SREng日志阅读指南(序)
SREng日志阅读指南(序)
btlulu原创文章
转载请保留此处:http://blog.btlulu.net/2007/12/16/srengloghelp0/
随着计算机病毒编写的门槛越来越低,杀毒软件的滞后性使得它们在应对如今的病毒尤其是呈现爆炸性增长的木马和恶意程序时越来越显得力不从心。人们不得不寻找另外的方法来帮助对付那些做了免杀及各种自我保护措施的木马和恶意程序,而SREng正是这样一款优秀的辅助软件,它可以帮助我们快速、准确地找到问题,从而制订全面的处理措施。
System Repair Engineer,简称 SREng,是 KZTechs.COM 网站站长 Smallfrogs 开发的一款计算机安全辅助和系统维护辅助软件,主要用于发现、发掘潜在的系统故障和大多数由于计算机病毒造成的破坏,并提供一系列的修改建议和自动修复方法。在SREng的帮助下,可以自己诊断操作系统(这里仅指Microsoft Windows)里面可能存在的普遍性问题,即使是计算机的初学者,也可以使用SREng的智能扫描功能将系统的概况生成一份简要的日志,然后将该日志传送给对操作系统熟悉的朋友或网友,在他们的帮助下解决您系统可能存在的问题。
在SREng2.5版里面,提供了10种扫描对象:启动项目、浏览器加载项、正在运行的进程和文件关联、Winsock 提供者、所有驱动器的 Autorun.inf 文件以及 Hosts 文件、进程特权扫描、API HOOK扫描和隐藏进程扫描。启动项目又分为注册表、启动文件夹、服务和驱动程序四个子项。一个完整的SREng日志文件应包含上述13个类别。
本文的目的是帮助大家阅读由SREng所生成的扫描日志文件(SREngLOG)。当然这只是个人意见,不当之处还望批评指正。根据我本人的经验,建议将日志当作一个整体来阅读,尽量做到每一个细节都不放过,因为阅读日志的目的是为了给出切实可行的处理意见,而很多时候由于漏看了一个两个问题会导致最终的操作步骤功亏一篑甚至前功尽弃。有时候日志会显得非常冗长,这就更需要足够的耐心和细致,因此建议在心态较为平和的时候来阅读SREng的log^_^
本文是基于SREng的官方帮助文档而写的。在线帮助文档和离线帮助文档均可以从http://www.KZTechs.com/sreng/manual.html访问到。本文的体例大致遵循瑞星论坛反浏览器劫持版主风之咏者的《HijackThis日志细解》一文,建议在学习阅读SREng日志之前先学习一下hijackthis的日志,这个较为简单明了,可以为阅读SREng的日志提供很大帮助。本文大量参考和引用了水木社区Virus版前版主sihecun的SREng分析方法系列文章,在此向sihecun致以诚挚的谢意。另外,也有网友制作了辅助分析SREng日志的工具软件,嫌看log累的话不妨一试(例如草莽书生的“SREnglog分析助手”,http://egomoo.i170.cn/)。
请记住,尽管SREng是一款非常优秀的辅助软件,甚至很有可能在目前可以算同类软件中最优秀的,但也仅仅是辅助软件而已,大部分的杀毒任务尤其是对付文件型的病毒还是交给专业的杀毒软件吧。log也不是万能的,很多问题并非log所能发现和解决的。还是那句话:实践出真知。只有在有问题的机器上亲手实践过并积累起一定的经验,才能充分利用SREng这款软件所提供的强大、全面的扫描功能,给出具有可操作性的处理意见。
