如今的网络，病毒与木马越来越多。作为一名网民，我们要学会一种预防方法。Sreng日志快速分析就是一种不错的方法。Sreng是一款用与系统优化与修复的出色的安全辅助软件。它最大的优点就是全智能扫描能得出最全面的系统报告。在报告中，面面俱到的系统信息使得病毒木马门无处藏身。那么，保存好报告后，我们该如何分析呢？

以下教程所用软件为《SREngLog 分析助手1.3
by剑盟技术团队》。

本文分析举例病毒为机器狗病毒的扫描日志。

报告简介

（sreng报告组成部分及其作用）

简易分析方法

1.
进程模块列表

2.
自启动项目

3.
系统服务&驱动程序

4.
浏览器BHO

5.
其他修复

一.
sreng日志分析助手主要使用方法

首先，将一份完整的日志粘贴进sreng日志分析区，点击“读取分析”对所截获的日志进行分析。在我们读取的日志中，我们可以发现有六个栏目，分别是“进程模块列表”，“自启动项目”，“系统服务”，“驱动程序”，“浏览器BHO”以及“其他修复”。其中，

“进程模块”中分为“进程列表”和“对应模块列表”，分别显示出了系统扫描是所有的进程以及进程所加载的模块。

“自启动项目”分为“注册表类”和“文件及文件夹类”，分别对应了开机时从注册表中启动的程序（位置如HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\run等位置）和从启动文件夹中启动的程序（位置如C:\Documents and Settings\username\「开始」菜单\程序\启动）等。

“系统服务”和“驱动程序”中列出了所有Windows下的设备驱动程序和执行指定系统功能的文件及其执行的指定功能。

“其他修复”中分为

autorun项目——代表磁盘分目录下的各个autorun.inf文件的内容。

      文件关联——打开文件使用的关联程序的错误与否

HOSTS文件——显示HOSTS文件的内容，主要用于禁止访问一些网站，从而使电脑安全性更高，另外sreng附带了重置HOSTS文件的功能，方便我们更好的管理它。

Winsock供应者——Winsock是Microsoft Windows提供的网络编程接口，这可以让我们了解是哪些程序使用我们网络编程的接口。

      隐藏进程和特权进程——指的是被检测到的只在windows任务管理器中看不到的进程，或者是权限高的进程。

经常分析的人可以通过自己的熟练程度，对文件以及进程加以判断，找出可以的文件信息，从而有效地得到病毒的信息，并可以通过更简便的方式，更快捷的步骤解决问题。   

右键菜单.jpg (2.22 KB)
2008-6-24 15:38

分析的时候，我们可以找准所需要删除的文件，（一定要判断准确是否正确，否则可能会造成系统的崩溃…），点击鼠标右键，选择“添加为删除文件（W）”，在分析日志的时候，如果有不懂之处，可以点击“百度搜索文件”或“Google搜索文件”，在网络上快捷的查询所要的信息，并合理的判断是否要删除文件。

   日志分析完成后，可以在上面的几个菜单中点击“分析结论报告”进行总结分析，（可别忘了是先输入你的网名！），最后点击“获取分析报告”；“复制到剪贴板”，找到所需的网页，使用右键或者按“Ctrl”+“V”粘贴。发表前，也不要忘了检查一些文件的路径。

二．Sreng日志主要分析方法及要领

（一）进程模块列表

sreng进程浏览.jpg (161.16 KB)
2008-6-24 15:38

进程模块.jpg (31.21 KB)
2008-6-24 15:38









在进程模块中，红色代表有链接库文件插入的进程。我们要特别注意公司名为N/A的进程及模块。找到此类进程或模块后，要注意它的路径。在system32或windows文件夹下的就大部分是病毒了。重点关照的是文件名无规律的文件，它们有99%的可能是病毒。不过，有些正常的文件往往不会有公司名，比如NVIDIA、WinRAR等。图中的rarext.dll文件虽无公司名，但因路径是WinRAR下，其实是rar程序主要文件之一。而gmtaiovciq.dll、avwghmn.dll、sidjhzy.dll等此类文件就是病毒了。

