实验目的
1、学习主机安全软件监控原理;
2、学习利用主机安全软件狙剑监控可疑进程;
3、学习利用狙剑软件对本机进行注册表和文件的管理。
预备知识
狙剑SnipeSword一款强大的安全反黑工具,包括自启动项(包括隐藏的驱动和服务)、SSDT、Shadow-SSDT、进程管理、FSD的检测与恢复等。狙剑SnipeSword自带的系统监视功能,可提供恶意软件对文件及注册表的修改,方便手工查杀木马,性能强悍。
实验环境
系统:Windows XP
工具:狙剑V2008-0429 Beta版
实验内容和步骤
打开 Windows 实验机,桌面找到“狙剑软件使用实验”文件夹,解压并运行狙剑软件 SnipeSword.exe。
主界面介绍
(1)正如前面所介绍的,狙剑的功能有很多,首先介绍下它的主界面。如下图所示,界面左侧有三个主体功能模块,包括:基本功能、扩展功能以及其他功能,每一个功能模块下有许多子功能。
(2)主界面右上角“快捷菜单”包含几个功能强大的快捷命令项,包括“禁止关机重启”、“禁止写入注册表”、“禁止文件创建”以及强制系统重启。
进程信息查看
(1)在基本功能下有三个直接查看进程信息的子功能:“进程管理”、“进程句柄”和“进程窗口”,如下图所示。
(2)进程管理,点击“进程管理”可以在右侧看到如下图1所示的界面,在此列出了主机中所有进程的详细信息,包括ID号、路径、描述等。如下图2所示,选中任意一个进程后单击右键可以看到我们可以对该条进程进行结束、查看线程信息、查看文件、扫描有无签名、监控其通信流量、强制删除等操作,这些功能对于人工分析、查杀木马等恶意样本程序是十分必要的,一旦通过进程、注册表、文件等行为发现恶意进程以及相关文件能及时结束进程并清除掉文件。
图1
图2
(3)进程句柄,如下图所示,在“进程句柄”功能模块中我们可以看到进程句柄底层相关的信息。
(4)进程窗口,“进程窗口”显示进程中不同组件的信息,你可以查看进程不同的模块并单独对某个窗口进行操作,比如关闭、显示、更改文本等操作。 
网络连接管理
除了在进程管理中可以对进程通信流量进行监听,在基本功能模块中有“网络连接管理”专门监听本机所有进程的通信,提供的信息包括类型、端口、源IP、目的IP、源端口、目的端口、所属进程。由于狙剑属于一款较老的软件,其“IP归属地查询”功能已失效。
SSDT检查
(1)在狙剑的“扩展功能”中有许多底层监控子功能,例如SSDT检查、FSD检查、Shadow检查等,这里我们实例介绍下SSDT检查, SSDT即系统服务表,一些 "rootkit" 经常通过hook截获你系统的服务函数调用,以实现注册表、文件的隐藏。如下图所示,红色禁止图标代表该函数调用被hook,函数名称、函数模块以及函数地址信息都被列举了出来。此外,我们还可以手动恢复hook。
文件及注册表管理
(1)在狙剑的“其他功能”模块中有许多实用的功能,其主要操作是面向文件以及注册表的管理,还包含有备份和优化等功能,如下图所示。
(2)我们首先重点介绍下注册表相关的功能,“注册表编辑器”的功能相当于regedit命令,用于注册表的浏览和修改。
(3)然后介绍下常用的文件相关的功能,狙剑提供了文件浏览、垃圾文件清理、文件备份、信任文件添加、驱动备份、Host查看等常用的功能,其中磁盘文件搜索功能允许你按照文件创建时间和名称进行搜索。
1886
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
