2009年1月21日课程作业
1、一份完整的SREng应该包含哪几部分?
答:包括包括“[ code]”和“[ /code]”在内的扫描日期和时间、SREng版本和作者版权信息、操作系统基本信息、本次扫面的项目、启动项目和注册表、启动文件夹、服务、驱动程序、浏览器加载项、正在运行的进程、文件关联、Winsock 提供者、Autorun.inf、HOSTS 文件、进程特权扫描、计划任务、API HOOK和隐藏进程这几个部分。2、在日志的注册表启动项中看到如下内容:
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon]
<Userinit><C:\WINDOWS\system32\userinit.exe,C:\WINDOWS\system32\explore.exe,> []
请回答:
该启动项是否正常?为什么?应该如何操作?
答:不正常。病毒删除了Shell项,且篡改了登陆项。而且这一项应该是有数字签名的,但它没有检测到。
应做如下操作:添加Shell项为<shell><Explorer.exe>;编辑登陆项为<Userinit><C:\WINDOWS\system32\userinit.exe,>。3、用SREng扫描日志,可以扫出“应用程序劫持项”吗?
答:可以。4、在日志的服务项中看到如下内容:
[Ati HotKey Poller / Ati HotKey Poller][Stopped/Auto Start]
<C:\WINDOWS\system32\Ati2evxx.exe><ATI Technologies Inc.>
请回答:
该服务项的显示名称是什么?注册表项名称是什么?
该服务项的状态是什么?启动类型是什么?
完整的映像路径是什么?它是那个公司的?
答:该服务项显示的名称是Ati HotKey Poller,注册表项名称是Ati HotKey Poller,该服务项的状态是Stopped(停止),启动类型是Auto Start,完整的映像路径是C:\WINDOWS\system32\Ati2evxx.exe,所属的公司是ATI Technologies Inc.(ATI公司)。5、你认为“C:\WINDOWS\system\svchost.exe”这个文件是否正常?简述原因!
答:不正常。svchost.exe这个文件应该存在于C:\WINDOWS\system32这个目录中。而C:\WINDOWS\system这个目录中应该是没有svchost.exe这个文件的。导致这个问题的原因应该是木马在磁盘中释放了这个文件C:\WINDOWS\system\svchost.exe。6、在日志中看到以下可疑文件:%ALLUSERSPROFILE%\Application Data\Microsoft\OFFICE\abc.dll
请回答:如何指导求助者删除它?
答:删除此文件C:\Documents and Settings\All Users\Application Data\Microsoft\OFFICE\abc.dll。7、在日志中看到如下启动项:
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run]
<abc><abc.exe> []
请回答:该启动项在开机时能否正常加载?为什么?
答:abc.exe这个文件只要在c:\windows\system32;c:\windows;c:\windows\system32\wbem以及其他应用程序加入的路径中的任意一个中存在,就可以加载。如果这些路径中都没有abc.exe,则无法加载。因为根据path变量,要运行abc.exe,系统就会在path变量下的路径中依次寻找该文件,如果找到就立即加载,如果没找到,就无法加载。8、在日志中看到如下可疑文件:D:\windows\system32\abc.exe
请回答:能否使用XDelBox去删除该文件?
答:无法用XDelBox删除该文件。因为XDelBox只支持操作系统安装在C盘的。用户系统信息:Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1; MAXTHON 2.0)
吴佳元 最后编辑于 2009-02-26 14:24:49
