BYR Achieve · 镜像论坛

由于种种原因预计的好多功能没有实现现在把代码发出来有兴趣的同学可以在这个基础上扩展代码不多并且风格也不太好呵呵我觉得关键还在于想法其实实现的难度并不大以下内容摘自我的简历 -------------------------------------------------------------------------------------------------------- Windows系统日志分析系统（日志分析员，http://leo.21windows.cn）平台：PHP+XML 技术要点：信息抓取、模式匹配、DOM XML操作功用：用于分析Hijackthis生成的LOG，识别系统中的进程是否为恶意程序项目介绍： Situation：一直以来，间谍程序、木马程序、广告软件的流行给电脑用户带来了巨大的烦恼，防病毒软件也难以应付这无尽的骚扰。Hijackthis的出现有效地改善了这一情况，用户可以用Hijackthis扫描系统，生成日志，然后发送到网上让一些“高手”检查判定。在一些安全社区（如http://www.ikaka.com）的反病毒版面就能经常见到这样的帖子，这确实能解决一些问题。然而分析日志是一项很枯燥的工作，一个日志里通常包括了几十个进程项。为了解决这个问题，我就萌发了写一个软件来分析日志，由于恶意软件日新月异，并且互联网已经较为成熟，我就决定写一个Web Application，一来数据库的更新会马上体现，二来PageView也能带来经济效益 Task：1、需要收集进程信息，建立起进程信息数据库； 2、利用数据库进行进程识别的处理模块； 3、数据库需要增长，所以要记录下不能识别的进程，并且接受网友提供进程信息 Action：1、收集进程信息：一些网站提供了进程信息查询，比如http://www.processlibrary.com/directory/files/accelerate，我就写了一个PHP程序，用正则表达式从HTML里匹配出我所需要的信息，包括进程名称、文件名称、描述信息、风险等级，该程序从A到Z的目录里遍历所有进程项目。考虑到XML不依赖于数据库类型，并且PHP5提供了方便的DOM XML函数和XML Parser，我便将抓取的信息按进程名称保存为dotXML文件，比如http://www.leo.21windows.cn/DATABASE/svchost.XML 。对processlibrary一个网站的抓取获得了4500多条进程信息。 2、建立处理模块：从LOG中获取文件名称，然后查询这个XML文件是否存在，若存在就查询是否为恶意程序，若不存在，就建议用户用搜索引擎搜索，并且将本项目列入“未知（unknown）”名单，以便管理员及时补充。 3、数据库增长：一方面继续抓取一些网站上现有的进程信息，另一方记录在分析LOG时无法识别的项目，同时提供网友上传进程信息的功能。 Result：方便大家分析LOG，极大地减轻了工作量。不过现在一些功能模块还在调试中，调试完毕方才上线。待基本的日志分析功能工作正常后，我会考虑写一个ActiveX来扫描用户的系统，而不再借助于Hijackthis软件。逐渐从原本简单的日志分析服务，转向为上网用户提供安全解决方案。

关于Hijackthis日志分析员