共享几种应急响应常用工具,这种是之前在工作上使用的,假如必须哪个专用工具,可以评价区域留言板留言并附加电子邮箱,每晚9-10点查看,假如小伙伴们必须的专用工具我有留档,一定会推送
备注名称:我的专用工具很有可能并不是全新的,可是用着较为随手
1 进程分析工具
1.1 ProcessHacker
功能:ProcessHacker是一款非常好的进程分析工具,可查看全部进程信息,包含进程载入的dll、进程开启的文档、进程读写能力的注册表文件……,还可以将特殊进程的内存空间Dump到当地,除此之外还能够查看数据连接。
专用工具截屏如下所示:
注:查看实际进程的详尽信息,双击鼠标Processes目录中的进程名称就可以。
1.2 ProcessExplorer
功能:ProcessExplorer是一款非常好的进程分析工具,微软官网强烈推荐专用工具,可靠性和兼容模式相对性非常好。可查看全部进程的信息,包含其载入的dll、建立的进程、数据连接……,一样可以Dump出进程的内存空间到当地。
1.3 ProcessMonitor
功能:ProcessMonitor是一款即时更新的进程信息监控器专用工具,微软官网强烈推荐专用工具,可靠性和兼容模式也是相对性优异。展现的信息很全方位,且每一个开启的句柄、注册表文件、数据连接……都和实际的进程关系下去。
1.4 XueTr
功能:XueTr(官方网站www.xuetr.com)是一个Windows系统信息查看手机软件,可帮助排查木马、侧门等病毒感染,功能包括:
1.进程、进程、进程控制模块、进程对话框、进程运行内存、计时器、快捷键信息查看,杀进程、杀进程、卸载掉控制模块等功能
2.核心推动控制模块查看,适用核心推动组件的运行内存复制
3.SSDT、Shadow SSDT、FSD、Keyboard、TCPIP、Classpnp、Atapi、Acpi、SCSI、Mouse、IDT、GDT信息查看,并能检验和修复ssdt hook和inline hook
4.CreateProcess、CreateThread、LoadImage、CmpCallback、BugCheckCallback、Shutdown、Lego等Notify Routine信息查看,并支撑对这种Notify Routine的删掉
5.端口号信息查看
6.查看信息勾子
7.内核模块的iat、eat、inline hook、patches检验和修复
8.硬盘、卷、电脑键盘、链路层等过虑驱动检测,并适用删掉
9.注册表文件编写
10.进程iat、eat、inline hook、patches检验和修复
11.系统文件查看,适用基本上的文档实际操作
12.查看(编写)IE插件、SPI、开机启动项、服务项目、Host文档、映像劫持、文件关联、系统防火墙标准、IME
13.ObjectType Hook检验和修复
14.DPC计时器检验和删掉
15.MBR Rootkit检验和修补
16.核心目标挟持检验
17.其他一些手工制作消毒时要运用的功能,如修补LSP、修复安全模式等
1.5 PCHunter
功能:XueTr的增强版,功能和XueTr类似,可参照图中。强烈推荐大量应用PCHunter,降低出问题的几率。
1.6 ProcessDump
功能:可对选定的进程,将其进程室内空间内的任何控制模块独立Dump出去,乃至可Dump出掩藏的控制模块(即进程载入的dll,这儿通常是被引入)。
注:这也是个命令行工具。
1.7 PsTools
功能:PsTools是命令行工具集,微软官网强烈推荐,功能多而全,其覆盖的子功能(指令)如下所示:
2 流量统计专用工具
2.1 Wireshark
功能:Wireshark是一款常见的网络抓包工具,与此同时还可以用以流量统计。
2.2 科来网络分析
功能:科来企业的一款流量统计专用工具,比照Wireshark要相对性实用些(尤其是流量统计新手入门工作人员),除此之外,该软件会自行将总流量开展归纳和统计分析。在某类寓意上,或是非常便捷的。
2.3 TCPView
功能:查看系统软件的数据连接详细信息,每一条联接相应的进程、协议书、进程、源目详细地址、源目端口号、联接情况……总而言之,可展现现阶段活跃性联接的全部详尽信息。
3 开机启动项分析工具
3.1 AutoRuns
功能:一款非常好的开机启动项分析工具,微软官网强烈推荐。只需牵涉到开机启动项有关的信息,事无大小,全都都能够查看获得,十分便捷寻找病毒感染的开机启动项。
4 信息搜集专用工具
4.1 FastIR
功能:搜集电脑操作系统的重要日志、关键信息,便捷后面调查取证和清查剖析。
4.2 BrowsingHistoryView
功能:搜集电脑浏览器的历史数据,便捷追朔网站域名、URL的网站访问由来是不是来自于客户个人行为。
5 辅助软件
5.1 Hash
功能:文档hash计算方法,可测算文档MD5、SHA1、CRC值,可用以协助分辨文档能否被伪造,或是应用哈希值到威胁情报网址查看是不是为故意文档。
5.2 ntfsdir
功能:病毒感染也是有可能是以建立服务项目开机启动项的方法维持长期运作,点一下Autoruns的Services功能,如下图,查验是不是有非常的服务项目开机启动项。
5.3 Unlocker
功能:可对无法删掉的资料开展强行删除(包含锁住的文档),需组装,安装后右键”Unlocker“就可以弹出来如下所示页面:
6 Webshell杀毒专用工具
6.1 wscan
功能:网御星云自主研发的一款Webshell杀毒专用工具。
6.2 D盾
功能:D盾是迪原素高新科技的一款Webshell杀毒专用工具。
7 专杀工具
7.1 飞客蠕虫专杀
作用:针对飞客蠕虫病毒感染开展杀毒的专用工具。
飞客蠕虫专杀工具有kidokiller(诺顿杀毒软件出品)、TMCleanTool(趋势科技出品)。
Kidokiller运作截屏如下所示,鲜红色方块的全部0值说明并没有中飞客蠕虫,如果有非0值,即表明中了飞客蠕虫。
TMCleanTool的运作截屏如下所示,有危害项即说明中了飞客蠕虫。
7.2 Ramnit专杀
作用:针对Ramnit类大家族病毒感染开展杀毒的专用工具。
FxRamnit是赛门铁克出品的Ramnit专杀工具,其运作页面如下所示,点一下”Start“按键就可以:
注:因为Ramnit是整盘传染性病毒感染,因此专杀工具运作时长非常长,需耐心等待(FxRamnit经常给人一种”诈死“的觉得)。
版权声明:本文内容由互联网用户自发贡献,该文观点仅代表作者本人。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如发现本站有涉嫌抄袭侵权/违法违规的内容, 请发送邮件至 举报,一经查实,本站将立刻删除。
