一、综合分析

1.PowerTool

   PowerTool是一款免费的系统分析,手动杀毒工具。这款内核级的手动杀毒辅助工具,能帮助你找出病毒木马在你的电脑中动过的手脚,并去除病毒设下的机关。目前具备以下功能:系统修复、进程管理、内核模块、内核相关、钩子、应用层、文件、注册表、离线分析、启动项、系统服务、网络链接、漏洞修复等。

   PowerTool 的特色在于它能够获取较高权限,从而执行一些底层的系统维护操作,如常用的强制结束进程、强制删除文件、强制编辑注册表、强制删除系统服务等等。作为内核级手动杀毒辅助工具,

   PowerTool 与 PCHunter不相上下,PowerTool 在某些方面提供的功能还要多些,处理速度蛮快。

    适用系统环境:Windows PE / 安全模式 / Windows XP / Windows 2003 Server / Vista / Windows

2.PCHunter

   PC Hunter是一个强大的Windows系统信息查看软件,也是手工杀毒辅助软件。软件可以查看内核文件、驱动模块、隐藏进程、注册表等等信息,方便系统工程师在运维工作中获取相关数据。

下载地址:https://www.wanghualang.com/wp-content/themes/begin/down.php?id=217

3.sysinspector

   ESET SysInspector是一款非常实用的电脑系统检测工具,可以帮助用户对你的电脑系统进行全面检测,并支持把有问题或者有缺失的信息提取到用户界面;支持对已经安装的应用程序以及安装的驱动器进行监测,如果发现恶意攻击文件,程序系统会将其信息提取到用户界面,以便于用户在问题发生之前对其进行清理;支持对电脑系统中的网路连接进行监测,可以在对存在威胁的配件或者存在网络攻击信息进行报警;它还支持对重要的注册表数据信息进行检测,可以有效的发现携带以及感染病毒的文件;如果您需要对系统进行检测,可以使用此工具帮助您完成;

4.sysinternals Suite

   sysinternals 的网站创立于1996年由Mark russinovich和布赖科格斯韦尔主办其先进的系统工具和技术资料·微软于2006年7月收购sysinternals公司 . 不管你是一个IT高级工作者还是一个开发者,你都会发现sysinternals工具可以帮助您管理、故障分析和诊断你的Windows系统和应用程sysinspector。

下载地址:https://docs.microsoft.com/zh-cn/sysinternals/downloads/

二、文件查找&检测

1.Everything

   Everything是voidtools开发的一款文件搜索工具,官网描述为“基于名称实时定位文件和目录(Locate files and folders by name instantly)”。

下载地址:https://everything.en.softonic.com/

2.findstr

   findstr是Window系统自带的命令,用途是查找指定的一个或多个文件文件中包含(或通过参数 /V来控制不包含)某些特定字符串的行,并将该行完整的信息打印出来,或者打印查询字符串所在的文件名。

3.grepWin

   grepWin 是一个 Windows 下的支持正则表达式的文件搜索工具。

    在知道 grepWin 這個軟體之前,通常我们會使用 UltraEdit, Notepad++ 或是 Visual Studio 等軟體,幫助搜尋與取代的動作,但怎麼用都沒有比用 grepWin 還來的方便、親切又有效率,因為 grepWin 直接跟檔案總管結合,只要在目錄上按滑鼠右鍵,就可以開始進行搜尋或取代的動作,且搜尋與取代都可以用 Regular Expression 語法,程式本身又很小 ( 執行檔只有 492KB ),搜尋起來真的很快,且搜尋的結果是窗還可以在檔案清單中按下滑鼠右鍵,所出現的 context menu 會出現跟檔案總管一樣的選單,也可以直接開啟檔案。但使用取代(Replace)功能時還是要小心,因為功能實在太強了,所以在執行前最好能先備份過,以 免檔案救不回來。唯一個缺點就是無法搜尋「目錄名稱」,但如果要搜尋目錄的話可以直接使用 Windows 內建的搜尋工具。

下载地址:http://www.softnavy.com/app/123/grepwin

4.TextCrawer

    小编给大家带来了一款功能强大的文件搜索替换工具–TextCrawler,该工具采用了功能强大的正则表达式引擎,支持批量修改和替换功能,支持替换表达式编辑,支持Scratchpad预览工具,帮助用户在多个文件和文件夹中即时的查找和替换单词和词组,TextCrawler汉化破解版软件内置精准的文档内容搜索规范,可以自己编辑搜索替换的规则,非常方便实。

下载地址:https://textcrawler.en.softonic.com

5.Index.dat Analyzer

    Index.dat Analyzer 是一个查看,管理和删除 IE 的历史纪录,缓存,和 cookies 中 index.dat 文件的工具.

