实验目的    
1、学习ATool软件监控主机行为的原理;

2、学习利用ATool软件监控可疑进程的行为;

3、学习利用ATool软件实现对本机进行文件、注册表管理;

4、学习利用ATool软件实现对本机进行内核模块信息和HOOK信息查看。

预备知识
ATool是针对高级用户群设计的专业系统安全检测工具集,能针对各类常见的主机问题及有害文件进行分析、诊断和处置,同时系统的共享、帐户、补丁等信息进行检查和修复。特别提供了分析模块能够实现基于条件加权的未知木马检测,对系统中自启动项、任务、进程、服务、驱动、端口、SPI、插件、文件系统,注册表等内容进行严格的行为判断和特征分析,形成对每个文件的受信状态判定,用户使用此工具集全方位保护系统和个人信息安全。

实验环境
Windows XP 专业版SP3 系统和ATool 1.010版

实验步骤一
打开实验台运行 Windows XP 系统,然后运行桌面上的atool文件夹下的ATool软件(ATool.exe)。

主机基本信息查看管理

(1)  ATool软件是由安天公司研发的一款轻量级安全检测工具,主界面如下图所示,整个软件功能大致分为“基本工具”、“高级工具”、“系统信息”、“文件管理”以及“注册表管理”五个部分。

(2)“自启动项”,在左侧的自启动项中,用户可以看到本机所有的自启动选项,用户可以对启动项进行签名扫描检查,可以快速定位文件位置,还可以点击上方的“受信”按钮对启动项进行可信和签名检查,一经发现异常启动项可以禁用该启动项并上报安天实验室。此外,请不要对系统文件进行“擦除文件”操作,可能会导致系统无法正常启动。选择受信检查类型如下图所示:


(3)“任务”,在左侧的任务项中,用户可以看到本机目前所有的任务项,包含名称、任务描述、时间、映像路径等信息,对其可进行的操作与自启动项的相同。

(4)“进程管理”,“基本工具”模块中最重要的一个功能,该功能可以使用户看到本机所有进程的信息(名称、路径、对应的DLL相关信息等),并支持手动将DLL卸载,与此前相同,对进程对象也可以进行可信以及签名的扫描。

(5)“端口管理”,端口管理功能可以使用户方便地查看本机的进程网络通信行为,提供了基本网络通信的IP五元组信息,功能界面如下图所示。

“基本工具”模块中除了上述的功能还有“服务管理”、“驱动管理、“插件管理”、“SPI管理”以及“映像劫持”查看等,由于几者之间操作较为相似,在此就不再赘述其使用方法了,感兴趣的可自行试用。

实验步骤二
高级内核模块信息查看
(1)如下图所示,主界面左侧“高级工具”模块下包含“内核模块”、“内核服务”、“文件系统”、“消息钩子”以及“用户态钩子”。其中“内核模块”和“内核服务”顾名思义,用于查看内核中的所有模块以及服务的信息;“文件系统”查看文件文件名称、函数地址以及模块信息;“消息钩子”和“用户态钩子”用于查看本机有无函数被hook以及其相关重要的信息(钩子句柄、修改地址、进程函数名称等)。

(2)如下图所示,内核模块功能界面中包含了文件、基址、映像大小、修改时间、路径等关键信息,内核中的可执行程序、DLL、驱动信息都会聚在此,对其可进行的管理操作与之前相同,在此就不赘述了。

系统信息查看

(1)“系统信息”模块主要用于管理系统的基本信息(比如文件共享、本机用户、HOST)以及补丁的更新。如下图所示,“共享管理”用于本机文件共享情况的查看和管理,第一行红框中为我们事先手动设置Fiddler文件夹为网络共享属性的信息;除了可以看到本机所有磁盘中文件共享信息,还可以通过右键菜单很方便的快速解除共享、删除共享记录、查找关键字项的操作。

(2)“用户管理”模块提供了本操作系统所有用户的用户名、权限、最后登录时间、登陆次数、密码是否为空等详细信息。如果本机存在远程访问或者多账户操作情况,这个功能方便了用户管理本机。

实验步骤三
 文件及注册表管理

(1) ATool和其他主机行为监控软件一样,也提供了文件和注册表的监控和管理功能,首先介绍下文件管理功能,如图11所示,文件管理操作类似于资源管理器,基本的文件信息和删除、复制、查看属性、搜索关键字、定位等操作功能都具备;除此之外还可以对文件进行签名和可信扫描,对于顽固的病毒文件可以使用擦除文件和强制删除功能,还可以通过去除只读、隐含、系统属性等功能来恢复被篡改的文件。

(2)注册表管理能方便查看注册表的信息,包括名称、类型、数据,但不支持直接修改键值,只能进行查询操作。

ATool软件使用实验(22)相关推荐

  1. 南邮Android软件设计报告,南京邮电大学软件设计实验报告

    南京邮电大学软件设计实验报告 软件设计报告( 2014 / 2015 学年 第 二 学期)课程名称 软件设计 指导老师 赵江 实习时间 第十八周 学生姓名 学号 ____学院______专业软件设计课 ...

