转帖：使用SREngLog分析助手分析SREng日志

伊の星

sreng是个有用的东西，而论坛里能分析报告的人不多，
应该有许多卡饭希望能有个简单的教程。
下面是转自电脑报病毒区的流风33斑竹的帖子，
在此感谢流风33的原创。
以下为原文内容：
本文使用的是SREngLog分析助手1.2特别版，目前已经有修正版，可以去作者的博客http://egomoo.i170.cn/去下载。

首先通过“剪贴板导入”或“文件导入”将自己或别人用sreng扫描的日志导入助手。


然后点读取分析，助手会自动将日志中的内容分类显示到各页，你就可以方便地逐项目研究分析(比起原来从头到尾看一大篇日志好多了，真的感谢作者)。

当然分析还是要你自己来，助手作用只是自动分类而不是自动分析，所以不要以为自己去最后点个获得分析报告就行了(助手不是杀软，就象sreng也只是辅助工具，不要认为它没什么用，别以杀软的高度要求它，就象regedit、msconfig一样是辅助工具，你敢说regedit、msconfig没用)。

我的习惯是按注册表启动项-服务-驱动-浏览器加载项-进程-其它的顺序来分析，这也是日志本来的顺序，但助手是把进程放在最前面，后来发现特别版有点小BUG，使我又恢复旧的顺序(现在作者应该已经修正了)。



分析时可以在条目上点右键，将认为是病毒的要删除的项目添加到删除列表中去。



如果不确定是否为病毒，可以去网上查，在可疑条目上点右键，在菜单中可以选择“百度搜索文件”或“Google搜索文件”，这时助手会自动打开IE，调用利用百度和Google来搜索你选定的文件名或进程名。个人推荐用Google，因为不少进程在英文网站上有较详细的说明，而百度上查不到。在搜索时，先会看到别人扫描出来的日志中有同样的文件、进程，看下别的高手怎么答复的，也是一种学习过程，当然不是说全对，可以作参考。

有时点右键时，菜单中的“百度”和“Google”项是灰色的不可选，这时你只要在条目上再点下左键，使其变成可编辑状态，就可以手工选择复制文件名，甚至整个路径，然后再到网上搜索。我比较喜欢这个，因为我常用的是firefox或Opera，自动打开IE搜索不是我愿意的。



最后就是到“分析结论报告”一页，点“获取分析报告”，就会将前面你分析的结果导出来，如果你前面什么也没做，这里导出的也是空的，别指望助手帮你自动分析。导出的结论，还是要你手动修改下个别文件路径的，同时“其它修复”这一项是不会自动出现在结论中的，所以有关文件关联、autorun.inf、hosts、winsock、隐藏进程等要修复的内容还是要你手工复制到结论报告中，这样才能使整个报告更完善。


报告出来后选“复制到剪贴板”，然后就可以复制到其它地方，如论坛的帖子上。助手分析使用过程到此结束。

其它功能：

注意上面图中的“网络呢称”，你可以把自己的网名，或论坛的ID填入，再点“保存信息设置”，这样你的报告就有你的签名了，否则默认只是助手作者的名字。

在助手文件夹中有config.ini文件，里面是默认出现在报告中的文字，你也可以修改成自己的需要的文字，，还有两个文本是常用信息，方便你自己添加到报告中的，也可由你自己设定。

最后再强调一遍，SREng、SREngLog助手都是辅助工具，个人认为是不错的工具，但绝不要以杀软的要求来要求它，它的作用是提供系统日志，供自己或别人分析用，不要认为这没用、麻烦，提供一篇日志，不一定能完全解决问题，但一定比你干说问题或只报个病毒名字有效。

[ 本帖最后由 etly 于 2007-10-13 11:13 编辑 ]

aklus

这个帖子应该发到交流区吧，在这里好像不太合适！！！