SREng怎么用:如何分析启动项目?使用SREng扫描系统日志之后,如果系统存在异常现象,首先会在启动项中体现出来,所以我首先说说如何分析启动项目,这里是病毒、IE异常等最容易发现问题的地方,那么我们怎样对其进行分析呢?下面我们来看看常见问题的分析方法,希望对新手朋友有所帮助! 一、正常的启动项 启动项目是以注册表形式体现出来的,我们首先来看一个正常的启动项 [HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run] <"C:\Program Files (x86)\Common Files\PPLiveNetwork\PPAP.EXE" -background> [(Verified)PPLive Corporation] 1、第一部分是注册表项(第一部分中括号包含内容) 例如例子中[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run] 2、第二部分是文件所在位置(单名号包含内容) 上例中<"C:\Program Files (x86)\Common Files\PPLiveNetwork\PPAP.EXE" -background>,说明该启动项文件位置在C:\Program Files (x86)\Common Files\PPLiveNetwork\ 里面可能还会出现“%systemroot%”这种形式指的是系统安装目录,如下图绿框所示
3、第三部分是出品公司和微软认证信息(第二部分中扩含包含内容) 凡是通过了Microsoft数字签名验证的项目,前面会通过前面(Verified) 的字样表现出来。如上例中 [(Verified)PPLive Corporation],说明PPLive软件通过了微软数字签名验证
有File is missing的提示,说明软件已卸载,且没有卸载干净! 二、问题启动项 有的病毒,公司名称会假冒微软的数字签名,不过在启动项目——注册表里面,他是做不到瞒天过海的,我们判断这些项目时,如果项目中存在[N/A],说明该启动项可能有问题,如上面图一所示 在[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks]下面的,可以判断为是病毒,去到注册表编辑器里面删掉。 温馨提示:不是所有的带有[N/A]的项目都有问题,我们有不清楚的地方,可以百度一下,一般会给出详细的解答!有些可信项目前面即便有N/A,也可以排除,如 [HKEY_CURRENT_USER\Software\Microsoft\Windows NT\CurrentVersion\Windows] [N/A] [N/A] [HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Windows] [N/A] 希望小编为您准备的SREng怎么用:如何分析启动项目的内容,对您有所帮助! 扩展阅读:SREng怎么用:SREng扫描选项简介 |