Quote:

日志分析小小技巧的小小的总结
1,优先查看描述为<N/A>或者为<>的项目,描述为<Microsoft Corporation>的也不一定是良民,描述为 [(Verified)Microsoft Windows Publisher]的可以目前为止可以忽略掉
2,熟悉常见的系统进程,系统文件名称正常应该存在的路径,是否有数字前面等,对于判别可疑文件是否为病毒很有帮助
3,了解病毒常常蹲点的目录的目录很有必要
4,百度 google对不熟悉的可疑文件判定很有帮助,但是请善待搜索到的东西,搜索到到可不都是病毒哦 还是实践出真理

5,了解并熟悉系统服务的服务名称,显示名称和其他参数,有助于找出病毒伪装的服务或者驱动
6,了解病毒常常下蛋的地方有助于可疑文件的判断
%TEMP%
%SystemRoot%\                                  (病毒的最爱)
%SystemRoot%\Temp
%SystemRoot%\Debug
%SystemRoot%\inf                                (隐藏文件夹)
%SystemRoot%\Fonts
%SystemRoot%\WBEM
%SystemRoot%\system
%SystemRoot%\system32\                         (病毒的最爱)
%SystemRoot%\system32\spool
%SystemRoot%\system32\drivers
%SystemRoot%\system32\wbem
%SystemRoot%\system32\Com                       (磁碟机喜欢这里蹲点)
%ProgramFiles%\Internet Explorer
%ProgramFiles%\Internet Explorer\PLUGINS        (某些病毒也很喜欢这里)
%CommonProgramFiles%
%CommonProgramFiles%\System
%CommonProgramFiles%\Microsoft Shared\VGX
%CommonProgramFiles%\Microsoft Shared\MSInfo     (以前经常看到)
%USERPROFILE%\「开始」菜单\程序\启动             
%ALLUSERSPROFILEC%\「开始」菜单\程序\启动        (磁碟机下蛋的地方)
%USERPROFILE%\Local Settings\Temporary Internet Files (临时文件夹有些病毒也很喜欢这里)
不知道这些个系统变量具体代表什么的建议命令行下 set看看

.....等等 ^_^



第一部分:关注下“敌人的把戏”

Quote:
1,注册表启动项目分析小技巧,更多的请参考二楼

1.1 [HKEY_CURRENT_USER\Software\Microsoft\Windows NT\CurrentVersion\Windows]
   <load>
    此键值,正常为空

Eg:典型的病毒项目

[HKEY_CURRENT_USER\Software\Microsoft\Windows NT\CurrentVersion\Windows]
    <load><c:\windows\system32\svoh0st.exe>  [N/A]

1.2 [HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon]
    <shell><c:\windows\system32\Explorer.exe>  [(Verified)Microsoft Windows Publisher]
  此键值,正常值为explorer.exe或者c:\windows\system32\Explorer.exe

Eg:典型的病毒项目

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon把
"Shell"="Explorer.exe 1"  
注意这里的1

1.3 [HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon]
    <Userinit><C:\windows\system32\userinit.exe>  [(Verified)Microsoft Windows Publisher]
此键值正常值为C:\windows\system32\userinit.exe,

Eg:典型的病毒项目
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon]
<Userinit><userinit.exe,EXPLORER.EXE> [(Verified)Microsoft Windows Publisher]        
注意这里的EXPLORER.EXE实际上是病毒

1.4 [HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Windows]
   <AppInit_DLLs><>  [N/A]

此键值正常值为空,但是可能是【卡卡助手 KIS7.0,木马克星等】

Eg:典型的病毒项目
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Windows]
<AppInit_DLLs><jzgpri.dll> []

1.5 [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks]
此项一般下面没有什么内容,正常的比如瑞星的RavExt.dll
Eg:典型的病毒项目
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks]
<{014A26F5-FBAD-4549-9CA1-C38210704BD1}><C:\Program Files\Common Files\Microsoft Shared\MSINFO\System16.ins> []

1.6 [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\SharedTaskScheduler]
此项下面一般不会有内容

Eg:典型的病毒项目
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\SharedTaskScheduler]
    <{ABCCEEF0-CCDE-7789-88AA-223455779AAC}><C:\WINDOWS\system32\GFOMWUDC.dll>  []

1.7 [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\Your Image File Name Here without a path]
   <IFEO[Your Image File Name Here without a path]><ntsd -d>  [N/A]
此项下面一般只有上上面显示的一项
Eg:典型的病毒项目
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\kav32.exe]
    <IFEO[kav32.exe]><C:\Program Files\Common Files\Microsoft Shared\gkntuth.exe>  []
简单解析:当执行kav32.exe的时候实际上执行的却是病毒程序gkntuth.exe



2.其他项目的分析:

