学看 SRE 报告 ———— 第五讲

一."正在运行的进程"结构说明
这部分,在SRE报告中,比重是最大的,其实,说白了,就是列出电脑当前运行的所有程序的进程信息,包括各自的模

块(包括哪些同时运行,或者程序调用的DLL文件等)信息.
为了减少看报告的工作量,提高效率.我们建议,在做报告之前,应该尽量关闭windows系统第三方的程序,比如

QQ,IE,千千等等.尽量做到:只保留windows

学看 SREng 日志分析 报告

学看 SRE 报告 ———— 第一讲

很早就想写，关于如何看SRE报告的文章。 只是这东西，我觉得不是用文字，就能完全表达清楚的。
做为教程的第一帖，我先讲一下SRE报告的“结构”。掌握了结构，大家就不会对满屏的英文，感到头疼了。

一。SRE报告整体结构说明
一份完整的 SRE 报告，分为如下 13 部分：
1. 注册表启动

来源：安全中国

病毒侵入计算机后，通常都会实现自启动。找到并清除其自启动项将极大的限制其危害。通常最简单的方法是系统自带的“系统配置实用程序”。在运行里输入msconfig回车，在启动标签里，显示了一部分的系统启动项目，通过简单的勾选可以选择要启动的项目。然而对于系统本身来说，这里没有一个启动项是必须的，可以全部去掉也没什么关系。通常的做法是保留ctfmon(系统输入法)，选择保留其他的自己的程序。

　　更

来源：安全中国

计算机安全，关键在“防”，所以平常所做的防护以及备份工作是最重要的!

　　系统安全，方法有很多：影子系统、虚拟机、沙箱...但很多时候真的没有必要。保持良好的上网习惯和用机习惯，做好适当的备份就可以了。所以这里不讨论那些虚拟技术，主要是真实系统中的一些问题。虽然谈的是手工杀毒，但还是要列举一下平常会用到的可能有关的一些东西：

　　——360，卡

现在的病毒真的很厉害，让杀毒软件不能正常启动已经见怪不怪了。最近我中的Ghost.pif就是这类病毒，它在杀毒软件安装目录里面伪造一个恶意的Ws2_32.dll文件，导致杀毒软件在启动时不能加载正确的Ws2_32.dll文件，出现“0xc00000ba”错误。

    新建了一个文件名为A的批处理，阻止病毒禁用杀毒软件，代码如下（粗体部分）：

　　@echo off 关闭回显

　　cd\ 转换到根目录

有一些病毒卡巴提示“重启之后才能删除”，可是重启了它还在那里造成许多用户的困惑。下面我就简单总结下造成这些问题的原因以及简单的解决办法：

    1.病毒正在运行

    由于Windows保护正在运行的程序，所以杀毒软件是无法杀死正在运行的病毒。即使是真的杀死了病毒，电脑正常关机时内存中活动的病毒还会再复制一个病毒到硬盘上。

    2.病毒隐藏

木马因为隐藏性高、危害性强而被人们所深恶痛绝。其实，木马从本质上来说是一种应用程序，利用该

程序可以轻松将中了木马的计算机玩弄于股掌之中。由此可见，木马要发生作用，必须有一个前提就是

必须用户运行木马的服务端程序。当然，这种运行用户自己肯定不会主动进行，那么种木马者就必须想

方设法，做到让木马能够自动运行。现在就教你如何找出系统中木马的藏身之处，将其清除。

有时我们用杀毒软件清除病毒后，会出现桌面无法显示或者停在欢迎界面的情况。这是怎么回事?其实这是替换explorer.exe文件的蠕虫病毒在作祟。解决的方法是从正常的电脑复制一个explorer.exe文件。

那如何防范替换explorer.exe文件的蠕虫病毒呢?

首先开启系统的“Windows文件保护”。有的人为了节省空间，删除了C:Windowssystem32dllcache文件夹(受保护的系统文件缓存处)，其实这损害了“Windows文件保护”功能，给病毒留下

autorun 文档内的语句是：

[autorun]

OPEN=D:command.com

在注册表内搜索到了带有 D:command.com 值的项并删除，并在DOS下手工来删除AutoRun.inf:

attrib autorun.inf -s -h -r

del autorun.inf

attrib command.com -s -h -r

del command.com

dir /a