第3章
故障排
查


终端在运行过程中,由于应用复杂性和攻击多样性,往往表现出不同的特征。这些特
征可能隐藏于网络流量、系统进程、动态链接库、应用程序等各种系统组件中,如何将这些
特征从庞大的组件信息中提取出来,用于解决相应的故障现象、安全问题,需要用到一些
特定的工具来提取这些特征。

本章主要学习终端安全管理系统常见的故障排查工具的使用方法,用于检查、监控包
括网络、进程、应用在运行过程中,如何对系统的资源进行调用、数据的流向、用户权限的
管理和调用等方面的内容。对于实际工作中遇到的问题,使用此类工具也可以获得比较
好的分析效果,对于了解和掌握解决问题的方法非常有帮助。

3.1
网络流量

3.1 
终端安全管理系统问题排查———ew 
使用实验
1.TCPVi

【实验目的】

掌握TCPView的使用方法。

【知识点】

TCPView,端口。

【场景描述】

A公司的安全运维工程师小王怀疑内网终端可能中了木马,需要使用TCPView分
析当前终端的网络连接情况,对异常流量进行分析,以便排查分析木马行为。请协助小王
使用TCPView工具分析网络流量。

【实验原理】

木马程序运行后,通常会尝试连接远控端,与远控端进行通信,在此过程中通常会打
开某个端口,如果有通信过程就有可能会创建通信进程。TCPView是Sysinternals工具
包中的一款免费软件,该软件是绿色软件不需要安装,直接运行即可。TCPView主要用
于查看端口和线程,TCPView虽然是静态显示端口和线程,但由于运行快捷、方便,占用


终端安全管理实验指导
资源比较少,在排查时可作为监视工具进行辅助分析。

【实验设备】

主机设备:WindowsServer2008R2 主机1台,Windows7 主机1台。
网络设备:交换机1台。

【实验拓扑】

实验拓扑如图3-1所示。


图3-1 终端安全管理系统TCPView使用实验拓扑

【实验思路】

使用TCPView查看当前网络连接信息。

【实验步骤】

(1)进入实验对应拓扑,登录右侧PC 终端,如图3-2所示。
图3-2 登录PC 终端

(2)使用账户Administrator和密码123456 登录终端,运行桌面上的TCPView程
序,如图3-3所示。
图3-3 TCPView程序图标

240 


第3章故障排查
【实验预期】

使用TCPView查看网络连接信息。

【实验结果】

(1)TCPView运行之后主界面如图3-4所示。

图3-4 TCPView运行界面
(2)单击上方菜单栏中的View可以看到两个选项:UpdateSpeed(更新速度)和
RefreshNow(立即刷新)。单击RefreshNow命令可以立即刷新当前的进程和网络状
态,单击UpdateSpeed命令可以选择自动刷新的间隔时间,可以选择1秒、2秒、5秒和
“暂停刷新”,本实验选择刷新间隔为5秒,如图3-5所示。
图3-5 刷新参数设置
(3)主内容显示区域显示的内容主要分为12列,分别是Process(进程名称)、PID(进
142

终端安全管理实验指导
程ID )、Protocol(协议)、LocalAddres(本地地址)、LocalPort(本地端口)、Remote 
Addres(远程地址)、RemotePort(远程端口)、State(连接状态)、SentPackets(发送的数
据包数量)、SentBytes(发送了多少字节数据)、RcvdPackets(接收数据包数量)、Rcvd 
Bytes(接收了多少字节数据),如图3-6所示。


图3-6 主内容显示列

(4)TCPView默认会把RemoteAddres(远程地址)和LocalAddres(本地地址)显
示为相对应的主机的名称,如果想要设置为显示IP地址,单击上方的Options菜单,取消
勾选ResolveAddreses即可,如图3-7所示。