Quote:
2.1
正义的
   Kingsoft Antivirus KWatch Service/KWatchSvc   <Kingsoft Corporation>
   NVIDIA Display Driver Service / NVSvc         <NVIDIA Corporation>
邪恶的  
   90C18ED8 / 90C18ED8                           <N/A>
   B302EC43 / B302EC43                           <Microsoft Corporation>
(1)[Kingsoft Antivirus KWatch Service / KWatchSvc][Running/Auto Start]
  <"D:\Program Files\Kingsoft\Kingsoft Internet Security 2008\KWatch.EXE"><Kingsoft Corporation>
(2)[NVIDIA Display Driver Service / NVSvc][Running/Auto Start]
  <C:\WINDOWS\system32\nvsvc32.exe><NVIDIA Corporation>
(3)[90C18ED8 / 90C18ED8][Stopped/Auto Start]
    <><N/A>
(4)[B302EC43 / B302EC43][Stopped/Auto Start]
   <C:\WINDOWS\system32\75D23BE4.EXE -d><Microsoft Corporation>
简单的终结下
first:为了更好的让人了解服务的功能,正常的服务项目 显示名称要比服务名称更详细(比如这里的金山毒霸文件实时监控的服务)
second:奇怪的服务名称。比如纯数字看似随机产生的(流行的auto类病毒常用的手段),和描述为<N/A>的更有可能是病毒服务,描述为<Microsoft Corporation>的不一定是良民
 



Quote:
2.2,
【正常的】Help and Support / helpsvc    C:\WINDOWS\System32\svchost.exe   pchsvc.dll   <N/A>
【病毒加载的】Help and Support / helpsvc    C:\WINDOWS\system32\interne.exe   pchsvc.dll   <Microsoft Corporation>
(注意这里的这个加载程序一转眼咋土鸡变凤凰了   svchost.exeinterne.exe 可疑啊 可疑 )
【正常的】DCOM Server Process Launcher / DcomLaunch    C:\WINDOWS\system32\svchost.exe   rpcss.dll        <Microsoft Corporation>
【病毒加载的】DCOM Service Process Manager / DCOMManager   C:\WINDOWS\system32\svchost.exe   pcidevices8.inf  <Microsoft Corporation>
(1)[Help and Support / helpsvc][Stopped/Disabled]
  <C:\WINDOWS\System32\svchost.exe -k netsvcs-->%WINDIR%\PCHealth\HelpCtr\Binaries\pchsvc.dll><N/A>
(2)[Help and Support / helpsvc][Stopped/Auto Start]
  <C:\WINDOWS\system32\interne.exe-->%WINDIR%\PCHealth\HelpCtr\Binaries\pchsvc.dll><Microsoft Corporation>
(3)[DCOM Service Process Manager / DCOMManager][Running/Auto Start]
  <C:\WINDOWS\system32\svchost.exe -k netsvcs-->c:\windows\inf\pcidevices8.inf><Microsoft Corporation>
(4)[DCOM Server Process Launcher / DcomLaunch][Running/Auto Start]
  <C:\WINDOWS\system32\svchost -k DcomLaunch %SystemRoot%\system32\rpcss.dll> <Microsoft Windows XP Publisher>
小小的总结下:
first:即使服务名和显示名称看似和系统服务类似或者一模一样,也要仔细关注它的启动程序,对于svchost.exe加载的要注意加载的dll文件(^_^ 这可是 灰鸽子之类通过服务加载的木马程序常用的伎俩哦)
second:为了更好的找出小坏蛋,熟悉操作系统的服务的服务名,显示名称,加载程序 很有必要



Quote:
2.3,[drop / drop][Stopped/Auto Start]
  <\??\C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\tmp31.tmp><N/A>
[fpids32 / fpids32][Running/Auto Start]
  <\??\C:\WINDOWS\system32\drivers\msosfpids32.sys><N/A>
[iCafe Manager / iCafe Manager][Stopped/Manual Start]
  <\??\C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\usbhcid.sys><N/A>
[Sc Manager / Sc Manager][Stopped/Manual Start]
  <\??\C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\usbcams3.sys><N/A>
[DeepFree Update / DeepFree Update][Stopped/Manual Start]
  <\??\C:\WINDOWS\system32\drivers\pcihdd2.sys><N/A>
[mhfp / mhfp][Stopped/Auto Start]
  <\??\C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\tmp7.tmp><N/A>
总结下:
可能会说总结什么啊 不是和上面的差不多 奇怪的名称 还有<N/A>,注意C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\usbcams3.sys(流行的病毒哦),C:\WINDOWS\system32\drivers\pcihdd2.sys(中过机器狗的估计不会忘记),似乎这些都是一些流行的病毒释放的东西啊,^_^ 这小节想和大家分享的是如果你常常关注一些新病毒的释放项目在病毒分析的时候是不是不需要google 百度了 直接秒杀



