SIC日志分析方法

SIC 日志分析方法

 

 

随着新病毒的不断增多，导致AV Team对病毒问题响应时间不断增长。为了缩短病毒响应时间，我们有必要学习一下SIC日志的分析，从而加快病毒处理速度。但由于人工分析SIC日志需要一定的经验的积累，初学者很难上手，因此有必要向大家介绍一个分析方法。

 

UltraEdit 是一款强大的文本编辑器，使用这个软件可以帮助我们优化一些日常工作。使用UltraEdit 可以自动以不同颜色显示出SIC日志中的正常文件，它可以帮助我们排除正常文件的干扰，快速定位到可疑文件信息，效果如下图：

 

 

具体方法如下：

一，    收集正常文件列表

１．     在客户的网络环境中，取几台样机（已经安装好工作所需要的软件）

２．     在这些机器上，分别执行SIC,生成SIC log

３．     打开SIC log,定位到File Versions

４．     将该类下面的内容全部复制到一个新的文档

５．     只保留文件路径，其它内容全部删除,然后保存该文件

例如: C:\program files\analog devices\soundmax\drvlsnr.exe

 

二，    UltraEdit 的设定

1 、依次打开Advanced－Configuration－Edit Display－Syntax Highlight，会显示如下的对话框：

 

2 、点击Open按钮，会打开一个名为wordfile.txt的文本文件。这个文件中的内容是一些编程语言的语法关键词，UltraEdit会根据这个文件中的内容，在显示这些编程语言源文件的时候会HighLight显示特定的语法关键词。本文介绍的方法就是利用这个原理，将正常的系统文件名编辑成语法关键词，在打开SIC日志的时候就会HighLight显示出正常文件名。

默认Wordfile.txt显示的内容如下：

 

３、将光标移动至文件的尾部，并另起一行，按照如下样式输入内容：

（请输入先前准备好的正常文件列表）

/L12"SIC Filter"  Nocase Noquote

/C1"xp" （用于显示xp系统中的正常系统文件）

\windows\system32\rundll32.exe

\WINDOWS\System32\igfxtray.exe

\WINDOWS\System32\hkcmd.exe

\WINDOWS\System32\ncsvc.exe

。。。（任意添加其他的文件名）

/C2"2K" （用于显示2k系统中的正常系统文件）

\WINNT\System32\IME\TINTLGNT\TINTSETP.EXE

\WINNT\system32\netdde.exe

\WINNT\SYSTEM32\SPOOL\DRIVERS\W32X86\3\HPZipm12.exe

\WINNT\System32\wdfmgr.exe

\WINNT\system32\spoolsv.exe

。。。 （ 任意添加其他的文件名 ）

/C3"98" （用于显示98系统中的正常系统文件）

\windows\system\RUNDLL.EXE

。。。（任意添加其他的文件名）

 

输入后的wordfile.txt如下：

 

４、按照第一步，再次打开Syntax Highlight对话框，这时会在Language选项中显示如下的内容，SIC Filter就是我们刚才在wordfile.txt中编辑的。选中这个选项。

 

5 、在Color Group选项中，会显示如下的内容，其中xp、2k、98就是系统正常文件的分组。选中其中一个后可以设定该组HighLight显示时使用的颜色，不设定时，UltraEdit会自动分配三个颜色给这三个分组。

６、点击Apply，并点击OK退出Configuration对话框。

至此设置完毕，可以打开View－View As（Highlighting File Type），会显示出一个SIC Filter选项。

 

我们可以打开一个SIC日志查看一下效果如何。

打开SIC日志后，依次点击View－View As（Highlighting File Type）－SIC Filter

 

以后就可以根据颜色直接排除正常文件，快速定位到可疑文件。

 

 

三，     附录

附录是目前整理的SIC日志中常见的正常文件名，大家可以将这些内容粘贴到ULTRAEDIT安装目录下的WORDFILE.TXT文件最后，即可直接使用。

 

/L12"SIC Filter"  Nocase Noquote

/C1"xp"

