日志分析小小技巧的小小的总结
1,优先查看描述为<N/A>或者为<>的项目,描述为<Microsoft Corporation>的也不一定是良民,描述为 [(Verified)Microsoft Windows Publisher]的可以目前为止可以忽略掉
2,熟悉常见的系统进程,系统文件名称正常应该存在的路径,是否有数字前面等,对于判别可疑文件是否为病毒很有帮助
3,了解病毒常常蹲点的目录的目录很有必要
4,百度 google对不熟悉的可疑文件判定很有帮助,但是请善待搜索到的东西,搜索到到可不都是病毒哦 还是实践出真理
5,了解并熟悉系统服务的服务名称,显示名称和其他参数,有助于找出病毒伪装的服务或者驱动
6,了解病毒常常下蛋的地方有助于可疑文件的判断
%TEMP%
%SystemRoot%\ (病毒的最爱)
%SystemRoot%\Temp
%SystemRoot%\Debug
%SystemRoot%\inf (隐藏文件夹)
%SystemRoot%\Fonts
%SystemRoot%\WBEM
%SystemRoot%\system
%SystemRoot%\system32\ (病毒的最爱)
%SystemRoot%\system32\spool
%SystemRoot%\system32\drivers
%SystemRoot%\system32\wbem
%SystemRoot%\system32\Com (磁碟机喜欢这里蹲点)
%ProgramFiles%\Internet Explorer
%ProgramFiles%\Internet Explorer\PLUGINS (某些病毒也很喜欢这里)
%CommonProgramFiles%
%CommonProgramFiles%\System
%CommonProgramFiles%\Microsoft Shared\VGX
%CommonProgramFiles%\Microsoft Shared\MSInfo (以前经常看到)
%USERPROFILE%\「开始」菜单\程序\启动
%ALLUSERSPROFILEC%\「开始」菜单\程序\启动 (磁碟机下蛋的地方)
%USERPROFILE%\Local Settings\Temporary Internet Files (临时文件夹有些病毒也很喜欢这里)
不知道这些个系统变量具体代表什么的建议命令行下 set看看
