SRENG及P教程
http://tech.ddvip.com 2008年08月14日 社区交流 收藏本文
本文详细介绍SRENG及P教程
首先,学会SRENG日志分析是必然的,下面用我的日志做为范例:
正常的注册表启动项目一般是如下:
启动项目
注册表
[HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionRun]
<ctfmon.exe><C:WINDOWSsystem32ctfmon.exe> [(Verified)Microsoft Windows Publisher]
[HKEY_CURRENT_USERSoftwareMicrosoftWindows NTCurrentVersionWindows]
<load><> [N/A]
<run><> [N/A]
[HKEY_LOCAL_MACHINESoftwareMicrosoftWindows NTCurrentVersionWinlogon]
<shell><Explorer.exe> [(Verified)Microsoft Windows Component Publisher]
<Userinit><C:WINDOWSsystem32userinit.exe,> [(Verified)Microsoft Windows Publisher]
[HKEY_LOCAL_MACHINESoftwareMicrosoftWindows NTCurrentVersionWindows]
<AppInit_DLLs><> [N/A]
[HKEY_LOCAL_MACHINESoftwareMicrosoftWindows NTCurrentVersionWinlogon]
<UIHost><logonui.exe> [(Verified)Microsoft Windows Publisher]
[HKEY_LOCAL_MACHINESOFTWAREMicrosoftActive SetupInstalled Components<{12d0ed0d-0ee0-4f90-8827-78cefb8f4988}]
<IE7 Uninstall Stub><C:WINDOWSsystem32ieudinit.exe> [(Verified)Microsoft Windows Component Publisher]
病毒一般的加载如下位置
[HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionRun]
<upxdnd><C:WINDOWSupxdnd.exe> []
<cmdbcs><C:WINDOWScmdbcs.exe> []
来源:newjian 作者:逍遥@浪子@ 责编:豆豆技术应用