安天产品巡礼(系列四)——拓痕工具箱

时间： 2019年12月20日来源：安天

拓痕工具箱是一款可以满足日常巡检、风险评估、应急处置、分析取证的便携式工具套装产品。其内置安天下一代威胁检测引擎，将安天多年的系统安全监测与处置、流量安全分析、恶意代码行为分析及安天应急响应的经验转换为产品能力，同时支持多种方式的威胁情报扩展功能。

工具箱中包含了主机风险检查、系统内核分析、程序行为监测分析等多种面向主机系统的安全工具，即可一键完成相关的检测、处置、证据提取等相关工作，也可以直接对系统及可疑对象进行分析诊断。同时，提供了便携式流量监测工具、便携式沙箱等设备选件。系统通过现场处置与远程协助两种工作模式相结合，具有有效加强巡查监测的全面性和深入度，提升取证处置效率、解决疑难杂症、降维检查维护人员的技能要求等多方面优势。

工具箱整体示意图

[功能简介]

能力架构图

拓痕工具箱可广泛应用于网络安全事件的应急响应、威胁检测、分析、处置、取证及IT系统紧急运维等场景。当前市场中的工具箱产品种类繁多，但大部分都集成了开源工具，界面风格不统一，操作繁琐，还存在被植入后门等安全隐患。同时在恶意代码检测能力、系统内核级提取分析能力、顽固感染和Rootkit处置等能力上有所缺失，缺少在强对抗场景下展开工作的能力基础。拓痕工具箱完全由安天自主研发，融合安天核心引擎与近20年威胁对抗经验，产品安全可控，操作简单易用，在终端侧打造集安全检测、深度分析、证据提取、问题处置于一身的实用工具，形成闭环操作，有效应对安全事件各环节需求，面对威胁既可未雨绸缪、防患于未然，又能够应对有方、防微杜渐。拓痕工具箱主要由主机深度检查工具及远程协助安全工具两部分组成。

程序界面图

主机深度检查工具由便携式专用USB设备或光盘承载，界面简洁易用，无需安装，即插即用。基于安天下一代威胁检测引擎（AVL-SDK）和威胁情报的扩展，实现了海量恶意代码检测和精准命名能力，并形成一定的未知威胁发现能力。能够在主机侧实现安全检测、深度分析、证据提取、问题处置的闭环操作，辅助安全人员对安全事件的全生命周期开展调查取证工作。主机深度检查工具既能全面检查系统的安全配置，高效扫描系统应用漏洞、精准检测已知威胁，辅助分析人员发现未知威胁，又能够将检测发现的系统脆弱性进行一键修复，有效处置顽固感染，同时对威胁证据等信息进行固化提取。为满足不同级别的安全技术人员的需求，主机深度检查工具即支持自动化智能检测，亦可辅助安全专家开展手动分析工作。

主机深度检查工具可快速提取终端系统运行的近百个检测点，进行深度融合分析，多维度分析评判终端系统的安全性能，检测终端面临的已知威胁并评估系统脆弱性，高效全面地定位系统安全隐患所在。同时,主机深度检查工具着力加强系统检测专业纵深，从内核到应用，横向广泛全面，纵向深入细致，依据恶意代码攻击作用点零遗漏分布检测点，结合多重验证方法，对高级威胁、未知威胁具有更强的检测和分析能力，帮助用户做出更合理的安全决策。主机深度检查工具的证据提取功能可采集终端系统运行数据，详实记录当前系统运行状态。在取证场景中，所有证据数据均压缩加密存储，附加签名验证，可依据客户需求导出至指定位置，做到一比一还原。

应急处置功能针对顽固感染中的多进程/线程保护、驱动级保护，以及Rookit木马的隐藏点，设计了灵活的挂载内核驱动提取与处置机制，对目标终端具有高级别的分析处置权限，且在网络安全事件中具备底层的处置能力。工具采用底层驱动技术通过远程线程卸载DLL文件。同时附带了专业分析工具，让系统内核模块、驱动、服务、进程和模块等信息一览无余。还可发现隐藏的文件、隐藏注册表键值等深层信息。除自动处置之外，还支持手工终止内核模块、服务、进程，关闭特定文件句柄等交互式手动处置模式，同时可禁止创建特定进程，限制进程占用CPU、内存等系统资源，第一时间抑制恶性事件扩散传播，缩小感染范围，减少事件影响，降低影响损失，保障终端系统安全。