下载地址:https://www.systenance.com/download.php

6.winhex

   winhex 是一个专门用来对付各种日常紧急情况的工具。它可以用来检查和修复各种文件、恢复删除文件、硬盘损坏造成的数据丢失等。同时它还可以让你看到其他程序隐藏起来的文件和数据。总体来说是一款非常不错的 16 进制编辑器。得到 ZDNetSoftwareLibrary 五星级最高评价,拥有强大的系统效用。

下载地址:http://www.x-ways.net/winhex/

7.RegistryWorkshop

   Registry Workshop 是一款由 TorchSoft 出品的高级注册表编辑工具 [1] ,能够完全替代 Windows 系统自带的 RegEdit 注册表编辑器。

下载地址:https://pc.qq.com/detail/17/detail_3617.html

8.DiskGenius

   DiskGenius是一款磁盘管理及数据恢复软件。支持对GPT磁盘(使用GUID分区表)的分区操作。除具备基本的建立分区、删除分区、格式化分区等磁盘管理功能外,还提供了强大的已丢失分区恢复功能(快速找回丢失的分区)、误删除文件恢复、分区被格式化及分区被破坏后的文件恢复功能、分区备份与分区还原功能、复制分区、复制硬盘功能、快速分区功能、整数分区功能、检查分区表错误与修复分区表错误功能、检测坏道与修复坏道的功能。提供基于磁盘扇区的文件读写功能。支持VMWare虚拟硬盘文件格式。支持IDE、SCSI、SATA等各种类型的硬盘,及各种U盘、USB移动硬盘、存储卡(闪存卡)。支持FAT12/FAT16/FAT32/NTFS/EXT3文件系统。

下载地址:https://www.diskgenius.cn/download.php

9.passrecenc

    是一个工具集合,主要用于查看浏览器、路由、wife、邮件等记住的密码,应集中可用于快速查看未知的密码是否存在泄露的可能,不仅如此,在内网渗透中也可作为重要的信息收集。

下载地址:https://www.nirsoft.net/password_recovery_tools.html

三、日志分析

1.eventtvwr

   window自带的日志查看工具。

2.Event Log Explorer

    这个是日志查看器,是用来查看log(日志)的

下载地址:https://event-log-explorer.en.softonic.com/

3.Fulleventlogview

    FullEventLogView官方版是一款查看Windows事件日志的工具,包括事件描述,支持查看本地计算机的事件、也可以查看远程计算机的事件,并可以将事件导出为text、csv、tab-delimited、html、xml等类型的文件,有需要的赶快下载吧!

下载地址:https://www.nirsoft.net/x64_download_package.html

四、进程分析

1.Autoruns

   Autoruns for Windows 是 Mark Russinovich 和 Bryce Cogswell 开发的一款软件,它能用于显示在 Windows启动或登录时自动运行的程序,并且允许用户有选择地禁用或删除它们,例如那些在“启动”文件夹和注册表相关键中的程序。此外,Autoruns还可以修改包括:Windows 资源管理器的 Shell 扩展(如右键弹出菜单)、IE浏览器插件(如工具栏扩展)、系统服务和设备驱动程序、计划任务等多种不同的自启动程序。

   Autoruns作为Sysinternals Suite(故障诊断工具套装)的一部分,可运行于 Windows XP、Windows Server 2003 和更高版本的 Windows 操作系统。该软件还包括一个相同功能的命令行版本Autorunsc,可以把结果报表以 CSV 格式输出。

下载地址:https://docs.microsoft.com/zh-cn/sysinternals/downloads/autoruns

2.ProcessExplorer(Procexp)

