SIC日志分析方法.doc

SIC日志分析方法 随着新病毒的不断增多，导致AV Team对病毒问题响应时间不断增长。为了缩短病毒响应时间，我们有必要学习一下SIC日志的分析，从而加快病毒处理速度。但由于人工分析SIC日志需要一定的经验的积累，初学者很难上手，因此有必要向大家介绍一个分析方法。 UltraEdit是一款强大的文本编辑器，使用这个软件可以帮助我们优化一些日常工作。使用UltraEdit 可以自动以不同颜色显示出SIC日志中的正常文件，它可以帮助我们排除正常文件的干扰，快速定位到可疑文件信息，效果如下图： 具体方法如下： 收集正常文件列表 在客户的网络环境中，取几台样机（已经安装好工作所需要的软件） 在这些机器上，分别执行SIC,生成SIC log 打开SIC log,定位到File Versions 将该类下面的内容全部复制到一个新的文档 只保留文件路径，其它内容全部删除,然后保存该文件 例如: C:\program files\analog devices\soundmax\drvlsnr.exe UltraEdit的设定 1、依次打开Advanced－Configuration－Edit Display－Syntax Highlight，会显示如下的对话框： 2、点击Open按钮，会打开一个名为wordfile.txt的文本文件。这个文件中的内容是一些编程语言的语法关键词，UltraEdit会根据这个文件中的内容，在显示这些编程语言源文件的时候会HighLight显示特定的语法关键词。本文介绍的方法就是利用这个原理，将正常的系统文件名编辑成语法关键词，在打开SIC日志的时候就会HighLight显示出正常文件名。 默认Wordfile.txt显示的内容如下： ３、将光标移动至文件的尾部，并另起一行，按照如下样式输入内容： （请输入先前准备好的正常文件列表） /L12SIC Filter Nocase Noquote /C1xp（用于显示xp系统中的正常系统文件） \windows\system32\rundll32.exe \WINDOWS\System32\igfxtray.exe \WINDOWS\System32\hkcmd.exe \WINDOWS\System32\ncsvc.exe 。。。（任意添加其他的文件名） /C22K（用于显示2k系统中的正常系统文件） \WINNT\System32\IME\TINTLGNT\TINTSETP.EXE \WINNT\system32\netdde.exe \WINNT\SYSTEM32\SPOOL\DRIVERS\W32X86\3\HPZipm12.exe \WINNT\System32\wdfmgr.exe \WINNT\system32\spoolsv.exe 。。。（任意添加其他的文件名） /C398（用于显示98系统中的正常系统文件） \windows\system\RUNDLL.EXE 。。。（任意添加其他的文件名） 输入后的wordfile.txt如下： ４、按照第一步，再次打开Syntax Highlight对话框，这时会在Language选项中显示如下的内容，SIC Filter就是我们刚才在wordfile.txt中编辑的。选中这个选项。 5、在Color Group选项中，会显示如下的内容，其中xp、2k、98就是系统正常文件的分组。选中其中一个后可以设定该组HighLight显示时使用的颜色，不设定时，UltraEdit会自动分配三个颜色给这三个分组。 ６、点击Apply，并点击OK退出Configuration对话框。 至此设置完毕，可以打开View－View As（Highlighting File Type），会显示出一个SIC Filter选项。 我们可以打开一个SIC日志查看一下效果如何。 打开SIC日志后，依次点击View－View As（Highlighting File Type）－SIC Filter 以后就可以根据颜色直接排除正常文件，快速定位到可疑文件。 附录 附录是目前整理的SIC日志中常见的正常文件名，大家可以将这些内容粘贴到ULTRAEDIT安装目录下的WORDFILE.TXT文件最后，即可直接使用。 /L12SIC Filter Nocase Noquote /C1xp \windows\system32\rundll32.exe \WINDOWS\System32\igfxtray.exe \WINDOWS\System32\hkcmd.exe \WINDOWS\System32\ncsvc.exe \WINDOWS\System32\IME\TINTLGNT\TINTSETP.EXE \WINDOWS\System32\igf