http://sourceforge.net/projects/twmanplus/files/TWMAN%2B%40Beta_20120125-AutoInstall/ 中2012-01-25发布的TWMAN流程分析:
(1)客户端安装exes(这些exes负责从服务器端获取恶意代码[wget程序完成],并执行[sandnet.exe],然后dd出整个硬盘映像img[dd.exe])
(2)干净的客户端进行备份操作(twman-clear-save)
(3)在客户端的注册表中注册自动分析恶意代码所需的脚本bat
(4)服务器对客户端进行第二次备份(供后续自动化还原恶意代码执行环境)
(5)在linux系统下对windows客户端进行映像备份(使用linux的dd命令)
(6)客户端自动执行恶意代码1
(7)在linux系统下对windows客户端进行映像备份,并与(5)的映像进行比较导出分析结果文件
(8)恢复(4)中备份的windows映像,并重启进入第(6)步。