在分析进程时，我们要特别注意进程文件的位置，它的模块，其中，要重点“关照”一下如下几个事项：

1.
svchost.exe所属的公司，及文件的位置（位置应该在C:\WINDOWS\system32中），要仔细辨别它的位置，这是辨别进程中最不好区分文件路径的之一。

2.
要对以下重点的进程进行查看：

Explorer.exe

Csrss.exe

Lsass.exe

Iexplore.exe——分析是否为正常进程

Winlogon.exe

3.重点查看文件的模块信息

例如在上文中，以用红框圈出的文件之一，

文件位置：C:\WINDOWS\system32\ avwghmn.dll

公司：N/A

版本：无

进程看多了，很容易就可以看出他是一个病毒文件。原因在于他的公司没有，也就是没有出版商，况且没有版本，那个木马或病毒有版本？再者就是他的文件名是一个随机的8位字母，（实在不知道就到网上搜索），其实这样就是为了逃避杀毒软件和我们最基本的——从文件名判断病毒。所以，在平常我们应该多多熟悉电脑，在查找文件是要有一定的水平——就是会查文件，要会找。

其实，就笔者的观察，有很多病毒文件可以通过把自己的dll文件注入到每一个进程中，从而限制程序的运行，那么就需要我们多次删除文件。这个版本的SREng分析助手有一个一个方便之处，当我们删除进程模块文件后，会自动帮我们这些病毒文件自动列在已删除文件列表中，大大的节省了我们的时间。

能排除了。

二）自启动项目

自启动项目.jpg (389.23 KB)
2008-6-24 15:40

    自启动项目一共分为两种，一个是文件及文件夹类，另一个是注册表类。

据我的经验，文件夹类的应该不用太在意。而重点要观察的是注册表类，往往在进程中查不出的文件，在自启动项目的注册表类会有他们的身影。而这时，就需要我们更细致的观察。

通过文件名、名称和公司来查看

自启动项目文件名例.jpg (102.69 KB)
2008-6-24 15:40

上图中笔者已经圈出，我们可以看到一个叫avwlfmn.dll的文件，文件位置在system32中，这是系统最重要的文件夹，里面存放了对系统来说至关重要的信息，一般来说微软出品的文件中很多都带有MS开头，或者文件名很有规律性（即为由一个单词或几个单词缩写组成），而由随机的字母组成的文件名，如上文7位随机字母组成的文件，这是最近很流行的病毒造成的。

而在名称上，由于大部分的病毒并不会给他自己提供一些公司等的信息，所以这项中，一个正常的文件如经常出现的themeui.dll，他已经标注自身为Themes Setup；而下面在举一个例子，avwlfmn.dll，一个文件名为不规则7位字母的文件，当然很容易引起我们的怀疑。所以，碰到这样的文件不用想的太多，直接右键删除。

（三）系统服务&驱动程序

sreng驱动程序.jpg (160.25 KB)
2008-6-24 15:42

这同样是系统的一个重要的环节。很多病毒与木马也是利用这类文件来达到隐藏自己的目的。最典型的例子就是以rootkit的方式来达到驱动级隐藏的PcShare。整个木马只是一个驱动文件。不过，大体的判断方法与上文基本一样，也是靠公司的名称与文件名来判断是否是病毒与木马。但是，在这个环节中，又多出了一个新的判断条件——运行状态。所有的病毒木马都会将自己的服务与驱动设为Running/Boot Start或Running/Manual Start。相信没有那个病毒不希望自己不运行而被杀软干掉吧。

不仅如此，文件路径也是一个重要的判断条件。例如图中的npkycryp.sys

咋一看来，就像是一个以八位随机字母来命名的病毒文件。但是，文件路径却在QQ的根目录下，这样就基本不会是病毒了。

有一种很快捷的方法，就是注意一些敏感的字符， Server,Gpigeon,Remote,Control,serv,service,hide等这些都是隐藏的木马经常用到的文件名的一部分。不过，虽说这个方法判断速度最快,但是错误率也很高。例如hidserv.dll本是Human Interface Device Access/Hidsrv，是系统中的一个正常文件，却因为同时具备了hid与serv这两个条件而经常被经验不足的人误杀。所以，这里还牵涉到了一个条件——名称。只要文件名是驱动程序或服务名称的缩写或是一个描述，例如zdLccSvc.exe
MAPGIS Licence Service /zdLccSvc此类的文件就基本