    由Sysinternals开发的Windows系统和应用程序监视工具,已并入微软旗下。不仅结合了Filemon(文件监视器)和Regmon(注册表监视器)两个工具的功能,还增加了多项重要的增强功能。包括稳定性和性能改进、强大的过滤选项、修正的进程树对话框(增加了进程存活时间图表)、可根据点击位置变换的右击菜单过滤条目、集成带源代码存储的堆栈跟踪对话框、更快的堆栈跟踪、可在 64位 Windows 上加载 32位 日志文件的能力、监视映像(DLL和内核模式驱动程序)加载、系统引导时记录所有操作等。

下载地址:https://docs.microsoft.com/zh-cn/sysinternals/downloads/process-explorer

3.Winprefetchview

   WinPrefetchView是一个“Prefetch”预读文件查看器,Prefetch是一种XP以上操作系统中包括的加速系统启动机制,通过这个小程序你可以清晰的看到系统启动时对哪些文件进行了预读。

4.Wsyscheck

   Wsyscheck是一款强大的系统检测维护工具,进程和服务驱动检查,SSDT强化检测,文件查询,注册表操作,DOS删除等一应俱全.该作品为wangsea的主打作品,其他比较好的作品还有系统安全盾、syscheck,大家应该不会陌生.特别说明一下,SysCheck已经不更新了,WSysCheck可以说是SysCheck的升级版或强化版。

5.ProcessHacker

   Process Hacker(系统进程查看)是一款强大的进程查看管理、系统监视和内存编辑工具,支持查看管理进程、服务、线程、模块、句柄以及内存区域数据等。

高亮显示进程树和资源使用情况;

查看和编辑服务(启动、停止、暂停、恢复和删除);

强大的进程完全控制功能,你可以找到隐藏的进程并终止它们;

绕过安全软件和Rootkit;

其它独特的调试和分析功能等。

支持系统:Windows XP、Vista、Windows 7、Windows 8/8.1(32位和64位)

下载地址:https://processhacker.sourceforge.io/

五、进程分析

1.netstst -ano

    netstat -ano 查看机器端口占用情况

   windows下dos命令窗口输入netstat -ano即可查看端口使用情况,如果要查看指定端口是否被占用可以使用命令netstat -ano|findstr 端口号,例如要查看8080端口号是否已经被占用就使用命令netstat -ano|findstr 8080 如果结果为空则说明没有被使用,如果有值则说明已经被使用,最后一列为使用8080端口号的进程ID。

    使用ntsd -c q -p PID命令杀掉占用端口的进程,其中PID为占用端口的进程号,上一步查找到的端口号,也可以使用taskkill /PID PID 命令杀掉进程。

    使用tasklist /fi “pid eq 5764” 命令查看进程号对应进程信息

2.cprots、Tcpview

   cprots、Tcpview可动态查看端口连接情况。

   PC运行效率不高时我们可以使“任务管理器”来查看是哪些进程拖累了系统,但网络连线状况不佳时要用什么工具去了解?这应该是很多人都无法回答得出来。有些通讯工程师会用控制台命令netstat-na来监控TCP/IP网络,但是效果不直观。有些小白用户使用360查看网络,真是丢了芝麻捡了西瓜。

    所以若有个“像Win任务管理器”管理工具那就容易多了,TCPView可以非常条理地列出目前电脑的网络连接状况,可以查询到目前连线有哪些软件连接到了网络,也可以知道该程序所使用的端口,它占用了多大的带宽使用了多少流量。如果您聪明还能通过它发现不正常的网络连接,避免电脑被木马遥控。

3.IPOP4.1

    软件介绍

   IPOP软件是一个IP工具的集合,最原始的功能是IP地址动态绑定,后续在此基础上不断的进行了扩充,就形成了现在的版本。

   IPOP是一款实用强大的网络设置工具,一共包含了IP绑定,路由配置,MAC信息,网络统计,端口信息,端口映射,网卡流量,报文捕获,终端工具,服务10个实用给力的功能!