基于远程协助安全工具，拓痕工具箱能够为用户提供远程协助的工作模式。远程协助工具为软硬件结合设备，由专用远程硬件设备、远程协助服务器、专家端软件程序三者组成立体化远程安全协助体系，安天工程师或安全专家团队可远程操作未联网的疑似失陷目标主机，且无需为主机安装任何应用。远程专家和现场人员协同处置既降低了现场人员的技能要求，又极大的提高了应急事件的处置效率及处理能力，第一时间对隐患进行排查并实施缓解措施，有效遏制因威胁事件的迅速扩散为用户带来的损失扩大等问题。

工具箱使用场景

[适配场景与解决方案]

⊙满足日常安全巡检工作需要

场景分析：根据《网络安全法》的要求和支撑业务的需要。企事业单位需要建立安全巡检机制。传统网络扫描器虽然检测效率较高，但偏重于检测资产开放的端口等暴露信息。在检测主机系统环境的安全性方面，各单位普遍采取的是多种检查工具组合配合人工巡检的方式，其主要存在检查标准不统一，人工巡检工作量大，检查工具操作复杂，巡检人员水平不一，手工填报巡检结果效率低，容易漏项或出错，人力成本高，管理人员难以及时、准确、全面地了解巡检状况等问题。

解决方案：拓痕工具箱内的主机深度检查工具通过定制检查策略模板，一键自动检查等模式，提取资产信息，核查系统安全配置，评估系统脆弱性，全面分析系统面临的安全隐患与威胁。工具输出的分析报告内容详实，针对性的给出了安全配置及脆弱性风险处置的进一步建议，便于安全管理人员掌握全网资产的安全状态，满足日常安全巡检的工作需要。针对异地巡检及地处偏远的下级单位的安全检查场景，拓痕工具箱内的远程协助工具可在检查人员不到场的前提下，完成安全检查，报告回收等工作，节约人力物力，提高工作效率。

⊙应对安全事件应急响应

场景分析：内网安全维护工作中，经常存在终端流量明显异常，但端点杀毒无法检测；感染式病毒顽固感染，始终无法清除干净；蠕虫病毒杀而复来等情况。导致网络安全管理人员疲于奔命。

解决方案：拓痕工具箱在处置模块中结合了基于安天反病毒引擎和内核级处置模块的恶意代码查杀处置机制。能有效对抗恶意代码的自我保护机制，实现了对内存、启动链、文件和扇区的全面处置。同时配合配置策略一键优化和补丁升级操作，快速完成系统加固，降低重新感染概率。

⊙支撑高威胁、强对抗场景下的检测分析取证要求

场景分析: 电子数字取证技术是信息安全行业中的一个新兴领域，多年来在国内外相关部门的共同努力下，经历了从空白、混沌逐渐走向成熟的过程。近年来，电子数字取证技术在涉计算机犯罪案件中发挥着举足轻重的作用。但传统的计算机取证工具往往更偏重于信息的全量提取和分析，对基于高威胁、强对抗的场景下，提取威胁载荷和场景影响的考虑存在不足，缺少威胁载荷和可疑文件的快速判定和提取能力。

解决方案：拓痕主机深度检查工具的证据提取功能模块，面向主机场景实现驱动级的系统深度检测、分析、证据提取、固化等功能，可快速筛选识别提取内存、扇区、注册表和相关文件对象，并将其进行分析拆解和元数据化。特别是针对多种内存木马和Rootkit机制实现可靠的对象提取。并对证据提取与检测分析过程进行全程记录，且证据数据均通过压缩加密保存，附加数字签名验证，形成证据提取的完整闭环操作。

[特点优势]

⊙全方位主机系统深度分析技术

安天主机深度检查工具，着力加强系统检测专业纵深，从内核到应用，做到横向广泛全面，纵向深入细致，零遗漏采集系统信息，让恶意代码无遁形之处。目前支持自启动项、进程、线程、句柄、网络信息、内核信息、MBR、插件信息、HOOK信息、共享信息、用户信息、host文件，文件系统、注册表、日志信息等系统和环境信息的检查。在工具的注册表和文件栏里可发现藏匿的木马，若木马正在进行反向连接，还可在端口管理模块中进行展示并通过内核模块查看它的驱动信息，通过底层驱动对系统信息的完整展示，用户可以轻易检查出系统中被恶意隐藏的文件和注册表项。

