【原创】教你分析KL利器之GSI系统日志

ghj89100062

点击下载GSI4.0（适用于XP，VISTA及以上系统)
点击下载GSI3.0（适用于2000,98，NT系统)


GSI一个对于很多斑竹和会员还相当陌生的工具，很多会员问，为什么不扫描SRENG日志就好了？原因有以下几个
1，SRENG扫描项目没有GSI齐全，GSI能扫描出驱动更新，软件更新等等SRENG无法提供的信息
2，现在病毒反SRENG太厉害了，SRENG根本起不到什么效果，而GSI是KL旗下的一款产品不断进行着更新，也就能很好的适应反病毒的需求
3，GSI扫描的系统日志中文件结合了MD5值不再像SRENG只能依靠文件名来进行分析，遇到相同文件名的文件往往束手无策

又有人问我那么分析了GSI后如何让用户进行操作呢？其实这个也很简单，结合KL的另外一项利器AVZ。看完日志后编写适当的AVZ脚本，用户只需复制脚本粘贴到卡巴斯基自带的脚本执行器
例如以下脚本

begin
TerminateProcessByName('c:\windows\system32\ctfmon.exe');
TerminateProcessByName('c:\docume~1\admini~1\locals~1\temp\40442');
DeleteFile('c:\docume~1\admini~1\locals~1\temp\40442');
BC_DeleteFile('c:\docume~1\admini~1\locals~1\temp\40442');
DeleteFile('c:\windows\system32\ctfmon.exe');
BC_DeleteFile('c:\windows\system32\ctfmon.exe');
end.

很多人在问我GSI日志怎么分析，那么一大堆信息看了不是头晕么？那是当然的，如果直接看确实会够呛.接下来璇音谱曲教大家分析GSI系统日志。
首先我们拿到一篇GSI系统日志后不是先打开分析，而是先上传到http://www.getsysteminfo.com/index.php
如下图

浏览选中需要分析的日志上传，上传后会出现如下图的界面

然后会跳转到GSI自动分析的结果，如下图

这里给出了系统自动分析总结的项目，依次是
1.可以更新的驱动
2.可以更新的应用程序
3.GSI文件库未知项目
4.可能与KL产品冲突项目
5.HOSTS文件项目
6.可能的恶意软件项目（需要注意的是，这里列出的只是可能感染项，不一定就是病毒，在国内由于存在一些修改版本的系统，所以某些系统文件也会被归在该项）
这部分都属于总结中，如下图


除了总结之外，GSI自动分析系统还会根据GSI日志分类总结出以下几个项目
一，系统性能
二，设备
三，进程/服务/驱动
四，文件和注册表


下面一个一个介绍
一，系统性能
系统性能分为以下几个部分
1.总体信息（里面提供了，计算机的制造商，BIOS，处理器，内存，磁盘等，可以让我们了解本台计算机的基本设置和硬件配置）
2.操作系统（里面提供了操作系统，用户账户，环境变量，可以了解系统的基本信息和环境）
3.安装的应用程序（里面提供了系统中所安装的应用程序项目）
4.HOSTS（这点就不用介绍了，相信大家对Hosts都很了解）
5.端口
6.事件报告


二，设备
1.介绍总体设备
2.网卡
3.打印机
4.显卡
5.声卡


三，进程/服务/驱动
这部分分为
1.进程/模块
2.服务
3.驱动
4.卡巴斯基


1.进程模块
该处会列出系统中正在运行的进程和模块，前面带有“绿钩”的代表为GSI认证的安全项，未有“绿钩”的代表GSI未入库的未知项

点击进程前面的 会列出该进程所加载的模块，如下图

点击一下进程或者模块，会弹出以下信息

这里很详细的介绍了该进程/模块文件，并可以在此评价该文件（评价系统稍后介绍），对于未知文件可以在此得到其他用户对该文件的评价和MD5值来查找验证该文件是否安全
点击“GSI it”

还能查找有在日志中哪些部分存在该文件
直接点击文件或者介绍还能直接在谷歌中搜索

评价中可以自己评价，可能看到其他用户对该文件的评价，如下图

服务/驱动/卡巴斯基的查看方式和进程/模块相同
这里只需说明下在驱动中
前面有 代表着该驱动运行中， 代表驱动已经停止

四，注册表/文件
该部分分为
1.注册表
2.文件夹
3.最近


1.注册表，这里提供了系统中重要的注册表项目可以从中知道启动项，Shell，IE起始页等等可以查出恶意软件或者病毒对注册表的恶意修改

2.文件夹中提供了被临时文件夹和系统还原中文件夹等项目

3.最近项目中提供了最近启用的进程，驱动和注册表


好了GSI系统日志的分析就介绍到这里，其实GSI还有很多不为人知的功能例如：可以提供上传日志自动分析地址，分析蓝屏原因，等等强大的功能！而且结合GSI和AVZ可以强有力的消灭系统中的恶意软件和病毒，剩下的需要大家自己摸索咯！O(∩_∩)O........
最后献上一段GSI文件评价的视频教程
http://www.getsysteminfo.com/video/GSI_Rank.swf

llzy3575

呵呵
看起来很不错

ucvsv

看样子是功能强大啊

Wesly.Zhang

这个GSI比AVZ早出现，两款工具都是收购的二次开发产品。

以前的GSI日志比较简单，光罗列了相关项目的文件名，阅读性较差。

虽然以前接触过GSI的报告，不过大多在国内知道的人比较少，AVZ也是在卡巴斯基收购了AVZ的作者，变为卡巴斯基的工程师之后才加入卡巴斯基产品名单的。

AVZ是款不错的工具，不过其运行的能力还有待提高，关键在于AVZ工具的窗口名不采用随机名，很容易就被关闭，如果俄罗斯人稍微改下的话，这款AVZ工具将会成为杀马的利器，只要脚本到位，立马就能解决问题。

1e3e

分析了一个多小时还没分析完，我彻底晕了，sreng扫个日志不到两分钟

ghj89100062

其实你只需要分析总结中的那些项目

sharkkong

果然是xe幼儿园的优秀XE人员

272513421

楼主的名字跟这个分析很像啊

lixiangby

呵呵，好像不错的样子，有时间的时候试试看，现在支持～

T-Fox

很不錯，收藏了