廣告廣告
  加入我的最愛 設為首頁 風格修改
首頁 首尾
 手機版   訂閱   地圖  簡體 
您是第 3639 個閱讀者
 
發表文章 發表投票 回覆文章
  可列印版   加為IE收藏   收藏主題   上一主題 | 下一主題   
upside 手機 葫蘆墩家族
個人頭像
個人文章 個人相簿 個人日記 個人地圖
特殊貢獻獎 社區建設獎 優秀管理員勳章
頭銜:反病毒 反詐騙 反虐犬   反病毒 反詐騙 反虐犬  
版主
分享: 轉寄此文章 Facebook Plurk Twitter 複製連結到剪貼簿 轉換為繁體 轉換為簡體 載入圖片
推文 x0
[資訊教學] 新手快速學會看SReng的分析日誌
新手快速學會看SReng的分析日誌

每天總是有很多人抱怨新安裝軟件時出錯,或者無法使用等等,特別是殺毒軟件換另一個卻
無法使用,或者監控、無法升級。也有的人殺毒或者清理流氓軟件後,系統提示這樣或者那
樣的錯誤......然後便抱怨殺軟或者軟件有BUG,殺毒不幹淨等問題,這時候,莫不如做一個
系統報告,找一找系統本身或者自己操作的問題,而不要去歸罪與軟件,或者殺軟能力不行!

掃描一份系統報告,分為幾個部分:

1.註冊表;

2.啟動文件夾;

3.服務;

4.驅動程序;

5.瀏覽器加載項;

6.正在運行的進程;

7.文件關聯;

8.Winsock 提供者;

9.Autorun.inf;

10.HOSTS 文件;

11.API HOOK。

    好了,拿到這樣一份系統報告,再拿出你的耐心和信心,學會看報告並,
    雖然不能說你就是高手,但至少你不再是菜鳥!

一、註冊表
  以下是報告中註冊表部分的一段:
  [HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon]
    <shell><Explorer.exe> [(Verified)Microsoft Corporation]
    <Userinit><C:\WINDOWS\system32\userinit.exe,> [(Verified)Microsoft Corporation]
  1.最上邊的[]中的部分,便是註冊表的一個項,也就是說註冊表的一個位置;
  2.下邊的一行中 <shell><Explorer.exe> ,前邊的<>中,是代表上邊提到註冊表項下的一個鍵,而它後邊<>中的,就是鍵值或者說鍵內容(對應著一個映像文件)。
  3.再後邊 [(Verified)Microsoft Corporation],[]中的就是這個鍵值對應映像文件的出品公司,如果標誌為<N/A>,則是無法識別程序出品公司的,這時,就一定要小心或者懷疑其安全性了!
  4.再下邊一行,則是註冊表項下的另一個鍵的信息。
  上面的說明知道了,接下來就分析了,首先看後邊既然映像文件是微軟公司的,那麼就不需要懷疑其有問題了!而我列的這2個項是比較特殊的,很多都修改內容以達到隨系統啟動,而殺毒之後,如果這個鍵值如果有問題,可能造成無法進入桌面,或者系統報錯等,這樣的註冊表項實並不多,積累記住即可!而有的註冊表項,直接刪除即可,這裡不寫了!
  舉例一個明顯有問題的註冊表項:
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
<0189241169530598mcinstcleanup><; C:\DOCUME~1\yoyizz\LOCALS~1\Temp\018924~1.EXE C:\PROGRA~1\COMMON~1\McAfee\INSTAL~1\cleanup.ini -cleanup -nolog> [N/A]

二、啟動文件夾(個別的設置了系統的計劃任務中才有,比如打印機的程序出現在這裡,一般少見,略過)

三、服務
  這裡列出的都是非微軟系統的服務,項目較少,出顯卡、聲卡,還有的大多數殺軟如McAfee、Kaspersky、瑞星、AVG等寫入系統服務,都會出現在這裡。這些都可以根據軟件出品公司來識別其可靠性。但有的可能是被病毒感染過而無法識別,不要貿然刪除。來看例子:
  [SRS Labs License Service / SRS Labs License Service][Stopped/Manual Start]
<"C:\Program Files\Common Files\SRS Labs Shared\Service\srslabslicenseservice.exe"><SRS Labs>
  1.上邊一行前邊的[]裡,“/”前邊的是服務的簡寫名稱(微軟的都有簡寫),後邊的是完整的服務名稱。
    後邊[]裡,Stopped/Manual Start,Stopped是代表現在的狀態,後邊的Manual Start是啟動方式,關於服務的啟動方式和狀態,連我這個非英語語種的人也會看,不多說了!
  2.下邊一行,前邊<>裡的是這個服務對應的映像程序,後邊的<>裡就是程序的出品公司。
  那麼,就把你不認識的服務,非微軟公司的,有疑問的找出來吧!

