广告广告
  加入我的最爱 设为首页 风格修改
首页 首尾
 手机版   订阅   地图  繁体 
您是第 3638 个阅读者
 
发表文章 发表投票 回覆文章
  可列印版   加为IE收藏   收藏主题   上一主题 | 下一主题   
upside 手机 葫芦墩家族
个人头像
个人文章 个人相簿 个人日记 个人地图
特殊贡献奖 社区建设奖 优秀管理员勋章
头衔:反病毒 反诈骗 反虐犬   反病毒 反诈骗 反虐犬  
版主
分享: 转寄此文章 Facebook Plurk Twitter 复制连结到剪贴簿 转换为繁体 转换为简体 载入图片
推文 x0
[资讯教学] 新手快速学会看SReng的分析日志
新手快速学会看SReng的分析日志

每天总是有很多人抱怨新安装软件时出错,或者无法使用等等,特别是杀毒软件换另一个却
无法使用,或者监控、无法升级。也有的人杀毒或者清理流氓软件后,系统提示这样或者那
样的错误......然后便抱怨杀软或者软件有BUG,杀毒不干净等问题,这时候,莫不如做一个
系统报告,找一找系统本身或者自己操作的问题,而不要去归罪与软件,或者杀软能力不行!

扫描一份系统报告,分为几个部分:

1.注册表;

2.启动文件夹;

3.服务;

4.驱动程序;

5.浏览器加载项;

6.正在运行的进程;

7.文件关联;

8.Winsock 提供者;

9.Autorun.inf;

10.HOSTS 文件;

11.API HOOK。

    好了,拿到这样一份系统报告,再拿出你的耐心和信心,学会看报告并,
    虽然不能说你就是高手,但至少你不再是菜鸟!

一、注册表
  以下是报告中注册表部分的一段:
  [HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon]
    <shell><Explorer.exe> [(Verified)Microsoft Corporation]
    <Userinit><C:\WINDOWS\system32\userinit.exe,> [(Verified)Microsoft Corporation]
  1.最上边的[]中的部分,便是注册表的一个项,也就是说注册表的一个位置;
  2.下边的一行中 <shell><Explorer.exe> ,前边的<>中,是代表上边提到注册表项下的一个键,而它后边<>中的,就是键值或者说键内容(对应着一个映像文件)。
  3.再后边 [(Verified)Microsoft Corporation],[]中的就是这个键值对应映像文件的出品公司,如果标志为<N/A>,则是无法识别程序出品公司的,这时,就一定要小心或者怀疑其安全性了!
  4.再下边一行,则是注册表项下的另一个键的信息。
  上面的说明知道了,接下来就分析了,首先看后边既然映像文件是微软公司的,那么就不需要怀疑其有问题了!而我列的这2个项是比较特殊的,很多都修改内容以达到随系统启动,而杀毒之后,如果这个键值如果有问题,可能造成无法进入桌面,或者系统报错等,这样的注册表项实并不多,积累记住即可!而有的注册表项,直接删除即可,这里不写了!
  举例一个明显有问题的注册表项:
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
<0189241169530598mcinstcleanup><; C:\DOCUME~1\yoyizz\LOCALS~1\Temp\018924~1.EXE C:\PROGRA~1\COMMON~1\McAfee\INSTAL~1\cleanup.ini -cleanup -nolog> [N/A]

二、启动文件夹(个别的设置了系统的计划任务中才有,比如打印机的程序出现在这里,一般少见,略过)

三、服务
  这里列出的都是非微软系统的服务,项目较少,出显卡、声卡,还有的大多数杀软如McAfee、Kaspersky、瑞星、AVG等写入系统服务,都会出现在这里。这些都可以根据软件出品公司来识别其可靠性。但有的可能是被病毒感染过而无法识别,不要贸然删除。来看例子:
  [SRS Labs License Service / SRS Labs License Service][Stopped/Manual Start]
<"C:\Program Files\Common Files\SRS Labs Shared\Service\srslabslicenseservice.exe"><SRS Labs>
  1.上边一行前边的[]里,“/”前边的是服务的简写名称(微软的都有简写),后边的是完整的服务名称。
    后边[]里,Stopped/Manual Start,Stopped是代表现在的状态,后边的Manual Start是启动方式,关于服务的启动方式和状态,连我这个非英语语种的人也会看,不多说了!
  2.下边一行,前边<>里的是这个服务对应的映像程序,后边的<>里就是程序的出品公司。
  那么,就把你不认识的服务,非微软公司的,有疑问的找出来吧!