4.Nmap

   nmap是一个网络连接端扫描软件,用来扫描网上电脑开放的网络连接端。确定哪些服务运行在哪些连接端,并且推断计算机运行哪个操作系统(这是亦称 fingerprinting)。它是网络管理员必用的软件之一,以及用以评估网络系统安全。

    正如大多数被用于网络安全的工具,nmap 也是不少黑客及骇客(又称脚本小子)爱用的工具 。系统管理员可以利用nmap来探测工作环境中未经批准使用的服务器,但是黑客会利用nmap来搜集目标电脑的网络设定,从而计划攻击的方法。

   Nmap 常被跟评估系统漏洞软件Nessus 混为一谈。Nmap 以隐秘的手法,避开闯入检测系统的监视,并尽可能不影响目标系统的日常操作。

下载地址:https://nmap.org/download.html

六、样本分析

1.Process monitor

   Process Monitor一款系统进程监视软件,总体来说,Process Monitor相当于Filemon+Regmon,其中的Filemon专门用来监视系统 中的任何文件操作过程,而Regmon用来监视注册表的读写操作过程。有了Process Monitor,使用者就可以对系统中的任何文件和 注册表操作同时进行监视和记录,通过注册表和文件读写的变化, 对于帮助诊断系统故障或是发现恶意软件、病毒或木马来说,非常 有用。这是一个高级的 Windows 系统和应用程序监视工具,由优秀的 Sysinternals 开发,并且已并入微软旗下,可靠性自不用说。

下载地址:https://docs.microsoft.com/zh-cn/sysinternals/downloads/procmon

2.Netcat

   Netcat 是一款简单的Unix工具,使用UDP和TCP协议。它是一个可靠的容易被其他程序所启用的后台操作工具,同时它也被用作网络的测试工具或黑客工具。使用它你可以轻易的建立任何连接。内建有很多实用的工具。

netcat 简称 nc,安全界叫它瑞士军刀。ncat 也会顺便介绍,弥补了 nc 的不足,被叫做 21 世纪的瑞士军刀。nc 的基本功能如下:

telnet / 获取系统 banner 信息

传输文本信息

传输文件和目录

加密传输文件

端口扫描

远程控制 / 正方向 shell

流媒体服务器

远程克隆硬盘

下载地址:http://netcat.sourceforge.net/download.php

3.Malware Defender

   Malware Defender是一款主机入侵防御系统,原为个人收费软件,被奇虎360收购后实行免费,Malware Defender不同于Mamutu、ThreatFire等智能HIPS,Malware Defender和Safe’n’Sec Persona一样都是手动HIPS,规则需要自己介入,相比之下操作难度更大,但是也更安全。

   Malware Defender 是一个 HIPS (主机入侵防御系统)软件,它可以有效的保护您的计算机系统免受恶意软件(病毒、蠕虫、木马、广告软件、间谍软件、按键记录软件、rootkit 等)的侵害。目前,360公司已收购Malware Defender。Malware Defender 也是一个 rootkit 检测软件,它提供了很多有效的工具来检测和删除已经安装在您的计算机系统中的恶意软件

下载地址:https://malware-defender.en.softonic.com/

4.MyMonitor

    用于应用程序运行过程的全程跟踪分析,可分析病毒行为得出分析报告,特点:1.反映全部进程及子进程的API 调用,2.查看文件读写,删除情况,3.查看注册表读写4.线程模块调用。

   MyMonitor是一款病毒监控分析工具软件。在分析病毒过程中,要么使用各种监控工具进行监控,但是这要从众多的信息中筛选病毒信息,工作麻烦枯燥,而更为苦恼的是看那些繁杂的反汇编代码,如果病毒样本没有加密,没有加壳那还要容易些,但是当今流行的病毒使用了大量的反分析技术,如反调试,花指令,加壳,加密,双进程,远程注入,服务等等。一旦病毒使用这些反分析技术,这使得病毒分析工作变的非常困难。这里推荐mymonitor,可以将病毒样本直接拖放到mymonitor监控工具中,然后它将监控该样本所调用的大多数病毒相关的api,待病毒退出后将生成一份报告。这样,分析人员无需再去解密,脱壳,去花指令。它简化了病毒分析工作。

5.DllInjector

   DllInjector 是一个Dll注入工具,是目前市面上最强大的驱动级dll注入器,支持所有windows32位和64位系统,如win7,win8等。

    软件可供安全人员开发使用,也可供普通用户卸载进程中的恶意dll。

下载地址:https://github.com/weijaa/dllinjector

6.RegShot

   RegShot是一款可以监控注册表改动的小工具,它可以生成注册表快照,方便用户在进行软件安装或是某项设置时,很快的找到注册表发生了什么变化,哪些注册表被改动,新建了什么注册表键值。RegShot非常小巧,才29KB。是方便大家监控注册表和操作注册表的好工具。所有的比较结果输出为详细的纯文本格式或HTML格式。

