北海亭-最简单实用的电脑知识、IT信息技术网站

北海亭-最简单实用的电脑知识、IT技术学习个人站

当前位置: 北海亭 > 软件教程 > 工具软件 >

SREng怎么用:如何分析启动项目?

时间:2013-10-21 10:41来源:未知 作者:IT信息技术民工 点击:
SREng怎么用:如何分析启动项目? 使用SREng扫描系统日志之后,如果系统存在异常现象,首先会在启动项中体现出来,所以我首先说说如何分析启动项目,这里是病毒、IE异常等最容易发现问题的地方,那么我们怎样对其进行分析呢?下面我们来看看常见问题的分析方法

  SREng怎么用:如何分析启动项目?使用SREng扫描系统日志之后,如果系统存在异常现象,首先会在启动项中体现出来,所以我首先说说如何分析启动项目,这里是病毒、IE异常等最容易发现问题的地方,那么我们怎样对其进行分析呢?下面我们来看看常见问题的分析方法,希望对新手朋友有所帮助!

  一、正常的启动项

  启动项目是以注册表形式体现出来的,我们首先来看一个正常的启动项

  [HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run]

  <"C:\Program Files (x86)\Common Files\PPLiveNetwork\PPAP.EXE" -background> [(Verified)PPLive Corporation]

  1、第一部分是注册表项(第一部分中括号包含内容)

  例如例子中[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run]

  2、第二部分是文件所在位置(单名号包含内容)

  上例中<"C:\Program Files (x86)\Common Files\PPLiveNetwork\PPAP.EXE" -background>,说明该启动项文件位置在C:\Program Files (x86)\Common Files\PPLiveNetwork\

  里面可能还会出现“%systemroot%”这种形式指的是系统安装目录,如下图绿框所示

SREng怎么用:如何分析启动项目---日志截图

  3、第三部分是出品公司和微软认证信息(第二部分中扩含包含内容)

  凡是通过了Microsoft数字签名验证的项目,前面会通过前面(Verified) 的字样表现出来。如上例中 [(Verified)PPLive Corporation],说明PPLive软件通过了微软数字签名验证

SREng怎么用:如何分析启动项目---日志截图

  有File is missing的提示,说明软件已卸载,且没有卸载干净!

  二、问题启动项

  有的病毒,公司名称会假冒微软的数字签名,不过在启动项目——注册表里面,他是做不到瞒天过海的,我们判断这些项目时,如果项目中存在[N/A],说明该启动项可能有问题,如上面图一所示

  在[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks]下面的,可以判断为是病毒,去到注册表编辑器里面删掉。

  温馨提示:不是所有的带有[N/A]的项目都有问题,我们有不清楚的地方,可以百度一下,一般会给出详细的解答!有些可信项目前面即便有N/A,也可以排除,如

  [HKEY_CURRENT_USER\Software\Microsoft\Windows NT\CurrentVersion\Windows]

  [N/A]

  [N/A]

  [HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Windows]

  [N/A]

  希望小编为您准备的SREng怎么用:如何分析启动项目的内容,对您有所帮助!

  扩展阅读:SREng怎么用:SREng扫描选项简介

 
(责任编辑:IT信息技术民工)
织梦二维码生成器
顶一下
(0)
0%
踩一下
(0)
0%
------分隔线----------------------------
发表评论
请自觉遵守互联网相关的政策法规,严禁发布色情、暴力、反动的言论。
评价:
表情:
用户名: 验证码:点击我更换图片
栏目列表
推荐内容