学看_SREng_日志分析_报告下.docVIP

学看 SREng 日志分析 报告 .下 2008年09月05日 星期五 13:54 学看 SRE 报告 ———— 第四讲 [折叠] 一。浏览器加载项结构还是以例子来说明：[ThunderAtOnce Class]{01443AEC-0FD1-40fd-9C87-E93D1494C233} d:\Program Files\Thunder\ComDlls\TDAtOnce_Now.dll, Thunder Networking Technologies,LTD●[ThunderAtOnce Class]： 该加载项名称●{01443AEC-0FD1-40fd-9C87-E93D1494C233}：在注册表中的名称●d:\Program Files\Thunder\ComDlls\TDAtOnce_Now.dll, Thunder Networking Technologies,LTD：对应文件的完整位置 ＋ 公司签名二。判断方法很少有病毒会涉及到这个项目，倒是流氓软件，100％绝对会在这里创建键值。1.加载项名称 ，这里。特别需要注意的是：如果有 []，这样的加载项，则代表该项键值有问题，当然，不能就此断定是病毒创建的。至少，有一点可以保证，对于IE浏览网页，它是绝对没用的。2.公司签名这个说过很多次了，没公司签名的，或者为 N/A 的，需要仔细查验其对应文件的详细路径。一般通过路径，就能判断出是否是病毒文件。[雅虎助手]{5D73EE86-05F1-49ed-B850-E423120EC338} /start.htm?source=yzs_iconbtn=yassistnew, N/A万人皆知的流氓了，自己都懒着给自己的文件，做公司签名，要来有何用？[使用迅雷下载]d:\Program Files\Thunder\Program\geturl.htm, N/A连迅雷，都犯懒，不做签名。。。。。。通过路径，应该能看出是迅雷吧？Thunder～ 引用:这个说法有误。浏览器加载项是一个很综合的项目，包括BHO，ActiveX插件，浏览器工具栏等多个项目，在SREng的界面中可以看到明显的说明。这些项目中，不仅仅有dll类型的加载PE文件（BHO或ActiveX项目），也有工具栏附加按钮，浏览器的右键菜单项目等等，特别是后两者，经常是一些网页链接。显然这里就是两个网页链接，目标是雅虎的一个网页，以及迅雷保存在本机的一个网页（作为迅雷的组件，当你右键点“使用迅雷下载”时，浏览器后台运行了这个网页）。网页链接不是可执行文件，当然就没有数字签名，这不是人家公司不做签名，而是压根就不需要做，也没法做得上去！ 浏览器加载项这里，几乎不会有什么问题，多看报告，积累总结出windows常见的，正常的浏览器加载项，就行了。除了windows自带的，基本上95％都是流氓软件的加载项了。 流氓软件，在手工杀毒的过程中，可以忽略不管。毕竟，它不算真正意义上的病毒。但是，如果作报告的电脑，出现：某个网页，无法访问，或者修复了winsock后，仍不能访问网页，则需要从浏览器加载项入手考虑了。 学看 SRE 报告 ———— 第五讲 [折叠] 一.正在运行的进程结构说明这部分,在SRE报告中,比重是最大的,其实,说白了,就是列出电脑当前运行的所有程序的进程信息,包括各自的模块(包括哪些同时运行,或者程序调用的DLL文件等)信息.为了减少看报告的工作量,提高效率.我们建议,在做报告之前,应该尽量关闭windows系统第三方的程序,比如QQ,IE,千千等等.尽量做到:只保留windows自身的进程.这样有助于我们更快速的判断,大家不用担心,关闭第三方程序,不会对查毒产生负面影响.还是拿例子说明:[PID: 664 / Administrator][C:\KAV2007\KAVStart.exe] [Kingsoft Corporation, 2007, 9, 28, 295]??? [C:\windows\system32\MFC71.DLL] [Microsoft Corporation, 7.10.3077.0]??? [C:\windows\system32\MSVCR71.dll] [Microsoft Corporation, 7.10.3052.4]??? [C:\windows\system32\MSVCP71.dll] [Microsoft Corporation, 7.10.3077.0]??? [C:\windows\system32\MFC71CHS.DLL] [Microsoft Corporation, 7.10.3077.0]??? [C:\KAV2007\KMailOEBan