－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－
teYqiu【天下无毒】原创文章，转载请标明。http://hi.baidu.com/teyqiu
百度知道反病毒知识专家崔衍渠 授权。
－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－


本帖固定链接地址：http://hi.baidu.com/teyqiu/blog/item/9785b2b7eb1a7df431add1a4.html
欢迎转载，但请保留文首的版权申明。
说明：本贴参考了自水木社区病毒版版主sihecun的精华区总结，为谢。部分修改。
http://www.newsmth.net 水木社区
http://hi.baidu.com/teyqiu teyqiu【天下无毒】
前言：免责声明：以下总结系私人经验之总结，由此造成的任何后果不负责任。
系统分析是一项纷繁复杂的工作，需要大胆和心细（例如注意数字 1 和字母l的微小的区别，字母o p q的o与数字0 1 2的0的区别等等），刚开始学习的朋友会感到有很多困难，要多借助搜索引擎（推荐google.com ！！！baidu.com就算了。不要跟我争这个)
要随时关注目前流行病毒的行情（例如看到rundll32.exe 基本上就可以判定是威金等）刚开始的时候可能会有困难，应静下心来好好研究，等你练到一目N行的时候，基本上就略有小成了。经验的积累也十分的重要！
跟大家一起探讨。 （崔衍渠）
【主要链接】
SREng最新版用法  http://hi.baidu.com/teyqiu/blog/item/f706213fc52346ec54e72351.html
包括SRENG的软件下载、如果获得日志、如何删除问题项的图解。
【主要链接2】收集不能一眼识别但却是良民的部分正常注册表、服务、驱动项目
【正常启动项】 http://hi.baidu.com/teyqiu/blog/item/cc0f7bf435db43d8f2d38577.html

请收藏如上的网址，因为会不定期的随时更新。
一、SREng          启动项目 注册表 分析方法
对应的注册表位置在log中可以看到
熟悉常见项，主要包括输入法、音频视频应用程序、杀毒软件、安装的应用软件等
每个进程后有公司名属性，可以辅助辨别  
对于不确认的进程 google

[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run]
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run]
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\RunOnce]
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunOnce]
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\RunServices]
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunServices]
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\RunServicesOnce]
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunServicesOnce]
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunOnceEx]
以上需要具体分析
[HKEY_CURRENT_USER\Software\Microsoft\Windows NT\CurrentVersion\Windows]
            <load><>          []
            <run><>          []
以上2个位置 如果加载了进程,通常是问题项
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run]
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer
\Run]
以上2个位置 如果加载了进程,通常是问题项
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon]
            <shell><Explorer.exe>          [Microsoft Corporation]
            <Userinit><C:\WINDOWS\system32\userinit.exe,>          [Microsoft Corporation] 逗号不可省略。
如果是NT系统（如win2000），相应路径为 C:\WINNT 不再累述。
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Windows]
            <AppInit_DLLs><>          []
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon]
            <UIHost><logonui.exe>          [Microsoft Corporation]
以上4个位置如果和默认的有区别,通常是可疑项
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ShellServiceObjectDelayLoad]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellExec
uteHooks]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\SharedTas
kScheduler]
以上3个位置如果有加载项(除了第二个位置加载瑞星防病毒软件),通常是问题项

二、 SREng --- 启动文件夹
对应以下2个位置
Startup: c:\documents and settings\USERNAME\「开始」菜单\程序\启动
（Username为具体的用户名，例如 teyqiu, 王小丫 之类的）
Global Startup: c:\documents and settings\All Users\「开始」菜单\程序\启动


常见问题项：
[IE-Bar]
          <C:\Documents and Settings\All Users\Start Menu\Programs\Startup\IE-Bar.lnk>
<N>

三、SREng服务的分析方法
对应注册表位置如下：
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services

服务后有公司属性，辅助分析，有假冒公司属性的服务需要注意
服务对应的文件位于windows下的要注意
不确认的google
不过有些没公司属性的也没问题 常见的有 要强记！别误删。
[Secdrv / Secdrv]
          <system32\DRIVERS\secdrv.sys><N/A>
[TSP / TSP]
          <\??\C:\WINDOWS\system32\drivers\klif.sys><N/A> 卡巴斯基 有时候会显示N/A