四、驱动程序
  很多杀软出问题,大多数都是这里有没卸载干净的其他杀软残留。比如卸载瑞星,不是经验丰富的人,在这里都有残留驱动,办法很简单,看到[Beijing Rising Technology Co., Ltd.],那就是它了,可以毫不犹豫的干掉它。其他杀软也一样用公司名判断:McAfee, Inc,Kaspersky,金山等等。另外,有的流氓软件也大多在此做丑,或者见<N/A>都要判断一下文件的安全性。
[USB to IEEE-1284.4 Translation Driver HPZius12 / HPZius12][Stopped/Manual Start]
<system32\DRIVERS\HPZius12.sys><HP>
上边的是我系统中惠普公司打印驱动文件。我看不必细解释,再对照下边2个很明显有问题的驱动报告项目:
[autorun / autorun][Stopped/Manual Start]
    <\??\C:\huadio.tmp><N/A>
[BaseTDI / BaseTDI][Running/]
    <2 - 系统找不到指定的文件。><N/A>

五、其他的项目,不解释了。上边的找到可以项目,最好都整理到一个新的文本中,开始总结处理吧!
  可疑终归是可疑,并没有确认,高手或者经验丰富的人,可以用经验确定大多数的问题,但也不可能所有的都能确认,这时候,高手跟菜鸟是一样的,都需要:百度一下!
  确定了问题项目,那么归类一下:1.需要删除的注册表项;2.需要修改的注册表项;3.需要删除文件(不要漏掉注册表或者服务中对应的映像文件),auto文件等等。4.需要修复的重要文件关联等等,都用sreng修复即可!

  上边的内容,我觉得用来学看报告够了,其他的还是要自己用心学习和经验积累,希望你早日摆脱菜鸟级别.



爸爸 你一路好走
献花 x0 回到顶端 [楼 主] From:台湾和信超媒体宽带网 | Posted:2008-05-10 18:30 |
liujenha 手机
数位造型
个人文章 个人相簿 个人日记 个人地图
风云人物
级别: 风云人物 该用户目前不上站
推文 x0 鲜花 x4768
分享: 转寄此文章 Facebook Plurk Twitter 复制连结到剪贴簿 转换为繁体 转换为简体 载入图片

果然我是菜鸟全都看不懂


献花 x0 回到顶端 [1 楼] From:台湾中华HiNet | Posted:2008-05-11 08:22 |
追风者的温柔 手机
个人文章 个人相簿 个人日记 个人地图
小人物
级别: 小人物 该用户目前不上站
推文 x2 鲜花 x56
分享: 转寄此文章 Facebook Plurk Twitter 复制连结到剪贴簿 转换为繁体 转换为简体 载入图片

看不懂没关系~ 有问题把 Sreng 分析表po上来~ 大家帮你瞧瞧就行了 表情


鱼对水说你看不到我的眼泪,因为我在水里。水说我能感觉到你的眼泪,因为你在我心里。
献花 x0 回到顶端 [2 楼] From:欧洲 | Posted:2008-05-11 15:28 |
kerash 手机
个人文章 个人相簿 个人日记 个人地图
路人甲
级别: 路人甲 该用户目前不上站
推文 x0 鲜花 x2
分享: 转寄此文章 Facebook Plurk Twitter 复制连结到剪贴簿 转换为繁体 转换为简体 载入图片

其实看 SREng 还是得从经验来建立,多看多学,不清楚或不确定的就问。
我看过刚学看的不懂得去查档案正确性,凡举 n/a 全数删除
结果后果 ... 嗯,我想大家都知道:D


献花 x0 回到顶端 [3 楼] From:未知地址 | Posted:2008-05-11 17:41 |
BrianFan
数位造型
个人文章 个人相簿 个人日记 个人地图
小人物
级别: 小人物 该用户目前不上站
推文 x5 鲜花 x13
分享: 转寄此文章 Facebook Plurk Twitter 复制连结到剪贴簿 转换为繁体 转换为简体 载入图片

看来要好好来去爬文一下!
增进自己的一些知识!


献花 x0 回到顶端 [4 楼] From:台湾新世纪 | Posted:2008-06-02 12:06 |
jolan 手机
个人文章 个人相簿 个人日记 个人地图
小人物
级别: 小人物 该用户目前不上站
推文 x2 鲜花 x10
分享: 转寄此文章 Facebook Plurk Twitter 复制连结到剪贴簿 转换为繁体 转换为简体 载入图片

装一套江民试用版,试用完毕不要移除,改成开机不要启动把江民留下来,需要的时候开出来做系统诊断,分析的东西都一样但不用学太多的判读,比SReng好用多了~



献花 x0 回到顶端 [5 楼] From:台湾数位联合 | Posted:2008-09-13 01:18 |

首页  发表文章 发表投票 回覆文章
Powered by PHPWind v1.3.6
Copyright © 2003-04 PHPWind
Processed in 0.060735 second(s),query:16 Gzip disabled
本站由 瀛睿律师事务所 担任常年法律顾问 | 免责声明 | 本网站已依台湾网站内容分级规定处理 | 连络我们 | 访客留言