下载地址:https://regshot.en.softonic.com

7.Fodler Monitor

   Folder Monitor 是一款绿色便携软件,主要提供文件夹监控的功能,可以监控文件的创建、删除、修改和重命名。你可以监控本地文件夹,也可以监控远程的文件夹,一旦有人动了你的文件夹,就会立即发出声音警报,当然你可以设置隐藏警告。

下载地址:https://www.nodesoft.com/foldermonitor

8.ResHacker

   reshacker是一款非常出色的程序反编译工具。reshacker能够给用户带来更加高效的编译效率,支持多种语言,对各种可执行文件都有反编译的功能支持,功能上非常强大。

下载地址:http://www.angusj.com/resourcehacker/

七、杀毒扫描

1.KVRT

   Kaspersky Virus Removal Tool (简称 KVRT) 是由卡巴斯基官方推出的一款免费绿色免安装的杀毒软件 (病毒清除工具),它能扫描电脑中指定或所有的文件,并清除其中的病毒或木马。当然,它并不是传统形式上的功能完整的杀毒软件,它仅仅只有扫描和清除病毒的功能,并没有任何防毒的措施,也不会驻留后台。

下载地址:https://www.kaspersky.com.cn/home-security#pc

八、流量分析

1.Wireshark

   Wireshark(前称Ethereal)是一个网络封包分析软件。网络封包分析软件的功能是撷取网络封包,并尽可能显示出最为详细的网络封包资料。Wireshark使用WinPCAP作为接口,直接与网卡进行数据报文交换。

    在过去,网络封包分析软件是非常昂贵的,或是专门属于盈利用的软件。Ethereal的出现改变了这一切。在GNUGPL通用许可证的保障范围底下,使用者可以以免费的代价取得软件与其源代码,并拥有针对其源代码修改及客制化的权利。Ethereal是全世界最广泛的网络封包分析软件之一。

下载地址: https://www.wireshark.org/

2. 莱来网络分析工具

    科来网络分析系统是一款由科来软件全自主研发,并拥有全部知识产品的网络分析产品。该系统具有行业领先的专家分析技术,通过捕获并分析网络中传输的底层数据包,对网络故障、网络安全以及网络性能进行全面分析,从而快速排查网络中出现或潜在的故障、安全及性能问题。

    比较wireshark图形界面会好看的,还能比较形象,由于本人一开始接触的是wireshark,后来才接触科来,感觉wireshark会比科来好用。

3. DWirelessNetWatcher

   Wireless Network Watcher 是一个小工具,它可以扫描你的无线网络,并显示,目前连接到网络的所有计算机和设备的清单。

    为每台计算机或设备连接到网络,显示了以下信息:IP地址,MAC地址,该公司生产的网卡,并选择性的计算机的名称。

    您还可以导出成HTML / XML / CSV /文本文件连接的设备清单,或复制清单到剪贴板,然后粘贴到Excel或其他电子表格应用程序。

下载地址:https://wireless-network-watcher.en.softonic.com/

4.ipradar

   IP雷达(IPRadar)是一款非常方便高效的抓包软件,只需解压不需要安装,用起来很方便。它虽然没有wireshark抓包详细专业,但是应对一般的网络数据毫无压力,而且还很快速精准即时,可以很明了的显示当面连接数据情况。IP雷达可以实时显示每个程序的上传和下载流量。IP雷达还支持监控读写硬盘状态,查看当前硬盘繁忙程度。

5.Burpsuite

   Burp Suite 是用于攻击web 应用程序的集成平台,包含了许多工具。Burp Suite为这些工具设计了许多接口,以加快攻击应用程序的过程。所有工具都共享一个请求,并能处理对应的HTTP 消息、持久性、认证、代理、日志、警报。

下载地址:https://portswigger.net/burp

6.Fidder

   Fiddler是强大的抓包工具,它的原理是以web代理服务器的形式进行工作的,使用的代理地址是:127.0.0.1,端口默认为8888,我们也可以通过设置进行修改。

