TWMAN+ 流程分析

http://sourceforge.net/projects/twmanplus/files/TWMAN%2B%40Beta_20120125-AutoInstall/     中2012-01-25发布的TWMAN流程分析：

（1）客户端安装exes（这些exes负责从服务器端获取恶意代码[wget程序完成]，并执行[sandnet.exe]，然后dd出整个硬盘映像img[dd.exe]）

（2）干净的客户端进行备份操作（twman-clear-save）

（3）在客户端的注册表中注册自动分析恶意代码所需的脚本bat

（4）服务器对客户端进行第二次备份（供后续自动化还原恶意代码执行环境）

（5）在linux系统下对windows客户端进行映像备份（使用linux的dd命令）

（6）客户端自动执行恶意代码1

（7）在linux系统下对windows客户端进行映像备份，并与（5）的映像进行比较导出分析结果文件

（8）恢复（4）中备份的windows映像，并重启进入第（6）步。