  2. 实验22:轻触开关实验

    欧克,今天再来讲一个实验 直接复制微信内容: --实验22 --轻触开关实验 --实验一 --触碰到传感器报警(声光):松开停止报警 --实验二 --轻触一下,报警,再轻触一下,停止,循环,初始状态停 ...

  3. 移动软件开发 实验3

    移动软件开发 实验3 一. 实验目标 1.掌握视频列表的切换方法: 2.掌握视频自动播放方法: 3.掌握视频随机颜色弹幕效果. 二.实验步骤 1.创建项目 ·创建页面文件 ·删除和修改文件 ·创建其他 ...

  4. 软件构造实验一问题解决方法及经验教训

    软件构造实验一问题解决方法及经验教训 一:实验目标概述 1.本次实验通过求解三个问题,训练基本 Java 编程技能,能够利用 Java OO 开发基本的功能模块,能够阅读理解已有代码框架并根据功能需求 ...

  5. 哈工大2021春软件构造实验总结

    哈工大2021春软件构造实验总结 文章目录 一.实验一 1. 实验概述 1.1 Magic Squares 1.2 Turtle Graphics 1.3 Social Network 2. 实验感受 ...

  6. DiskTrix UltimateDefrag(磁盘碎片整理软件) v6.0.22.0破解版

    点击下载来源:DiskTrix UltimateDefrag(磁盘碎片整理软件) v6.0.22.0破解版 UltimateDefrag 6是一款全新的磁盘碎片整理软件,在新版本中有着多方面的改进与优 ...

  7. 单片机编程软件很简单(22),keil单片机编程软件优化等级+概念解析

    单片机编程软件是单片机使用过程中不可缺少的一环,因此对于单片机编程软件,相关人员应当具备一定了解.往期文章中,小编对单片机编程软件有过诸多介绍.本文对于单片机编程软件的介绍基于两点:1.keil单片机 ...

  8. 用c语言编程牛顿环实验报告,C语言和Origin7.5软件在实验中的应用——以牛顿环测纯水折射率为例.pdf...

    您所在位置:网站首页 > 海量文档 &nbsp>&nbsp计算机&nbsp>&nbspC/C++资料 C语言和Origin7.5软件在实验中的应用-- ...

  9. 微信恢复专家软件 v1.2.22

    类型:系统工具 版本:v1.2.22 大小:9.4M 更新:2019/3/7 语言:简体 等级: 平台:安卓, 4.4以上 下载地址: 微信恢复专家软件 v1.2.22(1) 微信恢复专家软件 v1. ...

最新文章

  1. python安装cv-oracle时如何解决vc++的问题_python中cx_Oracle模块安装遇到的问题与解决方法...
  2. JAVA学习笔记--初始化与清理
  3. OpenCV创建自己的corner检测器
  4. vue为p标签_通过vue.js几个基本操作,理解一下什么是插槽「606」
  5. 计算机模型机设计实验报告,基本模型机设计与实现 实验报告
  6. Diango博客--23.单元测试:测试 blog 应用
  7. 【Google 行销课】产品关键词的搜索门道
  8. python中selenium中使用ajax_Selenium测试Ajax程序(转)
  9. linux安装redis插件,Linux平台安装redis及redis扩展的方法
  10. 安全云盘项目(三):3.1 Qt的工具_MVD架构和信号槽原理分析
  11. @Scheduled cron表达式详解
  12. 开源 免费 java CMS - FreeCMS1.5-数据对象-guestbook
  13. 从一列数中筛除尽可能少的数使得从左往右看,这些数是从小到大再从大到小的(网易)。...
  14. java 删除指定文件夹和下面所有文件_JAVA语言基础
  15. mysql innodb远程备份_详细说明MySQL备份、还原、innoDB打开
  16. CSS3参考手册(所有属性)
  17. MATLAB求解矩阵特征值的六种方法
  18. 安装wordpress时Error establishing a database connection
  19. sencha app watch php,Sencha Touch构建移动端App
  20. android cad插件下载,CAD看图大师下载

热门文章

  1. 大学工科理科都要学计算机,大学工科和理科有什么区别
  2. 《Sequence to Sequence Learning with Neural Networks》阅读笔记
  3. WHC_KeyboardManager管理键盘
  4. net、FTP、telnet命令和远程登录重启服务器
  5. GmH (Geometric min-Hashing: Finding a (Thick) Needle in a Haystack)
  6. 题目 1527: 排队打水问题
  7. vRealize Automation(VRA8.1)升级到VRA8.2(二)
  8. OpenCV获取手机摄像头并执行录屏操作
  9. cocos 世界坐标与相对坐标的转换
  10. Stata: 你还在用reshape转换长宽数据吗?那你就OUT了!