对于新手,手动全面检测计算机是非常困难的,因为需要打开注册表,一项一项去检查,那我们就使用简单的方法——运用SRE这个软件,SRE全名System Repair Engineer。打开软件后,点击软件左边的智能扫描,再点击“扫描”,就可以对计算机进行较为全面的扫描了。
第一、全面检测计算机
对于新手,手动全面检测计算机是非常困难的,因为需要打开注册表,一项一项去检查,那我们就使用简单的方法——运用SRE这个软件,SRE全名System Repair Engineer。打开软件后,点击软件左边的智能扫描,再点击“扫描”,就可以对计算机进行较为全面的扫描了。
对于不想自己分析的新手,请把日志贴到论坛上,会有人帮你解决。
第二、分析扫描日志
这个是最关键的一步,对于很多新手,选择来论坛发布日志,让有经验的高手来分析,这样省时省力,但是如果大家学会分析日志,那么就可以有更多的人帮助新来的人,减少版主和论坛高人的劳动。分析日志学习起来很难,因为需要不断积累经验,在这里只介绍简单的方法(若有更好的方法,希望论坛或者邮件进行讨论)。
1、了解日志
SRE日志分别扫描了注册表启动项、启动文件夹、服务、驱动、浏览器加载项、进程、文件关联、Winsock 提供者、autorun.inf、HOSTS文件、API HOOK。我会重点介绍一些检测时常用的项目
2、看进程
看进程,看什么呢?看的就是,是否有除系统基本进程和软件产生进程外的其他进程,尤其注意进程路径是c:\windows\和C:\windows\system32\下的文件,可能有些新手不知道那些是系统基本进程,那些是软件安装的进程,这就是需要经验积累的地方。
对于系统进程加载的DLL,这个需要具体分析,很多盗号木马运用了这个方式,那就要经过下面三步去完善。
3、看启动项(包括注册表启动项、启动文件夹、服务、驱动)
看了进程以后,对那些是可疑文件有了一定了解后,就可以来看启动项目。SRE这个日志非常适合新手使用,因为它已经在服务和驱动这两个地方把微软签名的启动项隐藏,对于服务,驱动需要经验才能动,下面我一项一项的介绍。
4、对比
对比所有可疑启动项目和所有可疑进程,是否可以一一对应,如果不可以,那么就要看是哪里出现的问题,就对那里进行进一步的研究。看看是否是因为病毒的运行方式或者保护方式问题,或者有其他病毒的存在。当然,原因不只这一些,还是需要大家积累经验。实践是根本。
京公网安备 11010802021500号