众所周知,飞机遭遇不测失事,人们可以通过飞机内置黑匣子中记录的飞行数据来分析事故原因。而我们的系统经常被黑客攻击,有没有这样的黑匣子会记录相关数据呢?答案是肯定的,而且通常一台电脑系统中有多个黑匣子呢!
常驻黑匣子——系统日志文件
系统运行过程中遇到的一些问题都会自动记录到系统日志中,遭遇黑客攻击时的相关记录自然也记录在内。在开始菜单的“运行”对话框中输入“eventvwr”并回车,稍后便可打开事件查看器。
实例分析 解决Office故障
结合某个事件或故障发生的时间,在日志中根据日志和故障发生时间的吻合程度来筛选目标日志,打开后即可看到详细的描述信息。譬如,笔者安装了Office 2007后,每次启动Office组件都会打开安装向导窗口,即使按照要求安装一次,下次打开时依旧要安装,百思不得其解。打开事件查看器后仔细查看,在“应用程序”中有一个与Office启动时间一致的“警告”(见图1)。显示为Office的一个备份文件“OPA12.BAK”丢失,接下来就是Office启动修复安装程序,根据这一线索最终查出了故障所在,原来是安装的优化软件在关闭系统时自动将系统中的BAK文件删除而导致的,只要在优化软件中关闭此项功能就可以解决问题。
小提示
我们还可以将该事件的ID及相关描述作为关键字到微软的帮助中心(http://go.microsoft.com/fwlink/events.asp)查阅相关解决方案。
贴身黑匣子——360安全日志
360安全卫士一直是我们的好帮手,借助360安全卫士提供的系统诊断报告,往往就可以摸清病根。打开360安全卫士,单击“求助”按钮,选择“导出诊断报告”选项卡,此时便会看到360安全卫士就在诊断系统了。
实例分析 解决上网问题
360安全卫士生成的报告为文本文件,用记事本就可以打开。譬如,我曾经就遇到过一次无法上网的故障,之后就使用360安全卫士对系统进行了诊断,导出诊断报告日志后对日志进行了逐一分析,其中有几个标注为“高危险”的项:O4 - 高危险 - HKLM\..\Run: [helper.dll] [怀疑为恶意程序或病毒,请使用杀毒软件进行查杀。] C:\WINDOWS\system32\rundll32.exe C:\PROGRA~1\3721\helper.dll,Rundll32。之后直接在WinPE系统下将标注为“高危险”中指出的文件删除了,重新启动系统后竟然直接可以上网了。
小提示
如果系统还可以上网,还可以将其上传到360安全卫士的“i360”,借助系统提供的分析工具进行分析,另外,360安全卫士的日志分析可参考http://blog.cfan.com.cn/html/64/346164-379046.html《看懂360日志 菜鸟变大虾》一文。
专业黑匣子——杀毒软件日志
相信每个朋友都安装了杀毒软件,而就在杀毒软件中也有内藏的黑匣子,例如我们以卡巴斯基安全套装为例,借助其监控的记录就可以快速了解到系统的安全状况,曾经受了哪些攻击等。打开卡巴斯基,单击主窗口中的“警告和数据文件”项,在打开的窗口中再选择“事件”选项卡便可看到各种监控记录了(见图2)。
实例分析 查找ARP病源
卡巴斯基的日志文件默认保存在“C:\Documents and Settings\All Users\Application Data\Kaspersky Lab\AVP(X)\Report”目录,其中X代表卡巴斯基的程序版本号。一次,单位忽然有好几台电脑出现无法上网,后来发现这几台无法上网电脑中安装的卡巴斯基监控日志中都有这样的信息“来自于192.168.1.15的攻击,此次攻击被成功防御”,而这个IP地址对应的那台电脑本身也无法上网。后来,尝试性地将这个IP地址对应的电脑网线拔下,其他几台电脑便神奇般地能够连接到网络上。最后,直接将这台有问题的电脑使用最新版的杀毒软件进行杀毒,原来中了ARP病毒,使用杀毒软件将病毒清除后,整个公司局域网恢复了正常。(文/呆瓜)