常见的问题项：
灰鸽子
[Performance Moniter / BARCASE]
          <C:\WINDOWS\SYSTEM32\RUNDLL32.EXE C:\WINDOWS\SYSTEM32\WBEM\IRJIT.DLL,Export 1087><N/A>
[IPSEC Client / WalALET][Running/Auto Start]
<C:\WINDOWS\SYSTEM32\RUNDLL2000.EXE C:\WINDOWS\SYSTEM32\WBEM\TCGSH.DLL,Export 1087><Microsoft Corporation>
留意本案中的C:\WINDOWS\SYSTEM32\RUNDLL2000.EXE也不是好东西。
[ODBC Administration Service / odbcasvc][Running/Auto Start]
<C:\WINDOWS\SYSTEM32\odbcasvc.EXE><Microsoft Corporation>
强烈鄙夷丫的一U盘病毒还修改IFEO。冒充微软。

[JMediaService / JMediaService]
          <C:\WINNT\system32\rundll32.exe C:\PROGRA~1\MMSASS~1\MMSSVER.DLL,Service><N/A>
[StdService / StdService]
          <C:\WINNT\system32\rundll32.exe C:\WINNT\System32\STDSVER.DLL,Service><N/A>
[VIPTray / VIPTray]
          <C:\WINDOWS\System32\VIPTray.exe><N/A>
[WinWrCup / WinWrCup]
          <C:\WINNT\wincup\wincup.exe -R><MsWinCup>
[WinKld / WinKld]
          <C:\WINDOWS\System32\RunDLL32.exe "C:\PROGRA~1\winkld\winkld.dll",Run -r><N/A>
[wint / wint]
          <C:\WINDOWS\System32\RunDLL32.exe "C:\PROGRA~1\wint\wint.dll",Run -r><N/A>
[WinkldUP / WinkldUP]
          <C:\DOCUME~1\wq\LOCALS~1\Temp\wz\wz.exe -R><N/A>
[XDownloadService / XDownloadService]
          <C:\WINDOWS\system32\Rundll32.exe "C:\WINDOWS\Downloader.dll",Run><N/A>
[Server Advance / ServerAC]
          <C:\WINDOWS\System32\Security.exe><N/A>
[Windows DHCP Service / WinDHCPsvc]
          <C:\WINDOWS\System32\rundll32.exe windhcp.ocx,start><Microsoft Corporation>
此处省略路径的为 C:\WINDOWS\System32\windhcp.ocx

[WinXP DHCP Service / WinXPDHCPsvc]
          <C:\WINDOWS\System32\rundll32.exe xpdhcp.dll,start><Microsoft Corporation>
此处省略路径的为 C:\WINDOWS\System32\windhcp.dll


---驱动的分析与服务类似 注意最近的飘雪等双驱动的案例。

四、 SREng          浏览器加载项 分析方法对应hijackhtis的02、03、08、09、016项，可以用hijackthis辅助分析
最近出现假冒microsoft和macromedia的项


五、SREng 正在运行的进程 分析方法
注意没有公司名字属性【显示为 N/A 】的exe文件，不确认的 google
没公司属性（或者说显示不出来）但是却是正常文件的也有 例如
           [C:\WINDOWS\system32\msdmo.dll]          [N/A, N/A] 要强记！
注意exe文件调用的dll文件，对于不确认的dll文件 google
有公司属性的也要注意分析是否是冒牌货，如最近的飘雪等动不动就冒充Microsoft Corporation。。。。

六、SREng 文件关联               分析方法
SREng提示的error项，通常需要修复
例外：关联的应用程序是自己安装的
七、SREng Winsock 提供者 分析方法         
用检测到的文件google
修复方法及常见的问题文件参考《hijackthis的010项修复方法》
附:
《hijackthis的010项修复方法》
HijackThis日志细解正文（十四）：组别——O10
www.rising.com.cn          2004-8-5 15:09:00          信息源:瑞星社区 作者:风之咏者  


1. 项目说明
            O10项提示Winsock LSP(Layered Service Provider)“浏览器劫持”。某些间谍软件会修改Winsock 2的设置，进行LSP“浏览器劫持”，所有与网络交换的信息都要通过这些间谍软件，从而使得它们可以监控使用者的信息。著名的如New.Net插件或WebHancer组件，它们是安装一些软件时带来的你不想要的东西。相关的中文信息可参考——
http://tech.sina.com.cn/c/2001-11-19/7274.html