\windows\system32\rundll32.exe

\WINDOWS\System32\igfxtray.exe

\WINDOWS\System32\hkcmd.exe

\WINDOWS\System32\ncsvc.exe

\WINDOWS\System32\IME\TINTLGNT\TINTSETP.EXE

\WINDOWS\System32\igfxtray.exe

\WINDOWS\System32\hkcmd.exe

\WINDOWS\System32\ctfmon.exe

\WINDOWS\System32\mshta.exe

\WINDOWS\System32\svchost.exe

\WINDOWS\System32\alg.exe

\WINDOWS\system32\cisvc.exe

\WINDOWS\system32\clipsrv.exe

\WINDOWS\System32\dllhost.exe

\WINDOWS\System32\dmadmin.exe

\WINDOWS\system32\services.exe

\WINDOWS\System32\imapi.exe

\WINDOWS\System32\mnmsrvc.exe

\WINDOWS\System32\msdtc.exe

\WINDOWS\System32\msiexec.exe

\WINDOWS\system32\netdde.exe

\WINDOWS\System32\lsass.exe

\WINDOWS\system32\sessmgr.exe

\WINDOWS\System32\locator.exe

\WINDOWS\System32\rsvp.exe

\WINDOWS\System32\SCardSvr.exe

\WINDOWS\system32\spoolsv.exe

\WINDOWS\system32\smlogsvc.exe

\WINDOWS\System32\tlntsvr.exe

\WINDOWS\System32\ups.exe

\WINDOWS\System32\vssvc.exe

\WINDOWS\System32\wbem\wmiapsrv.exe

\systemroot\system32\smss.exe

\windows\system32\winlogon.exe

\windows\explorer.exe

\windows\system32\hkcmd.exe

\windows\system32\cmd.exe

\windows\system32\ftp.exe

\windows\system32\conime.exe

\WINDOWS\System32\smss.exe

\WINDOWS\System32\snmp.exe

\WINDOWS\System32\snmptrap.exe

\WINDOWS\system32\wdfmgr.exe

\WINDOWS\system32\ntfrs.exe

\WINDOWS\system32\inetsrv\inetinfo.exe

\WINDOWS\System32\ismserv.exe

\WINDOWS\system32\Dfssvc.exe

\WINDOWS\System32\llssrv.exe

\WINDOWS\system32\RSoPProv.exe

\windows\system32\mmc.exe

\windows\system32\cidaemon.exe

\windows\system32\mstsc.exe

\windows\system32\cpqteam.exe

\windows\system32\sysdown.exe

/C2"2K"

\winnt\system32\svchost.exe

\WINNT\system32\msdtc.exe

\winnt\system32\MSTask.exe

\WINNT\system32\igfxtray.exe

\WINNT\system32\hkcmd.exe

\winnt\system32\services.exe

\WINNT\system32\cisvc.exe

\winnt\system32\clipsrv.exe

\winnt\system32\Dfssvc.exe

\winnt\System32\dmadmin.exe

\winnt\system32\faxsvc.exe

\winnt\System32\ismserv.exe

\winnt\System32\lsass.exe

\winnt\System32\llssrv.exe

\WINNT\system32\mnmsrvc.exe

\winnt\system32\netdde.exe

\winnt\system32\ntfrs.exe

\winnt\system32\regsvc.exe

\winnt\system32\locator.exe

\winnt\system32\rsvp.exe

\winnt\System32\SCardSvr.exe

\winnt\system32\spoolsv.exe

\winnt\system32\smlogsvc.exe

\winnt\System32\termsrv.exe

\winnt\system32\tlntsvr.exe

\winnt\System32\ups.exe

\winnt\System32\UtilMan.exe

\winnt\System32\WBEM\WinMgmt.exe

\systemroot\system32\smss.exe

\winnt\system32\csrss.exe

\winnt\system32\winlogon.exe

\winnt\system32\conime.exe

\winnt\system32\cmd.exe

\winnt\system32\internat.exe

\winnt\soundman.exe

\winnt\explorer.exe

\WINNT\system32\inetsrv\inetinfo.exe

\WINNT\system32\lserver.exe

\WINNT\system32\tcpsvcs.exe

\WINNT\System32\snmp.exe

\WINNT\System32\snmptrap.exe

\WINNT\system32\msiexec.exe

\WINNT\System32\nvsvc32.exe

\WINNT\system32\rundll32.exe

\WINNT\system32\mspmspsv.exe

\winnt\system32\dllhost.exe

/C3"98"

\windows\system\systray.exe

\windows\system\msgsrv32.exe

\windows\system\mprexe.exe

\windows\system\mmtask.tsk

\windows\explorer.exe

\windows\system\internat.exe

\windows\system\wmiexe.exe

\windows\system\ddhelp.exe

\windows\system\winoa386.mod

\WINDOWS\SYSTEM\mstask.exe

\WINDOWS\taskmon.exe

\WINDOWS\scanregw.exe