图3-7 ResolveAddreses选项

(5)刷新时某个进程颜色为绿色时,表示该进程为相对于上次刷新时新增的进程,如
图3-8所示。
图3-8 新增的进程信息
242

第3章故障排查
所示
(
。
6)当进程颜色为红色时,表示该进程相对于上次刷新时已经销毁的进程,如图3-9 


图3-9 销毁的进程信息
所示
(
。
7)单击选中要操作的进程,右击会弹出可对该进程进行相应的操作选项,如图3-10 


图3-10 对选中进程进行操作

(8)选择弹出菜单中的ProcesProperties(进程属性),可以查看该进程的名称、版本
以及Path(路径),单击EndProces 
按钮可以结束该进程,如图3-11所示。
图3-11 进程属性

243 


终端安全管理实验指导
(9)如果选择弹出菜单中的Copy 命令,可以将此进程的信息以文本方式复制到系统
的剪贴板里,用于记录或其他用途,如图3-12 所示。
图3-12 复制进程信息

(10)单击左上角的“保存”按钮或者按Ctrl+S 组合键可以保存系统当前运行所有进
程的状态信息,如图3-13 所示。
图3-13 保存系统当前运行进程状态

(11)保存文件格式为txt文本格式,双击打开保存的文本文件,可以看到记录的进程
信息,如图3-14 所示。
图3-14 保存的进程信息
442

第3章故障排查
(12)TCPView可以按照使用者关注的类型进行排序。例如,按照State的状态进行
排序,单击State一列即可按照该列状态重新进行排序,如图3-15 所示。


图3-15 按State状态排序

(13)使用TCPView可以查看当前终端中运行的进程、端口、协议、状态、收发数据包
数量等状态信息,并可以对某个进程复制状态信息,同时可以导出当前运行时的进程运行
状态保存为文本文件,以便后续查看,满足实验预期。
【实验思考】

(1)使用TCPView如何发现流量异常的进程? 
(2)在TCPView中,进程的状态都有哪几种? 分别代表什么含义? 
3.2 
rsak网络流量分析实验
1.Wiehr

【实验目的】

掌握Wireshark常用过滤命令的使用。

【知识点】

IP 过滤,端口过滤,HTTP 模式过滤。

【场景描述】

A公司安全运维工程师小王在日常巡检中发现某台终端流量异常,为获知该终端异
常流量的关联信息,小王需要使用Wireshark抓取该终端的通信流量进行分析,请协助小
王使用Wireshark对该终端的通信流量进行分析。

245 


终端安全管理实验指导
【实验原理】
Wireshark是一个网络封包分析软件。网络封包分析软件的功能是撷取网络封包, 
并尽可能显示出最为详细的网络封包资料。Wireshark使用WinPcap作为接口,直接与
网卡进行数据报文交换。
【实验设备】
主机设备:WindowsServer2003主机1台,Windows7主机1台。
网络设备:交换机1台。
【实验拓扑】
实验拓扑如图3-16所示。
图3-16 Wireshark网络流量分析实验拓扑
【实验思路】
(1)访问FTP服务器。
(2)访问Eshop商城。
(3)WiresharkIP筛选数据包。
(4)Wireshark端口筛选数据包。
(5)WiresharkHTTP模式筛选数据包。
【实验步骤】
1. 访问FTP 服务器 
(1)进入实验对应拓扑,登录Windows7终端,如图3-17所示。
图3-17 登录Windows7终端
246

第3章 故障排查 
(2)运行浏览器,在地址栏中输入“ftp://172.16.8.72”,访问该地址,可见访问FTP 
服务器正常,如图3-18所示。
图3-18 FTP服务器目录
2. 访问Eshop 商城
在浏览器中新建新标签页,在地址栏中输入“http://172.24.8.36”,访问该地址,可见
网站显示正常,如图3-19所示。
图3-19 访问网站
【实验预期】
(1)Wireshark查看指定IP。
(2)Wireshark查看指定端口。
(3)Wireshark查看指定HTTP数据包。
247

终端安全管理实验指导
【实验结果】
1. Wireshark 查看指定IP 
(1)在终端桌面上,双击Wireshark图标快捷方式,运行Wireshark程序,如图3-20 
所示。
图3-20 运行Wireshark 
程序
(2)在程序首页中,单击“本地连接”链接开始监听该网卡,如
图3-21所示。由于本实验终端中只有一块网卡,因此仅能监听该
网卡。如实际终端有多块网卡,请选择对应网卡进行监听。
(3)在表达式栏中输入表达式“ip.src==172.16.8.36”,表明
查找源IP地址为172.16.8.36的数据包,单击“箭头”按钮查询源
IP数据包,可以筛选出相关的数据包记录。如果没有流量记录筛选出来,可重新刷新浏
览器访问网站的页面,以便产生数据流量,如图3-22所示。
图3-21 Wireshark开始页面
图3-22 筛选源IP数据包
248