⊙全自动智能分析与远程协助，降低现场人员技能要求

为适配使用场景及使用者的技术专业程度的差异，安天主机深度检查工具设定了不同的检测模式，用户可选择全自动检测处置，也可以选择利用手动分析平台，按需选择检测点，实现半自动化的人工辅助的分析处置工作。为节约人力资源成本，减低现场处置人员技能要求，增强主机深度检查工具的通用性及便捷性，远程协助工具建立起处置现场与后方专家团队的技术通道，高效率达到技术能力的最大输出，实现了一人出征，团队作战的效果。

[客户案例]

某中央部委网络安全应急联动处置平台项目

2017年安天承接了由某中央部委主导的网络安全应急联动处置平台项目中的应急支撑子系统的建设工作。

针对该单位的技术需求，安天提供了拓痕工具箱与应急联动处置平台进行联动，其具有统一指挥、密切协同、快速反应、科学处置及远程处置等功能，中心的安全专家可远程操控现场待处置的目标主机，利用工具箱自带的主机深度检查工具有效发现威胁并及时进行处置。

拓痕工具箱自部署以来，运行稳定，不仅提高了网络安全事件应急处置效率，增强了网络安全事件应急处置能力，减少了在应对突发事件的人力物力成本，同时完善了客户应急响应体系的基础设施配置。

某部应急响应体系建设项目

2019年安天参与协助某部的应急响应平台建设项目，提供了拓痕工具箱及其后端应急事件管理系统。项目建设旨在打通位于北京的指挥总部与各省市基层单位间的信息通道，建立健全的各级网络安全主管单位网络事件应急工作机制。

拓痕工具箱实现了在内网环境下构建基于内部通讯网络的远程协助工作模式，使各级下属单位能够与指挥总部联通，随时随地获取位于指挥总部的远程安全专家团队指导，打通总部专家团队指导处置异地发生的安全事件的高安全应急通道。同时，位于指挥中心的专家团队可通过大屏可实时展现事件现场的处置情况并进行多方协同支持，提高客户侧突发事件综合应对能力，提升应急事件的处置效率。应急事件后台管理系统还提供了事件信息的汇集、存储及查询平台，用户可以将所有事件信息进行集中存储和管理，保存应急事件处置的相关证据，帮助客户对突发事件进行持续监测，对事态发展开展连续跟踪，有效防止次生、衍生事件的发生。

某省网信办联合实验室升级项目

2017年某省网信办会同哈尔滨安天在网信办办公区创建了“网络安全联合实验室”。围绕网信网络安全业务职责，安天建设了实验靶机、深度威胁分析系统、网络威胁监测系统、展示系统等试验环境，实验室已成为网络安全技术学习、分析和研究的技术平台。

2019年实验室升级项目引入拓痕工具箱，工具箱使实验室具备了主机安全巡检能力、主机威胁的检测分析取证能力、主机威胁的应急处置能力，提高了技术人员网络安全防护与应急响应的水平，降低了现场处置工作对人员的技术要求，在全省网络安全防护工作中发挥了重要作用。

附1：拓痕产品部分资质

计算机软件著作权登记证书

公安部安全专用产品销售许可证；

北京市新技术新产品证书；

附2：拓痕产品历史沿革

■ 2002年-安天发布了系统安全分析工具Antiy Security Manger，这是安天工具组件中内核分析工具Atools的前身。

■ 2006年-安天研发了轻量级的恶意代码分析软件——“木马诊断仪”，能够对操作系统中进程和进程中的模块对象进行静态特性和行为加权判断，包括对照文件位置、文件静态特性、自启动特性、文件名特性、API操作特性、网络连接和开放端口特性等近20种条件分析判断，形成每个程序的风险值和风险级别。这是安天便携型行为分析工具的雏形。

■ 2007年-安天为满足恶意代码感染场景的取证需求，研发了主机系统取证工具——天天取证，能够对用户终端的终端信息、系统自启动项、服务项、指定的文件路径、进程、模块、线程等对象进行一键检测提取，提高了取证效率。同年，安天在前面工作的基础上，发布了TDS主机安全检查套件。TDS立足于对内网计算机进行综合性工作评估检查，相关工具和配套组件以工具箱承载。

■ 2008年-安天发布用于应急处置的TDS主机安全检查套件网管版。在此前版本的检查、提取功能基础上，增加了恶意代码查杀和处置功能。

■ 2013年-安天为TDS主机安全检查套件增加等保评估功能。