2. 举例
O10 - Hijacked Internet access by New.Net
            这是被广告程序New.Net劫持的症状（可以通过“控制面板——添加删除”来卸载）。
O10 - Broken Internet access because of LSP provider `c:\progra~1\common~2\toolbar\cnmib.dll` missing
            这一般出现在已清除间谍软件但没有恢复LSP正常状态的情况下。此时，网络连接可能丢失。
O10 - Unknown file in Winsock LSP: c:\program files\newton knows\vmain.dll
            这是被广告程序newtonknows劫持的症状，相关信息可参考http://www.pestpatrol.com/PestInfo/n/newtonknows.asp

3. 一般建议
            一定要注意，由于LSP的特殊性，单单清除间谍软件而不恢复LSP的正常状态很可能会导致无法连通网络！如果您使用杀毒软件清除间谍程序，可能遇到如上面第二个例子的情况，此时可能无法上网。有时HijackThis在O10项报告网络连接破坏，但其实仍旧可以连通，不过无论如何，修复O10项时一定要小心。
            遇到O10项需要修复时，建议使用专门工具修复。
（1）LSPFix http://www.cexx.org/lspfix.htm
（2）Spybot-Search&Destroy（上面提到过，但一定要使用最新版）
            这两个工具都可以修复此问题，请进一步参考相关教程。
4. 疑难解析
            某些正常合法程序（特别是一些杀毒软件）也会在Winsock水平工作。比如
O10 - Unknown file in Winsock LSP: c:\windows\system32\kvwsp.dll
            这一项就属于国产杀毒软件KV。所以，在O10项遇到“Unknown file in Winsock LSP”一定要先查询一下，不要一概修复。

为方便大家的学习，如下转载一部分资料，注意更新。

一、bark 的 解读SREng扫描报告(原创）
原文链接：http://hi.baidu.com/rmp3/blog/item/b72c5d4e73938909b2de0520.html
第一次发表于 2006-11-24

摘要：本文介绍了如何利用相应的工具进行手动查杀病毒的操作方法，通俗易懂。




SREng扫描报告的个人见解 by bark[流氓怕武术]
第一部分：
启动项目：这部分是系统注册表里系统正常启动时的加载项，xp 系统点开始－运行－msconfig-就可以看到下面的大部分内容。传统的病毒木马会加载到这里。我们设置为自动启动的一些软件的启动项也加载到这里。比如防火墙，杀毒软件，等等。这些东东在安全模式不会被启动。
注册表
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run]

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run]
  
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon]

