一條Almanahe感染型查殺日誌擴展出的知識點

工做中時刻要解決用戶問題，用戶的問題以下

這個病毒一個小時定時複製到C盤，安全軟件能夠查殺，可是生成這個文件的程序找不到
1
遇到這種問題，憑藉用戶所說的確定是沒法判斷究竟是怎麼回事，首先讓用戶上傳日誌

而後用戶發來一條日誌

病毒防禦,文件實時監控,發現病毒Virus/Almanahe.a!src, 已處理

操做進程：System
病毒路徑：C:\setup.exe
病毒名稱：Virus/Almanahe.a!src
病毒ID：A79AB283EE7EA771
操做結果：已處理
1
2
3
4
5
6
7
這一條日誌，其實包含的點已經不少了，經過這條日誌就能解決用戶的問題，下面咱們來進行分析

首先看報毒名：

Virus/Almanahe.a!src

主類型是感染型病毒，咱們要回憶感染型病毒有哪些特性，好比說會感染文件，有蠕蟲特性等等

再看操做進程：system

是system，不是system.exe，說明是含有0環權限的系統進程，那操做進程是system，基本就是有兩個可能。

操做文件的是本機的驅動程序

操做請求是SMB共享

若是沒有分析過Almanahe感染型病毒，咱們能夠搜索下

在這裏插入圖片描述

從上圖能夠得知這個病毒會經過共享傳播

以上，基本把事件整理清楚了，大體就是其餘機器上感染了Almanahe感染型病毒，經過爆破共享將文件複製到同一局域網下的機器上，所以纔會致使用戶產生的重複報毒狀況。