Re: [問題] EFIX
※ 引述《MixCopy (Mix&Copy)》之銘言:
: 想說看一點LOG當作學習
: 想順便請問一些檔案是否有病毒的疑慮
: 也只是我的推測但是正不正確還請多指正
: C:\autorun.inf
: C:\WINDOWS\SYSTEM32\kav0.dll (這個跟底下那個應該都是KAVO的檔案吧?
: C:\WINDOWS\SYSTEM32\kav1.dll
他前面是這樣
Created 2008-10 -- 2008-11 Files:
2008-11-25 . 2008-11-28 17:56 d-------- C:\autorun.inf
2008-11-28 . 2008-11-28 17:59 d-------- C:\WINDOWS\SYSTEM32\kav0.dll
2008-11-28 . 2008-11-28 17:59 d-------- C:\WINDOWS\SYSTEM32\kav1.dll
這邊前面的日期是檔案的建立時間,後面的是修改時間。
--------- 則是檔案或資料夾屬性
-r------- 表示該檔案或資料夾帶有唯讀屬性
--a------ 表示該檔案或資料夾帶有保存屬性
---h----- 表示該檔案或資料夾帶有隱藏屬性
----s---- 表示該檔案或資料夾帶有系統屬性
d-------- 代表此項為資料夾
同時間有可能擁有複數屬性
如下:
2008-11-25 . 2008-11-25 20:17 drahs---- C:\cmdcons
所以根據猜測應該是有先執行過其他隨身碟清除程式所產生出來的免疫用資料夾
( 雖然沒啥太大用處.. )
以上建立檔案以及日期的顯示方式。
: 還有底下這邊
: MD5: 0dccabfe5f5b4c922023d3748432b0bc 2003-05-29 11:50 996352
: C:\WINDOWS\explorer.exe
: MD5: 0dccabfe5f5b4c922023d3748432b0bc 2003-05-29 11:50 996352
: C:\WINDOWS\Driver Cache\i386\explorer.exe
: MD5: 9d66ff90e9fbac49e04e4c196a2d393f 2004-05-05 08:00 948736
: C:\WINDOWS\LastGood\explorer.exe
: 還有C:\WINDOWS\Driver Cache\i386\explorer.exe
: 檔案路徑好像怪怪的?
: 如果是的話跟C:\WINDOWS\explorer.exe 的MD5相同
: 但是跟C:\WINDOWS\LastGood\explorer.exe的相異
: 是否有系統explore被置換掉的可能?
他這我也第一次看過,不過因為外面怪異的整合性XP版本太多
所以基本上參考就好了。
主要是他數位簽章有過 ( 就是有些時候會顯示在這一段下方如
沒有數位簽章的系統檔案:
MD5: b0870dc4ae8a0a40c45ec66bcde3e523 2008-08-04 18:05 361344
C:\WINDOWS\SYSTEM32\DRIVERS\TCPIP.SYS <Microsoft Corporation>
類似像這一類的,如果數位簽章檢查有過的話就不會顯示這一項 )
這一個有過的話基本上就沒有什麼太大問題,雖然說也有能騙的方式
但這個就要靠防毒抓了遠端光看報告只能看到這一些而已。
大致是這樣 :)
--
菜園花前,日薄西山。峰稜遍覽,晚霞將歛。
春風輕拂,仰望天際。黃昏曉月,暗香淺淺。
鄉間火光,林中綠意。人們閒步田埂上。
蛙鳴鍾響,夜幕半掩,朧月夜。
--
※ 發信站: 批踢踢實業坊(ptt.cc)
◆ From: 210.68.130.155
※ 編輯: junorn 來自: 210.68.130.155 (12/01 09:36)
推
12/01 12:40, , 1F
12/01 12:40, 1F
推
12/01 19:53, , 2F
12/01 19:53, 2F
討論串 (同標題文章)