如何分析D+日志，怎么运用？

uess

以下是QQ在安全模式下的D+日志，我该如何分析，并加以运用，请高手指点下，先谢谢了！

2010-06-15 14:49:43   D:\Program Files\QQ2009\Bin\QQ.exe   安装钩子   D:\Program Files\QQ2009\Bin\QQ.exe   
2010-06-15 14:49:46   D:\Program Files\360Safebox\safeboxTray.exe   访问COM接口   LocalSecurityAuthority.Debug   
2010-06-15 14:49:47   D:\Program Files\QQ2009\Bin\QQ.exe   直接键盘访问      
2010-06-15 14:49:49   D:\Program Files\QQ2009\Bin\QQ.exe   修改注册表项   HKLM\SOFTWARE\Classes\CLSID\{37086F34-1C2B-4282-A09E-8E0A7EF2A8F0}\InprocServer32   
2010-06-15 14:49:51   D:\Program Files\360Safebox\safeboxTray.exe   访问COM接口   LocalSecurityAuthority.Debug   
2010-06-15 14:49:51   D:\Program Files\QQ2009\Bin\QQ.exe   访问COM接口   LocalSecurityAuthority.Debug   
2010-06-15 14:49:59   D:\Program Files\QQ2009\Bin\QQ.exe   修改注册表项   HKLM\SOFTWARE\Classes\CLSID\{37086F34-1C2B-4282-A09E-8E0A7EF2A8F0}\ProgID   
2010-06-15 14:51:06   D:\Program Files\QQ2009\Bin\QQ.exe   修改注册表项   HKUS\Software\Classes\EMOTION.File\shell\open\command\   
2010-06-15 14:51:09   D:\Program Files\QQ2009\Bin\QQ.exe   修改注册表项   HKLM\SOFTWARE\Classes\CLSID\{ED4CA2E5-0EEA-44C1-AD7E-74A07A7507A4}\ProgID\   
2010-06-15 14:51:10   D:\Program Files\QQ2009\Bin\QQ.exe   修改注册表项   HKLM\SOFTWARE\Classes\CLSID\{37086F34-1C2B-4282-A09E-8E0A7EF2A8F0}\ProgID   
2010-06-15 14:51:11   D:\Program Files\QQ2009\Bin\QQ.exe   修改注册表项   HKLM\SOFTWARE\Classes\CLSID\{ED4CA2E5-0EEA-44C1-AD7E-74A07A7507A4}\InProcServer32\   
2010-06-15 14:51:22   D:\Program Files\QQ2009\Bin\QQ.exe   修改注册表项   HKLM\SOFTWARE\Classes\CLSID\{23752AA7-CAD7-40C2-99EE-7A9CD3C20C6D}\ProgID\   
2010-06-15 14:51:27   D:\Program Files\QQ2009\Bin\QQ.exe   修改注册表项   HKLM\SOFTWARE\Classes\CLSID\{23752AA7-CAD7-40C2-99EE-7A9CD3C20C6D}\InProcServer32\   
2010-06-15 14:52:52   D:\Program Files\QQ2009\Bin\QQ.exe   访问COM接口   D:\Program Files\QQ2009\Bin\TXPlatform.exe   
2010-06-15 14:52:55   D:\Program Files\QQ2009\Bin\QQ.exe   修改文件   \Device\Afd\Endpoint   
2010-06-15 14:52:57   D:\Program Files\QQ2009\Bin\QQ.exe   DNS/RPC 客户端访问   \RPC Control\DNSResolver   
2010-06-15 14:52:59   D:\Program Files\QQ2009\Bin\QQ.exe   直接磁盘访问   PhysicalDrive0   
2010-06-15 14:53:12   D:\Program Files\TM2007\TMShell.exe   创建进程   D:\Program Files\TM2007\TMDLLS\TM.exe   
2010-06-15 14:53:15   D:\Program Files\TM2007\TMDLLS\TM.exe   修改注册表项   HKLM\SOFTWARE\Classes\CLSID\{06ADA938-0FB0-4BC0-B19B-0A38AB17F182}\Control   
2010-06-15 14:53:15   D:\Program Files\360Safebox\safeboxTray.exe   访问COM接口   LocalSecurityAuthority.Debug   
2010-06-15 14:53:15   D:\Program Files\QQ2009\Bin\QQ.exe   修改文件   C:\WINDOWS\system32\drivers\etc\Hosts   

请问下 关于“受保护的注册表项”先选“阻止”再“修改”把日志中关于“修改注册表项”加入到“允许的注册表键”  这样对不？

穿越星空

　　可以直接在外部设置允许或者在修改中进行个别允许。
　　以第一个为例（CIS3）：进入QQ.exe的“访问权限”，选择“窗口或者事件钩子”，，在后面的“默认行为”中选择允许或者点击“修改”按钮，在“允许的钩子”中添加QQ.exe。其余可以依此类推。

uess

回复 2# 穿越星空 的帖子
谢谢，再请教下以下问题：
修改注册表项--------------    在“受保护的注册表项”添加“允许的注册表键” 对不？
访问COM接口---------------    在“受保护的COM接口”添加“允许的COM接口”对不？
修改文件 -------------------- 在“受保护的文件\目录”下添加“允许的文件\文件夹”对不？
DNS/RPC 客户端访问------------在“受保护的COM接口”添加“允许的COM接口”对不？
直接磁盘访问----------------- 选择“询问”对不？
   

穿越星空

回复 3# uess 的帖子
　　其他没什么问题，有几个发表下个人看法：
　　DNS/RPC 客户端访问，对QQ而言可以放行，具体在内存的上面两项。
　　直接磁盘访问，感觉QQ不需要。

uess

回复 4# 穿越星空 的帖子


    哦，谢谢！

Beloved

回复 3# uess 的帖子

囧

你别把某个软件的规则，搞到 全局允许 了……
   

uess

回复 6# Beloved 的帖子


    我只是把那些单独一个组的软件，才进行单独的设置，谢谢你的提醒！

paulxy

不知为什么，我给QQ建立规则后，日志里很难看到QQ了

nonolove

日志里看到的少,说明你对Qq允许的多了..像我对QQ阻止的多,所以日志里QQ的相关就多

泠风灬

我直接全阻止了