{44BBA840-CC51-11CF-AAFA-00AA00B6015C}]
    <Microsoft Windows><"%ProgramFiles%\Windows Mail\WinMail.exe" OCInstallUserConfigOE>  [File is missing]
注册表中有两个file is missing的项目，第一个应该是安装系统时候带的theme工具，但是第二个winMail会是outlook么？如果是的话名字不对，而且后面的参数 OCInstallUserConfigOE也有点奇怪，请工程师看看
驱动程序：[Performance Tools Driver 10.0 / VSPerfDrv100][Stopped/Manual Start]
  <\??\E:\vs2010\Team Tools\Performance Tools\VSPerfDrv100.sys><Microsoft Corporation>
类似上述带\??\路径的应该非常可疑吧？如果一个用户的的驱动程序过多，有明显无用的例如装的nivida显卡但是有amd驱动，是否可以推荐用户删除？可以禁止启动么？
浏览器加载项：[Shockwave Flash Object]
  {D27CDB6E-AE6D-11CF-96B8-444553540000} <C:\Windows\system32\Macromed\Flash\Flash10t.ocx, (Signed) Adobe Systems, Inc.>
[]
  {01443AEC-0FD1-40FD-9C87-E93D1494C233} <, >
这个后面带<,>的得有10多行，前面的代码不一样，看工程师的日志文件中没有这个，请教下这个是不是电脑有什么问题
[Agent Class]
  {485463B7-8FB2-4B3B-B29B-8B919B0EACCE} <E:\Thunder Network\Thunder\BHO\ThunderAgent7.1.7.2244.dll, (Signed) 深圳市迅雷网络技术有限公司>
[]
  {488A4255-3236-44B3-8F27-FA1AECAA8844} <, >
[]
  {53AC8551-0DE0-4606-8A1E-A51AF20ADD60} <, >
[PowerPlayer Control]
  {5EC7C511-CD0F-42E6-830C-1BD9882F3458} <E:\PPS.tv\PPStream\POWERP~1.DLL, (Signed) PPStream Inc.>另外一部分是否可疑？？

正在运行的程序：看正在运行的程序有没有用到，而且没有开机启动，但是还在运行，如nukia pc套件，很奇怪，这个有办法让他不跟随运行么？确实没有启动 [E:\nokia\Nokia PC Suite 7\PhoneBrowser.dll]  [Nokia, 7, 1, 108, 0]
    [E:\nokia\Nokia PC Suite 7\NGSCM.DLL]  [Nokia, 7, 1, 156, 0]
    [E:\nokia\Nokia PC Suite 7\Lang\PhoneBrowser_chi-sc.nlr]  [Nokia, 7, 1, 71, 0]
    [E:\nokia\Nokia PC Suite 7\Resource\PhoneBrowser_Nokia.ngr]  [Nokia, 7, 1, 21, 0]
文件关联：
.TXT  Error. [C:\Windows\notepad.exe %1]
.JS  Error. [C:\Windows\System32\WScript.exe "%1" %*]
很像工程师举得例子，如何分辨是否有错误呢?如果修正如何修正？第二个js是脚本不？


networkedition回复：如果判断出是正常的驱动，不能建议删除啊，删除了软件就废了啊。  {488A4255-3236-44B3-8F27-FA1AECAA8844} <, >这种可以不用理会都是一些插件。表红的那项不是可疑的，是PPStream相关插件，如果不放心可以百度一下。
nokia pc套件那个看一下启动项里面有没有。

文件关联显示error的就是有问题的，直接使用sreng工具修复即可。

我在点击开始----运行，输入dllcache，为什么会出现说找不到文件‘dllcache’，如下图所示



 附件: 您所在的用户组无法下载或查看附件



networkedition回复：什么操作系统啊，win7么？windowsxp没有问题。

1.path变量在WIN7中与XP中的相同么？
2.HOSTS文件在自己电脑中怎么进行设置？
3.老师说说，如果真的机子中了一个病毒，要彻底手工删除它，都应该删除哪呢？只是把病毒

本身文件一删就可以了么？注册表？启动项？还有？

networkedition回复：1、windows7没有研究过，
2、C:\WINDOWS\system32\drivers\etc下找到hosts这个文件，用记事本打开，直接添加相关网址及ip地址，之后保存即可。
3. 病毒文件都删除了，对应的注册表、启动项之类就属于残留了。

恩，是WIN7

日志分析中，表示地址的键值项就写了个dll文件或者exe文件，请问是神马意思？没有比如C:\WINDOWS等的详细地址。。。。