第3章 故障排查 
(4)在表达式栏中输入表达式“ip.dst==172.16.8.72”,表明查找目的IP 地址为
172.16.8.72的数据包,单击“箭头”按钮查询目的IP数据包。如无流量记录,可刷新浏览
器页面,以便产生数据流量,如图3-23所示。
图3-23 筛选目的IP数据包
2. Wireshark 查看指定端口
(1)在表达式栏中输入表达式“tcp.port==21”,表明查找数据包流经端口为21的
TCP数据包,单击“箭头”按钮查询流经端口21的数据包。如无流量记录,可刷新浏览器
访问FTP网站页面,以便产生数据流量,如图3-24所示。
图3-24 筛选流经端口21的数据包
249

终端安全管理实验指导
(2)在表达式栏中输入表达式“tcp.port==80”,表明查找数据包流经端口为80的
TCP数据包,单击“箭头”按钮查询流经端口80的数据包。如无流量记录,可刷新浏览器
访问网站的页面,以便产生数据流量,如图3-25所示。
图3-25 筛选流经端口80的数据包
3. Wireshark 查看指定HTTP 数据包
(1)在表达式栏中输入表达式“http.request.method=="GET"(英文符号)”,表明
查找HTTP请求包中GET 方法类型的数据包,单击“箭头”按钮查询GET 数据包,如
图3-26所示。
图3-26 筛选GET数据包
250

第3章故障排查
(2)在浏览器中访问172.72网站,在网站首页导航栏中,单击“留言簿”链接,在
16.
8.
“内容”处输入“s”,Emal处输入“snic,“名字”处输入“ts”,然后单击
tetitet@qiaxn.om”et“提交”按钮,以便产生POST类型数据包,如图3-27所示。


图3-27 在网站提交数据

(3)返回Wireshark程序中,在表达式栏中输入表达式“hreuest.method==
tp.q"POST"(英文符号),(”) 表明查询HTTP请求包中POST类型数据包,单击“箭头”按钮查
询POST数据包,如图3-28所示。


图3-28 筛选POST数据包

251 


终端安全管理实验指导
(4)Wireshark可以对当前终端的网络流量进行抓取,并对抓取到的数据包,根据条
件进行筛选过滤,获得关注的数据包,并可查看数据包中的数据内容,满足实验预期。

【实验思考】

(1)如何使用Wireshark查看ICMP包? 
(2)怎样查看一条相关联的数据流信息? 
3.2
操作系统

3.2.1 
终端安全管理系统问题排查———Autoruns使用实验
【实验目的】

掌握终端安全管理系统问题排查工具Autoruns的使用方法。

【知识点】

Autoruns。

【场景描述】

A公司的安全运维工程师小王巡检时怀疑公司某台终端运行有问题,在终端查找问
题时,因为系统内置的msconfig工具不能完全显示所有自启动项,所以小王使用
Autoruns工具进行启动项的查看。请协助小王使用Autoruns进行检查。

【实验原理】

操作系统的自启动服务或程序是因为某些应用程序正常运行是有前提的,必须在操
作系统引导过程中初始化相关联的服务,应用程序才能正常运行。而某些恶意代码也会
将自身的攻击程序或服务设置在操作系统自启动阶段,以获取系统的某些权限或免疫安
全防护措施。

Autoruns是SysternalsSuite(故障诊断工具套装)的一部分。它能够显示在
Windows启动或登录时自动运行的程序,并且允许用户有选择地禁用或删除它们,例如, 
那些在“启动”文件夹和注册表相关键中的程序。此外,Autoruns还可以修改包括
Windows资源管理器的Shel 
扩展(如右键弹出菜单)、IE浏览器插件(如工具栏扩展)、
系统服务和设备驱动程序、计划任务等多种不同的自启动程序。