    代理就是在客户端和服务器之间设置一道关卡,客户端先将请求数据发送出去后,代理服务器会将数据包进行拦截,代理服务器再冒充客户端发送数据到服务器;同理,服务器将响应数据返回,代理服务器也会将数据拦截,再返回给客户端。

   Fiddler可以抓取支持http代理的任意程序的数据包,如果要抓取https会话,要先安装证书。

下载地址:https://www.telerik.com/fiddler

7.nbscan

下载地址:https://github.com/conery/nbscan

8.Smsniff

   SmartSniff可以通过你的网络适配器捕获TCP/IP数据包,并查看捕获客户端和服务器之间的数据序列的会话。您可以使用ASCII方式查看TCP/IP会话(适用于基于文本的协议,如HTTP, SMTP,POP3和FTP或作为十六进制转储。(非文字的基础协议,如DNS),SmartSniff提供3 种方法用于捕获TCP/IP封包!

下载地址:http://www.nirsoft.net/utils/smsniff.html

9.apateDNS

   ApateDNS是一个用于控制DNS响应的工具,主要用在本地系统上的DNS服务器。ApateDNS可以将欺骗由恶意软件生成的DNS请求到UDP端口53上的指定IP地址的DNS响应,比如执行静态恶意软件分析(例如通过检查资源节)或使用沙箱。ApateDNS还能够使用NXDOMAIN参数恢复多个域,因为恶意软件通常会尝试连接到多个主机。

下载地址:https://www.fireeye.com/content/dam/fireeye-www/services/freeware/sdl-apatedns.zip

10.MiniSniffer

    网络嗅探抓包工具(MiniSniffer)是一款功能强大的网络抓包程序。它可以捕获各种程序开启的网络连接进行拦截数据功能,让您更方便的知道软件的数据传输流程。

    迷你封包抓包器(minisniffer)是一款简单实用的网络抓包工具,通过该软件,用户可以快速的扫描网络中的各种数据包,并进行抓取,用户可以将获取的数据包进行重新编辑,非常实用,该软件拥有强大的过滤器,您可以选择不同的数据进行过滤,通过自定义抓包的方式进行相关的内容截取,软件支持TCP、UDP、ICMP、主机IP、主机端口号等内容设置,用户可以输入指定的IP或端口进行过滤,非常简单快捷

<9>用户检查工具

   compmgmt.msc

   compmgmt.msc是计算机重要msc文件,如果你的电脑出现该文件缺失或者损坏,将会导致电脑运行出现问题,影响正常使用,若要解决这问题,需要重新下载一个compmgmt.msc文件,放到相应的目录就可以了,compmgmt.msc一般情况下都是系统目录自动创建的

下载地址:https://answers.microsoft.com/en-us/windows/forum/all/computer-management-compmgmtmsc/41140d6d-c991-498c-bd95-3e7efb685e01

   2.LP_Check

   LP_Check

   (很小的的工具,检查你的电脑有无黑客)

下载地址://download.csdn.net/download/dons128/1211543?utm_source=bbsseo

九、其他

1. Shadow Defender

    影子卫士是一款小巧却功能强大的保护程序,提供一个和Windows完全一样的虚拟环境,你的任何操作并不会影响真实的系统,一切改变将在退出影子模式后消失,支持多分区,支持转储,支持排除。

下载地址:http://www.shadowdefender.com/

2.SysTracer

    是一款可以分析你的计算机文件,文件夹和注册表项目改变的系统实用工具。你可以在任何想要的时间获取无数个屏幕快照。

下载地址:https://systracer.en.softonic.com/

3.COMODO Firewall

   comodo firewall防火墙是一款功能强大的、高效的且容易使用的个人防火墙软件,提供了针对网络和个人用户的最高级别的保护,从而阻挡黑客的进入和个人资料的泄露。同时comodo防火墙能够提供程序访问网络权限的底层最全面的控制能力,提供网络窃取的最终抵制,实时流量监视器可以在发生网络窃取和洪水攻击时迅速作出反应,通过简单的界面安装后,Comodo个人防火墙使您安全的连接到互联网。

下载地址:https://comodo-free-firewall.en.softonic.com/
原文链接:https://blog.csdn.net/weixin_45650712/article/details/112894295