四、驅動程序
  很多殺軟出問題,大多數都是這裡有沒卸載幹淨的其他殺軟殘留。比如卸載瑞星,不是經驗豐富的人,在這裡都有殘留驅動,辦法很簡單,看到[Beijing Rising Technology Co., Ltd.],那就是它了,可以毫不猶豫的幹掉它。其他殺軟也一樣用公司名判斷:McAfee, Inc,Kaspersky,金山等等。另外,有的流氓軟件也大多在此做醜,或者見<N/A>都要判斷一下文件的安全性。
[USB to IEEE-1284.4 Translation Driver HPZius12 / HPZius12][Stopped/Manual Start]
<system32\DRIVERS\HPZius12.sys><HP>
上邊的是我系統中惠普公司打印驅動文件。我看不必細解釋,再對照下邊2個很明顯有問題的驅動報告項目:
[autorun / autorun][Stopped/Manual Start]
    <\??\C:\huadio.tmp><N/A>
[BaseTDI / BaseTDI][Running/]
    <2 - 系統找不到指定的文件。><N/A>

五、其他的項目,不解釋了。上邊的找到可以項目,最好都整理到一個新的文本中,開始總結處理吧!
  可疑終歸是可疑,並沒有確認,高手或者經驗豐富的人,可以用經驗確定大多數的問題,但也不可能所有的都能確認,這時候,高手跟菜鳥是一樣的,都需要:百度一下!
  確定了問題項目,那麼歸類一下:1.需要刪除的註冊表項;2.需要修改的註冊表項;3.需要刪除文件(不要漏掉註冊表或者服務中對應的映像文件),auto文件等等。4.需要修復的重要文件關聯等等,都用sreng修復即可!

  上邊的內容,我覺得用來學看報告夠了,其他的還是要自己用心學習和經驗積累,希望你早日擺脫菜鳥級別.



爸爸 你一路好走
獻花 x0 回到頂端 [樓 主] From:臺灣和信超媒體寬帶網 | Posted:2008-05-10 18:30 |
liujenha 手機
數位造型
個人文章 個人相簿 個人日記 個人地圖
風雲人物
級別: 風雲人物 該用戶目前不上站
推文 x0 鮮花 x4768
分享: 轉寄此文章 Facebook Plurk Twitter 複製連結到剪貼簿 轉換為繁體 轉換為簡體 載入圖片

果然我是菜鳥全都看不懂


獻花 x0 回到頂端 [1 樓] From:臺灣中華HiNet | Posted:2008-05-11 08:22 |
追風者的溫柔 手機
個人文章 個人相簿 個人日記 個人地圖
小人物
級別: 小人物 該用戶目前不上站
推文 x2 鮮花 x56
分享: 轉寄此文章 Facebook Plurk Twitter 複製連結到剪貼簿 轉換為繁體 轉換為簡體 載入圖片

看不懂沒關係~ 有問題把 Sreng 分析表po上來~ 大家幫你瞧瞧就行了 表情


魚對水說你看不到我的眼淚,因爲我在水裏。水說我能感覺到你的眼淚,因爲你在我心裏。
獻花 x0 回到頂端 [2 樓] From:歐洲 | Posted:2008-05-11 15:28 |
kerash 手機
個人文章 個人相簿 個人日記 個人地圖
路人甲
級別: 路人甲 該用戶目前不上站
推文 x0 鮮花 x2
分享: 轉寄此文章 Facebook Plurk Twitter 複製連結到剪貼簿 轉換為繁體 轉換為簡體 載入圖片

其實看 SREng 還是得從經驗來建立,多看多學,不清楚或不確定的就問。
我看過剛學看的不懂得去查檔案正確性,凡舉 n/a 全數刪除
結果後果 ... 嗯,我想大家都知道:D


獻花 x0 回到頂端 [3 樓] From:未知地址 | Posted:2008-05-11 17:41 |
BrianFan
數位造型
個人文章 個人相簿 個人日記 個人地圖
小人物
級別: 小人物 該用戶目前不上站
推文 x5 鮮花 x13
分享: 轉寄此文章 Facebook Plurk Twitter 複製連結到剪貼簿 轉換為繁體 轉換為簡體 載入圖片

看來要好好來去爬文一下!
增進自己的一些知識!


獻花 x0 回到頂端 [4 樓] From:臺灣新世紀 | Posted:2008-06-02 12:06 |
jolan 手機
個人文章 個人相簿 個人日記 個人地圖
小人物
級別: 小人物 該用戶目前不上站
推文 x2 鮮花 x10
分享: 轉寄此文章 Facebook Plurk Twitter 複製連結到剪貼簿 轉換為繁體 轉換為簡體 載入圖片

裝一套江民試用版,試用完畢不要移除,改成開機不要啟動把江民留下來,需要的時候開出來做系統診斷,分析的東西都一樣但不用學太多的判讀,比SReng好用多了~



獻花 x0 回到頂端 [5 樓] From:臺灣數位聯合 | Posted:2008-09-13 01:18 |

首頁  發表文章 發表投票 回覆文章
Powered by PHPWind v1.3.6
Copyright © 2003-04 PHPWind
Processed in 0.040830 second(s),query:16 Gzip disabled
本站由 瀛睿律師事務所 擔任常年法律顧問 | 免責聲明 | 本網站已依台灣網站內容分級規定處理 | 連絡我們 | 訪客留言