趋势科技实习-case分析

最新推荐文章于 2022-05-16 07:30:00 发布

小桥or流水

最新推荐文章于 2022-05-16 07:30:00 发布

阅读量857

点赞数

分类专栏：实习项目记录

本文链接：https://blog.csdn.net/u010951938/article/details/43154003

版权

实习项目记录专栏收录该内容

41 篇文章 0 订阅

订阅专栏

win10  32bit  错误case分析

\Testcases\Boundady\FileAndFolder\810115
原因：在生成的debug.log文件中找不到“AIOFC DeleteFile success”.
QA:为什么找不到“AIOFC DeleteFile success”字段:WIN10 没有RCM mode。
---》没有RCM 导致的fail 

\Testcases\Service\Check Service By Filename\SR0232
参照chm文件检查：.in文件书写正确；
通过单步执行步骤发现：在执行check_service_by_filename这一步时，svchostdll.dll文件或许存在错误，
导致在执行.in文件中w02;get service name这一步时，得不到service name。
---》在check下 在执行dce之前 service是否真的存在

\testcases\ProcessMemory\H_process_module_by_filename\PidMem00310
在debug.log文件中发现H_process(csrss.exe)执行失败：在win8以上的系统中csrss.exe打开失败或是csrss.exe受保护
--》 known fail case

\testcases\SystemFileRestore\File Get Backup Path\FGBP0101A
这两个文件的property不相同，比如该case中publisher不同则导致了case fail。

\testcases\FileAndFolder\Check Com\320806H
在执行check com  ${TEST_NAME}后，清除的只是${TARGET_FOLDER}\\lockfile.exe文件，而${SAMPLE_PROC_NOR_32}\\lockfile.exe
仍存在，所以在执行file should not exist时会失败
---》不是这个原因， file 被lock 需要rcm 才能clean.但是rcm没有安装上



\testcases\FileAndFolder\Check File Path\ShortPath003
在check_file_path.in文件
@ShortPath003
{
   id=1
   fmt=tsc_clean
   vsapiptn=ShortPath003A,ShortPath003B
   set_TSC_flag(VIRUS_FOUND, "true")
   
CleanSection
   
   check_file_path("%currentdir%\target\check_file_path\texttx~1","%currentdir%\target\check_file_path\texttext",0,0)
   jne(0) END

   check_file_path("%currentdir%\target\check_~1\texttext","%currentdir%\target\check_file_path\texttext",0,0);
   
:END   
}
在34行中，我觉得应该是jne(1)，如果是jne(0)的话，上一句check_file_path执行正确后会继续执行下一个check_file_path,
所以最后的debug.log文件中发现check_file_path.*ret出现2次。
---》是不是跑的build不对或者是环境没清干净？我跑了下可以 pass，且能返回正确的结果的



C:\TestDCE\testcases\RCM_FileAndFolder\GetFileSize\RCMF0301
在GetFileSize.in文件中：
@RCMF0301 
{
   id=1
   fmt=tsc_clean
   vsapiptn=RCMF0301,RCMF0304
   set_TSC_flag(OP_ROOTKIT,"true")
   H_file("%currentdir%\target\GetFileSize\sample.exe")
   je(0) NOTFOUND pop
   GetFileSize() w01
   r01
   jne(9000) END   ;get right size end pattern
   
   set_TSC_flag(VIRUS_FOUND, "true")
   
:END
    H_close()
    
:NOTFOUND

}
第51行的H_file("%currentdir%\target\GetFileSize\sample.exe")执行失败，因为sample.exe已经处于locked状态
---》没有RCM 导致的fail 



C:\TestDCE\testcases\RCM_FileAndFolder\RCM_Version\RCMF0516
在rcm_version.in文件中：
@RCMF0516_1
{
   id=1
   fmt=tsc_clean
   vsapiptn=RCMF0516
   set_TSC_flag(OP_ROOTKIT,"true")
   set_TSC_flag(OP_AIOFC,"true")
   set_TSC_flag(OP_HIVEAPI,"true")
   set_TSC_flag(OP_AIOFC_NOREBOOT,"true")
   set_TSC_flag(VIRUS_FOUND,"true")

CleanSection
    get_tsc_flag(16)
    jne(1) END
    get_tsc_flag(19)
    jne(1) END
    get_tsc_flag(1a)
    jne(1) END
    get_tsc_flag(1d)
    jne(1) END
:END
}
第81行的get_tsc_flag(16)执行失败，关于get_tsc_flag的用法如下：
 dwFlag:0x16
 Name:RCM_ENABLE
 TRUE condition:Pattern set rcm mode, and RCM is available in DCE
 而在win10环境下，rcm没有正确安装，所以涉及到rcm的case都会fail。
 ---》没有RCM 导致的fail