实验目的
1、学习ATool软件监控主机行为的原理;
2、学习利用ATool软件监控可疑进程的行为;
3、学习利用ATool软件实现对本机进行文件、注册表管理;
4、学习利用ATool软件实现对本机进行内核模块信息和HOOK信息查看。
预备知识
ATool是针对高级用户群设计的专业系统安全检测工具集,能针对各类常见的主机问题及有害文件进行分析、诊断和处置,同时系统的共享、帐户、补丁等信息进行检查和修复。特别提供了分析模块能够实现基于条件加权的未知木马检测,对系统中自启动项、任务、进程、服务、驱动、端口、SPI、插件、文件系统,注册表等内容进行严格的行为判断和特征分析,形成对每个文件的受信状态判定,用户使用此工具集全方位保护系统和个人信息安全。
实验环境
Windows XP 专业版SP3 系统和ATool 1.010版
实验步骤一
打开实验台运行 Windows XP 系统,然后运行桌面上的atool文件夹下的ATool软件(ATool.exe)。
主机基本信息查看管理
(1) ATool软件是由安天公司研发的一款轻量级安全检测工具,主界面如下图所示,整个软件功能大致分为“基本工具”、“高级工具”、“系统信息”、“文件管理”以及“注册表管理”五个部分。
(2)“自启动项”,在左侧的自启动项中,用户可以看到本机所有的自启动选项,用户可以对启动项进行签名扫描检查,可以快速定位文件位置,还可以点击上方的“受信”按钮对启动项进行可信和签名检查,一经发现异常启动项可以禁用该启动项并上报安天实验室。此外,请不要对系统文件进行“擦除文件”操作,可能会导致系统无法正常启动。选择受信检查类型如下图所示:
(3)“任务”,在左侧的任务项中,用户可以看到本机目前所有的任务项,包含名称、任务描述、时间、映像路径等信息,对其可进行的操作与自启动项的相同。
(4)“进程管理”,“基本工具”模块中最重要的一个功能,该功能可以使用户看到本机所有进程的信息(名称、路径、对应的DLL相关信息等),并支持手动将DLL卸载,与此前相同,对进程对象也可以进行可信以及签名的扫描。
(5)“端口管理”,端口管理功能可以使用户方便地查看本机的进程网络通信行为,提供了基本网络通信的IP五元组信息,功能界面如下图所示。
“基本工具”模块中除了上述的功能还有“服务管理”、“驱动管理、“插件管理”、“SPI管理”以及“映像劫持”查看等,由于几者之间操作较为相似,在此就不再赘述其使用方法了,感兴趣的可自行试用。
实验步骤二
高级内核模块信息查看
(1)如下图所示,主界面左侧“高级工具”模块下包含“内核模块”、“内核服务”、“文件系统”、“消息钩子”以及“用户态钩子”。其中“内核模块”和“内核服务”顾名思义,用于查看内核中的所有模块以及服务的信息;“文件系统”查看文件文件名称、函数地址以及模块信息;“消息钩子”和“用户态钩子”用于查看本机有无函数被hook以及其相关重要的信息(钩子句柄、修改地址、进程函数名称等)。
(2)如下图所示,内核模块功能界面中包含了文件、基址、映像大小、修改时间、路径等关键信息,内核中的可执行程序、DLL、驱动信息都会聚在此,对其可进行的管理操作与之前相同,在此就不赘述了。
系统信息查看
(1)“系统信息”模块主要用于管理系统的基本信息(比如文件共享、本机用户、HOST)以及补丁的更新。如下图所示,“共享管理”用于本机文件共享情况的查看和管理,第一行红框中为我们事先手动设置Fiddler文件夹为网络共享属性的信息;除了可以看到本机所有磁盘中文件共享信息,还可以通过右键菜单很方便的快速解除共享、删除共享记录、查找关键字项的操作。
(2)“用户管理”模块提供了本操作系统所有用户的用户名、权限、最后登录时间、登陆次数、密码是否为空等详细信息。如果本机存在远程访问或者多账户操作情况,这个功能方便了用户管理本机。
实验步骤三
文件及注册表管理
(1) ATool和其他主机行为监控软件一样,也提供了文件和注册表的监控和管理功能,首先介绍下文件管理功能,如图11所示,文件管理操作类似于资源管理器,基本的文件信息和删除、复制、查看属性、搜索关键字、定位等操作功能都具备;除此之外还可以对文件进行签名和可信扫描,对于顽固的病毒文件可以使用擦除文件和强制删除功能,还可以通过去除只读、隐含、系统属性等功能来恢复被篡改的文件。
(2)注册表管理能方便查看注册表的信息,包括名称、类型、数据,但不支持直接修改键值,只能进行查询操作。