实验目的    
1、学习ATool软件监控主机行为的原理；

2、学习利用ATool软件监控可疑进程的行为；

3、学习利用ATool软件实现对本机进行文件、注册表管理；

4、学习利用ATool软件实现对本机进行内核模块信息和HOOK信息查看。

预备知识
ATool是针对高级用户群设计的专业系统安全检测工具集，能针对各类常见的主机问题及有害文件进行分析、诊断和处置，同时系统的共享、帐户、补丁等信息进行检查和修复。特别提供了分析模块能够实现基于条件加权的未知木马检测，对系统中自启动项、任务、进程、服务、驱动、端口、SPI、插件、文件系统，注册表等内容进行严格的行为判断和特征分析，形成对每个文件的受信状态判定，用户使用此工具集全方位保护系统和个人信息安全。

实验环境
Windows XP 专业版SP3 系统和ATool 1.010版

实验步骤一
打开实验台运行 Windows XP 系统，然后运行桌面上的atool文件夹下的ATool软件（ATool.exe）。

主机基本信息查看管理

（1）  ATool软件是由安天公司研发的一款轻量级安全检测工具，主界面如下图所示，整个软件功能大致分为“基本工具”、“高级工具”、“系统信息”、“文件管理”以及“注册表管理”五个部分。

（2）“自启动项”，在左侧的自启动项中，用户可以看到本机所有的自启动选项，用户可以对启动项进行签名扫描检查，可以快速定位文件位置，还可以点击上方的“受信”按钮对启动项进行可信和签名检查，一经发现异常启动项可以禁用该启动项并上报安天实验室。此外，请不要对系统文件进行“擦除文件”操作，可能会导致系统无法正常启动。选择受信检查类型如下图所示：


（3）“任务”，在左侧的任务项中，用户可以看到本机目前所有的任务项，包含名称、任务描述、时间、映像路径等信息，对其可进行的操作与自启动项的相同。

（4）“进程管理”，“基本工具”模块中最重要的一个功能，该功能可以使用户看到本机所有进程的信息（名称、路径、对应的DLL相关信息等），并支持手动将DLL卸载，与此前相同，对进程对象也可以进行可信以及签名的扫描。

（5）“端口管理”，端口管理功能可以使用户方便地查看本机的进程网络通信行为，提供了基本网络通信的IP五元组信息，功能界面如下图所示。

“基本工具”模块中除了上述的功能还有“服务管理”、“驱动管理、“插件管理”、“SPI管理”以及“映像劫持”查看等，由于几者之间操作较为相似，在此就不再赘述其使用方法了，感兴趣的可自行试用。

实验步骤二
高级内核模块信息查看
（1）如下图所示，主界面左侧“高级工具”模块下包含“内核模块”、“内核服务”、“文件系统”、“消息钩子”以及“用户态钩子”。其中“内核模块”和“内核服务”顾名思义，用于查看内核中的所有模块以及服务的信息；“文件系统”查看文件文件名称、函数地址以及模块信息；“消息钩子”和“用户态钩子”用于查看本机有无函数被hook以及其相关重要的信息（钩子句柄、修改地址、进程函数名称等）。

（2）如下图所示，内核模块功能界面中包含了文件、基址、映像大小、修改时间、路径等关键信息，内核中的可执行程序、DLL、驱动信息都会聚在此，对其可进行的管理操作与之前相同，在此就不赘述了。

系统信息查看

（1）“系统信息”模块主要用于管理系统的基本信息（比如文件共享、本机用户、HOST）以及补丁的更新。如下图所示，“共享管理”用于本机文件共享情况的查看和管理，第一行红框中为我们事先手动设置Fiddler文件夹为网络共享属性的信息；除了可以看到本机所有磁盘中文件共享信息，还可以通过右键菜单很方便的快速解除共享、删除共享记录、查找关键字项的操作。

（2）“用户管理”模块提供了本操作系统所有用户的用户名、权限、最后登录时间、登陆次数、密码是否为空等详细信息。如果本机存在远程访问或者多账户操作情况，这个功能方便了用户管理本机。

实验步骤三
 文件及注册表管理

（1） ATool和其他主机行为监控软件一样，也提供了文件和注册表的监控和管理功能，首先介绍下文件管理功能，如图11所示，文件管理操作类似于资源管理器，基本的文件信息和删除、复制、查看属性、搜索关键字、定位等操作功能都具备；除此之外还可以对文件进行签名和可信扫描，对于顽固的病毒文件可以使用擦除文件和强制删除功能，还可以通过去除只读、隐含、系统属性等功能来恢复被篡改的文件。

（2）注册表管理能方便查看注册表的信息，包括名称、类型、数据，但不支持直接修改键值，只能进行查询操作。