应急响应所需工具（上）

0X00 简介：

文中所涉及到的工具均来自于应急响应实战笔记的归纳总结，gitbook地址：https://bypass007.github.io/Emergency-Response-Notes/。这里仅仅供个人查询使用，不作他用。文中提到的工具使用方法以gitbook的内容为主，如果找不到就请自行百度。

0X01 病毒分析（win）：

PCHunter：http://www.xuetr.com

火绒剑：https://www.huorong.cn

Process Explorer：https://docs.microsoft.com/zh-cn/sysinternals/downloads/process-explorer

processhacker：https://processhacker.sourceforge.io/downloads.php

autoruns：https://docs.microsoft.com/en-us/sysinternals/downloads/autoruns

OTL：https://www.bleepingcomputer.com/download/otl/

SysInspector：http://download.eset.com.cn/download/detail/?product=sysinspector

0X02 病毒查杀（win）：

卡巴斯基：http://devbuilds.kaspersky-labs.com/devbuilds/KVRT/latest/full/KVRT.exe （推荐理由：绿色版、最新病毒库）

大蜘蛛：http://free.drweb.ru/download+cureit+free（推荐理由：扫描快、一次下载只能用1周，更新病毒库）

火绒安全软件：https://www.huorong.cn

360杀毒：http://sd.360.cn/download_center.html

0X03 病毒动态（win）：　

CVERC-国家计算机病毒应急处理中心：http://www.cverc.org.cn

微步在线威胁情报社区：https://x.threatbook.cn

火绒安全论坛：http://bbs.huorong.cn/forum-59-1.html

爱毒霸社区：http://bbs.duba.net

腾讯电脑管家：http://bbs.guanjia.qq.com/forum-2-1.html

0X04 在线病毒扫描工具（win）：

http://www.virscan.org //多引擎在线病毒扫描网 v1.02，当前支持 41 款杀毒引擎

https://habo.qq.com //腾讯哈勃分析系统

https://virusscan.jotti.org //Jotti恶意软件扫描系统

http://www.scanvir.com //针对计算机病毒、手机病毒、可疑文件等进行检测分析

0X05 webshell查杀（win）：

D盾_Web查杀：

官网：http://www.d99net.net/index.asp

工具下载地址：http://www.d99net.net/down/d_safe_2.1.5.4.zip

阿D出品，使用自行研发不分扩展名的代码分析引擎，能分析更为隐藏的WebShell后门行为。

兼容性：只提供Windows版本。

百度WEBDIR+：

在线扫描：https://scanner.baidu.com/

下一代WebShell检测引擎，采用先进的动态监测技术，结合多种引擎零规则查杀。

兼容性：提供在线查杀木马，免费开放API支持批量检测。

河马webshell查杀：

官网：http://www.shellpub.com

专注webshell查杀研究，拥有海量webshell样本和自主查杀技术，采用传统特征+云端大数据双引擎的查杀技术。查杀速度快、精度高、误报低。

兼容性：支持Windows、linux，支持在线查杀。

Web Shell Detector：

官网：http://www.shelldetector.com/

Webshell Detector具有“ Webshell”签名数据库，可帮助识别高达99％的“ Webshell”。

兼容性：提供php/python脚本，可跨平台，在线检测。

CloudWalker（牧云）：

在线查杀demo：https://webshellchop.chaitin.cn/

github项目地址：https://github.com/chaitin/cloudwalker

一个可执行的命令行版本 Webshell 检测工具。目前，项目已停止更新。

兼容性，提供linux版本，Windows 暂不支持。

深度学习模型检测PHP Webshell：

在线查杀地址：http://webshell.cdxy.me/

一个深度学习PHP webshell查杀引擎demo，提供在线样本检测。

PHP Malware Finder：一款优秀的检测webshell和恶意软件混淆代码的工具

github项目地址：https://github.com/jvoisin/php-malware-finder

findWebshell：一款基于python开发的webshell检查工具，可以根据特征码匹配检查任意类型的webshell后门。

github项目地址：https://github.com/he1m4n6a/findWebshell

在线查杀地址：http://tools.bugscaner.com/killwebshell/

通过对流行webshell和后门的代码特征快速定位出文件是否是木马文件！目前只针对PHP文件代码检测,其他类型的语言,暂时不支持。

Safe3：http://www.uusec.com/webshell.zip

0X06 应急linux所需的工具：

1、Rootkit查杀：

1）chkrootkit：http://www.chkrootkit.org

2）rkhunter：http://rkhunter.sourceforge.net

2、病毒查杀：

Clamav：http://www.clamav.net/download.html

3、webshell查杀：

河马webshell查杀：http://www.shellpub.com

深信服Webshell网站后门检测工具：http://edr.sangfor.com.cn/backdoor_detection.html

4、安全检查脚本：　

https://github.com/grayddq/GScan

https://github.com/ppabc/security_check

https://github.com/T0xst/linux