Quote:
2.4, <upxdnd><C:\WINDOWS\upxdnd.exe>  []
    <Kvsc3><C:\WINDOWS\Kvsc3.exE>  []
    <msccrt><C:\WINDOWS\msccrt.exe>  []
    <cmdbcs><C:\WINDOWS\cmdbcs.exe>  []
    <DbgHlp32><C:\WINDOWS\DbgHlp32.exe>  []
    <LotusHlp><C:\WINDOWS\LotusHlp.exe>  []
    <PTSShell><C:\WINDOWS\PTSShell.exe>  []
    <SHAProc><C:\WINDOWS\SHAProc.exe>  []
    <WSockDrv32><C:\WINDOWS\WSockDrv32.exe>  []
    <{D29DCEE0-457B-45A2-A92D-741B95B7723B}><C:\Program Files\Internet Explorer\PLUGINS\Ns_Sys55.Sys>  []
    .......很有很多可惜保存下来的日志不多
简单总结下,病毒常常蹲点的目录
%TEMP%
%SystemRoot%\                                  (病毒的最爱)
%SystemRoot%\Temp
%SystemRoot%\Debug
%SystemRoot%\inf                                (隐藏文件夹)
%SystemRoot%\Fonts
%SystemRoot%\WBEM
%SystemRoot%\system
%SystemRoot%\system32\                         (病毒的最爱)
%SystemRoot%\system32\spool
%SystemRoot%\system32\drivers
%SystemRoot%\system32\wbem
%SystemRoot%\system32\Com                       (磁碟机喜欢这里蹲点)
%ProgramFiles%\Internet Explorer
%ProgramFiles%\Internet Explorer\PLUGINS        (某些病毒也很喜欢这里)
%CommonProgramFiles%
%CommonProgramFiles%\System
%CommonProgramFiles%\Microsoft Shared\VGX
%CommonProgramFiles%\Microsoft Shared\MSInfo     (以前经常看到)
%USERPROFILE%\「开始」菜单\程序\启动             
%ALLUSERSPROFILEC%\「开始」菜单\程序\启动        (磁碟机下蛋的地方)
%USERPROFILE%\Local Settings\Temporary Internet Files (临时文件夹有些病毒也很喜欢这里)
不知道这些个系统变量具体代表什么的建议命令行下 set看看



Quote:
2.5,
   C:\WINDOWS\system32\wuauclt1.exe
   C:\WINDOWS\system32\wuauc1t1.exe
   C:\WINDOWS\system32\wuauclt.exe
   C:\WINDOWS\system32\wuaulct.exe
小结一下:
   此类病毒一般是对文件名做手脚, O not 0---就如iexpl0re.exesvch0st.exe l not 1 ---比如这里的wuauclt1.exewuauc1t1.exe;添加删除位置变化 ---比如 spoolsv32.exe多了32 ieplorer.exe多了R,这里的wuauclt.exewuaulct.exe【cl和lc】,又如scvhost.exe采用了vc位置变化;后缀名上做文章,比如这里的kernel32.exe 貌似很系统的一个文件,但是有这个文件吗没有,kernel32.dll倒是有一个,还缺了不行;类似的通过文件名的变化 应该还有很多,但是俺可想不出来其他的.....一些其他的可以参考,此节说明了解一些操作系统文件对于日志分析的重要性拨开迷雾看真相-----病毒易容记



Quote:
2.6,我电脑中毒了。TcpIPdog0.dll?
我用卡巴。xp系统。说是访问在系统32里的TcpIPdog0.dll被拒绝。感染了Trojan-Spy.win32.mlwatch.a.
我在安全模式下把c盘杀完了毒。但是重起到正常还是会有上面的提示,,,,,,,,,,,,
我的winsock你看这些是病毒吧
MSAFD Tcpip [TCP/IP]
C:\WINDOWS\system32\TcpIpDog0.dll(, N/A)
MSAFD Tcpip [UDP/IP]
C:\WINDOWS\system32\TcpIpDog0.dll(, N/A)
MSAFD Tcpip [RAW/IP]
C:\WINDOWS\system32\TcpIpDog0.dll(, N/A)
RSVP UDP Service Provider
C:\WINDOWS\system32\TcpIpDogR0.dll(, N/A)
RSVP TCP Service Provider
C:\WINDOWS\system32\TcpIpDogR0.dll(, N/A)
最佳答案
卡巴本来就有神经病!!
你可以根据卡巴里的位置提示手动把他删了
再就是用备份还原一下
小结下:
其实TcpIPdog0.dll是dr.com宽带网客户端的应用程序扩展的应用程序扩展,至于修复这个以后能不能上网偶们这里不用这个客户端的不知道 ^_^ ,这里只想告诉大家百度 google搜索到的东西可不都是病毒哦 实践出真理 ^_^

 

sreng日志分析菜苗级别的小结【转载自:毒霸论坛】
写在前面:
         1,虽然自己看的日志还严重的缺乏,在参考了日志分析高手崔衍渠老师的SREng 日志分析方法 (1.1.0)     正常的系统启动项目 (1.1.0),并找了还保留在电脑里面的10几个日志,整理出以下内容希望有兴趣学习日志分析这份体力活的朋友有所帮助
         2,如果有什么建议的可以跟帖,因为有些项目收集的不住没有列出来,等待以后的修改吧