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Windows]
……
==================================
第二部分：
启动文件夹：就是开始菜单里的启动下面的 东东，一般病毒和木马不会幼稚到这个地步，这里一般是空的。这些东东在安全模式不会被启动。
N/A
==================================
第三部分：
服务：就是我们在“管理－服务和应用程序”里面能看到的加载的服务。这些东东在安全模式不会被启动。现在病毒木马流氓的首选隐藏之处。去年还不流行。
一般的菜鸟不会到这里查看有什么不对头的地方。即使看到了也不敢怀疑，他们的描述有很大迷惑性，比如“为系统启动提供加速功能”就是最流行的流氓服务，弹出网页的一般是这个。这些东东在安全模式不会被启动。
病毒服务的特征：
1·被rundll32.exe、Svchost.exe等系统进程调用；
2·【】内的前后两项内容相同；
3·所属公司为<N/A>或假冒<Microsoft Corporation>
4·启动文件指向系统目录
凡是有以上特征之一的 ，我们都要怀疑。
例：
[RestoreService / RestoreService]
<C:\WINDOWS\system32\Svchost.exe -k RestoreService-->C:\WINDOWS\system32\drivers\service.dll><N/A>
[Standard Update Net Service / stdupnet]
<C:\WINDOWS\system32\rundll32.exe C:\WINDOWS\system32\stdupnet.dll,Service -s><Microsoft Corporation>
[VisionService / VisionService]
<C:\WINDOWS\system32\rundll32.exe C:\PROGRA~1\vision\VISVER.DLL,Service><Microsoft Corporation>
==================================
第4部分：
驱动程序：目前最流行的流氓行为！这些东东在安全模式也会被启动加载，并自我保护不被删除。
病毒驱动的特征：
1·名字随机所以怪异，尤其是包含数字的要注意
2·一般在\SystemRoot\system32\drivers\目录下
3·【】内的前后两项内容相同；
4·所属公司为<>·<N/A>或假冒<Microsoft Corporation>，其他的一般不是（也有例外）
例：
[000057b3 / 000057b3]
<\SystemRoot\system32\drivers\000057b3.SYS><N/A>
[cdnprot / cdnprot]
<\SystemRoot\system32\drivers\cdnprot.sys><N/A>
[cdntran / cdntran]
<system32\drivers\cdntran.sys><CNNIC>
[npkycryp / npkycryp]
<\??\C:\Program Files\Tencent\qq\npkycryp.sys><N/A>
[vydozqfz / vydozqfz]
<\SystemRoot\system32\drivers\vydozqfz.sys><>
==================================
第5部分：
浏览器加载项：这里是加载的插件，有背景的大流氓软件热爱。但打开IE浏览器后可以直观看到，小流氓和木马病毒不敢也不愿这么明显。
例：
[Cbho Object]
{352E3B3A-CAB5-4DBC-B940-C7F84D0447D8} <C:\PROGRA~1\CNNIC\Cdn\cdndrag.dll, CNNIC>
[用QQ彩信发送该图片]
<C:\Program Files\Tencent\qq\SendMMS.htm, N/A>
[访问通用网址]
<C:\Program Files\CNNIC\Cdn\cnnic.htm, N/A>
==================================
第6部分：
正在运行的进程
这里是很关键的部分，也是内容最多最乱的部分。凡是系统中正在运行的进程和调用的dll文件在这里一览无遗。
我们要特别注意以下进程调用的dll文件：
C:\WINDOWS\Explorer.EXE
如果一个dll文件注入上面的进程，同时又注入其他进程，就要特别照顾他一下了 。一般的流氓是一定要注入这个进程的。
睡眠状态；有不足之处；待改正。

二、[原创] 手工查杀病毒经验谈-by蓝色寒冰+
原帖链接：http://hi.baidu.com/readon99/blog/item/326d7931d3773d19ebc4afb6.html
摘要：
第一部分：工具篇(随兵出征)  第二部分：查毒篇(请君入瓮)
第三部分：杀毒篇(初战告捷)  第四部分：修复篇（打完收工）
三、【原创】手工检测病毒 by UFO不幸外人 卡卡社区 【注意更新】
原帖链接 http://forum.ikaka.com/topic.asp?board=28&artid=8267493
摘要：作者自己说“文章我认为可能会有问题，希望高手多多指教，我会在春节前把文章更新好，并且会发布完整版。届时将有我整理的一些进程、服务等等，需要经验来说明的东西，目的都是为了新手和想学习的人，希望这些经验可以帮助大家，可以在论坛里面和我交流也可以发邮件。总之谢谢大家。”
四、【转贴】学看 SRE 报告 【注意更新】
原帖链接 http://bbs.ikaka.com/showtopic-8504098.aspx
摘要：很早就想写，关于如何看SRE报告的文章。 只是这东西，我觉得不是用文字，就能完全表达清楚的。做为教程的第一帖，我先讲一下SRE报告的“结构”。掌握了结构，大家就不会对满屏的英文，感到头疼了………………

==================================================更新历史==========================
++2007-4-6 将更新版本号改为 1.1 。添加重要相关链接3个。
++2008-8-3 将更新版本号改为 1.2 。添加重要相关链接1个。
－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－
teYqiu【天下无毒】原创文章，转载请标明。http://hi.baidu.com/teyqiu
百度知道反病毒知识专家崔衍渠 授权。

感觉这方面沙盘还比较不错

图片链接失效
请楼主检查

基本上我都会了

学习了   这是个好贴子 不能沉了

只可惜楼主没有把具体内容摘完全，还少了系统杂项一类的
很多论坛都用sreng来分析系统情况

原帖地址http://bbs.shudoo.com/viewthread ... &extra=page%3D2