【实验设备】

主机设备:WindowsServer2008R2主机1台,Windows7主机1台。

网络设备:交换机1台。

252 


第3章故障排查
【实验拓扑】

实验拓扑如图3-29 所示。


图3-29 Autoruns使用实验拓扑

【实验思路】

使用Autoruns查看并管理启动项。

【实验步骤】

(1)进入实验对应拓扑,使用Administrator账户,输入密码123456,登录右侧的终
端PC,如图3-30 所示。
图3-30 登录终端PC 

(2)运行桌面上的Autoruns图标快捷方式运行程序,推荐以管理员身份运行该程
序,如图3-31 所示。
图3-31 运行Autoruns程序

【实验预期】

使用Autoruns查看自启动项。

【实验结果】

(1)Autoruns程序运行的主界面默认显示在Everything选项卡中,如图3-32 所示。

253 


终端安全管理实验指导
图3-32 Autoruns运行界面

(2)在Everythings选项卡中,右击任意一个注册表项,会弹出该项目可操作的内容, 
该菜单内容与Autoruns菜单栏的Entry菜单内容是一致的,如图3-33 和图3-34 所示。
图3-33Entry菜单

图3-34 右击显示菜单
452

第3章故障排查
(3)在菜单栏的Options中提供了内容显示的开关功能,如图3-35 所示。
图3-35 Options菜单

(4)在Options菜单中,HideEmptyLocations表示隐藏空位,当注册表的键没有键
值或子键时不显示该注册表路径,因为键值为空时代表没有数据,也就没有显示的必要
性,所以该选项的默认设置是勾选状态,取消勾选后会显示注册表中键值为空的内容,如
图3-36 所示。
图3-36 显示键值为空的注册表条目

(5)在Options菜单中其他3个选项分别为:HideMicrosoftEntries表示隐藏微软
官方的注册表条目,默认不勾选;HideWindowsEntries表示隐藏Windows系统程序的
自启动条目,默认勾选此选项;HideVirusTotalCleanEntries表示隐藏清理病毒总数量
条目
(
。
6)Autoruns菜单栏中的User菜单中列出了可以查看的属于当前用户的启动项, 
用户可以在此切换用户身份,以便查看不同用户的启动项,如图3-37 所示。


图3-37 User菜单内容

255 


终端安全管理实验指导
(7)在Autoruns的Everything主要内容显示区域,数据分为6列,分别是Autorun 
Entry(条目名称)、Description(条目描述)、Publisher(发布者)、ImagePath(路径)、Timestamp(创建时间)、VirusTotal(病毒数量), 如图3-38 所示。
图3-38Everything内容显示区域

(8)Everything内容显示区域中的淡紫色行(行中包含背景色)表示注册表中的该键
的路径,紫色行下面的是子键,是具体的自启动条目信息和路径。Autoruns基于注册表
的键进行类别划分,比如最上面的三行是用户登录时自启动的项,和Logon选项卡的内
容相同,如图3-39 和图3-40 所示。

图3-39 Everything选项卡内容
(9)单击终端安全管理系统“安全防护中心模块”,当需要禁用此启动项时取消该条
目前面的勾选即可,如图3-41 所示。
652

第3章故障排查
图3-40Logon选项卡内容


图3-41 选中条目

(10)右击选中终端安全管理系统“安全防护中心模块”,会弹出可操作菜单,Delete 
是删除此启动条目,无法恢复;Copy 会复制此条数据,包括AutorunEntry、Description、
Publisher、ImagePath、Timestamp和VirusTotal,如图3-42 所示。
图3-42 条目操作菜单

257 


终端安全管理实验指导
(11)JumptoEntry会跳转至该自启动条目在注册表中的键的位置,如图3-43 所示。


图3-43JumptoEntry 
(12)JumptoImage会跳转至该启动条目的执行文件位置,如图3-44 所示。

图3-44 JumptoImage 
(13)VerifyImage可以校验该自启动条目的执行文件的签名,进行真实性验证,验
证通过后会在Publisher字段添加(Verified)字段,如图3-45 所示。
852