回复:日志能包治百病?
“日志能包治百病否”这种问题本来就不用问,谁都知道答案。同样的,“有些问题不用日志也可以解决,有些问题光有日志也解决不了”,这也是“正确的废话”(所谓“正确的废话”,就是人人都知道是那样,说了解决不了任何问题,等于没说)。
是啊是啊,看起来是那么回事,但是呢,具体是哪些问题不用日志也能解决,具体哪些问题有日志也解决不了,要怎么判断问题的性质,要怎么知道一个问题是不是用日志解决得了?上面这些话就一点都没有提到了。所以这些话纯粹是“正确的废话”。
刚刚学习的实习生,不应该老喜欢说这些“正确的废话”,冠冕堂皇的漂亮话,而更应该关注一些实打实的经验。
“SRENG分析助手
缺点:对带微软签名的东东一律放行”
没有人叫你用SREng日志分析助手,如果你只是把日志扔进日志分析助手,自动生成解决方案,然后看也不看一眼就直接贴上来作为你的回帖内容,那么这样做是极端不严肃的,是极端危险的。只会这样偷懒的实习生,我宁愿他们从未踏入反病毒区。
另外,什么是数字签名,什么是版本信息,你没有分清楚。日志助手筛选的只能是版本信息,版本信息是很容易伪造。但是数字签名则不是。签名和版本信息还是两码事。
还有,Javhqc那个主DLL是否有版本信息我不知道,但是我知道的是,它会把kernel32.dll和avdapi32.dll改名后再加载,这两个改名后的dll,原先便是系统DLL,当然有完整的版本信息和数字签名,必须将它们与病毒DLL区分开来。
